IT-S_2022_2

IT-S_2022_2_eMag

HZ212323 · ISSN 1868-5757 · www.datakontext.com April/Mai 2/2022 Cloud als Verteidigungs Schwerpunkt Ransomware: strategie Interview mit Robert Freudenreich und Christian Olbrich, Secomba SPECIAL in Kooperation mit Bankmagazin: ITSicherheit in der Banken und Finanzwelt ▪ Verschärfte Bedrohungslage: Warum Finanzdienstleiter mehr in Cybersicherheit investieren müssen ▪ „Digital Operational Resilience Act“ (DORA): Warum Cyber-Resilienz in der Finanzindustrie einen europäischen Mantel braucht ▪ Endpoints: Exponierte Geräte sicher in die Bankeninfrastruktur einbinden ▪ Inklusive Marktüberblick von Anbietern und deren Lösungen Ransomware: Mit Zero Trust und XDR für mehr Cybersicherheit Sprachboxen: Was einen Compliance-gerechten Sprach- assistenten von „Alexa“ unterscheidet Quanten-Internet: Licht aus Seltenerdmolekülen

WAHRHEIT MIT WISSENSCHAFT Gezielte Falschinformation gehört wohl zur Gesellschaft, seit es Menschen gibt. Dennoch erleben wir dieses Phänomen zurzeit in einem bislang ungekannten Ausmaß. Was in Deutschlands dunkelsten Tagen in Form des berüchtigten „Propagandaministeriums“ konzeptionell perfektio niert wurde, hat mit den sozialen Medien im Internet eine globale Dimension angenommen – verbunden mit einem Tempo, das nahe an Echtzeitgeschwindigkeit liegt: Maßgeschneiderte Desinformation, Nachrichten aus dem Labor, konstruiert um eine bestimmte Wirkung zu erzielen, gern versehen mit einem Krümel Wahrheit, verpackt in ein seriöses Gewand – und über alle verfügbaren Kanäle mit größter Beharrlichkeit unters Volk gebracht. So lassen sich Stimmungen erzeugen, die sich am Ende leicht in die gewollten Aktionen umsetzen lassen. Ist genügend Unzufriedenheit, Misstrauen und Hass gesät, lassen sich über die geeigneten Maßnahmen sehr einfach wirtschaftliche und machtpolitische Interessen in der realen Welt durchsetzen. Der Angriffskrieg auf die Ukraine ist nicht der erste und leider sicher auch nicht der letzte Krieg, der auf diese Art begründet und gerechtfertigt wurde. Und wegen der Dominanz der künstlich erzeugten Stimmung in einer Gesellschaft bleiben die wirklichen Probleme, die natürlich immer existieren, und die eine unaufgeregte, konstruktive Diskussion erfordern, hoffnungslos auf der Strecke. Wie also dem Großphänomen Desinformation beikommen? Das Forschungsinstitut (FI) CODE an der Universität der Bundeswehr München versucht es nun mit wissenschaftlichen Ansätzen. Ihr Forschungsprojekt KIMONO untersucht, wie DesinformationsKampagnen frühestmöglich erkannt, klassifiziert und beobachtet werden können. Prof. Michaela Geierhos, Professorin für Data Science und Technische Direktorin am FI CODE und Leiterin der deutschisraelischen Forschungskooperation KIMONO sagt: „Um im Ernstfall angemessen reagieren zu können, ist es essenziell, die gezielte Verbreitung von Falschinformationen in sozialen Medien wissenschaftlich zu untersuchen und die dahinterliegenden Muster und Netzwerke möglichst frühzeitig zu erkennen“. Auch künstliche Intelligenz soll bei diesem Vorhaben zum Einsatz kommen. Ich bin sehr gespannt, welche Resultate die Wissenschaftler noch veröffentlichen werden (siehe Beitrag auf Seite 12). SCHWERPUNKT RANSOMWARE Unterdessen beschäftigt ein anderes Massenphänomen, das ironischerweise ebenfalls häufig mit einer Art Falschinformation beginnt – verpackt und ausgebracht in einer PhishingEMail – Staat, Wirtschaft, Industrie und Gesellschaft. Ransomware gehört auch in diesem Jahr zu den größten Geißeln der IT (und immer mehr auch der OT, der „Operational Technologie“, also Industrieanlagen). Wie zeitgemäße Ansätze für eine erfolgreiche Abwehr dieser perfiden Angriffsmethode aussehen, haben wir im Schwerpunkt Ransomware zusammengestellt. SPECIAL: IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT Banken verarbeiten viele sehr sensible Daten und haben Geld. Das macht sie zu beliebten Angriffszielen von Cyberkriminellen. Unser Banken und FinanzSpecial in Kooperation mit der Zeitschrift BANKMAGAZIN gibt wichtige Hinweise für valide Schutzkonzepte, verschafft einen Überblick über aktuelle Trends und Entwicklungen und zeigt viele praxisnahe Lösungen. Viele Erkenntnisse beim Lesen dieser Ausgabe wünscht Ihnen Ihr Stefan Mutschler Chefredakteur EDITORIAL Stefan Mutschler facebook.com/itsicherheit twitter.com/it_sicherheit24 www.itsicherheit-online.com/ newsletter IT-SICHERHEIT_2/2022 3

SCHWERPUNKT RANSOMWARE: CLOUD ALS VERTEIDIGUNGS STRATEGIE 18 CLOUD UND RANSOMWARE 24 Was Zero Trust und XDR in Sachen Cybersicherheit bewirken können KLARE KANTE GEGEN RANSOMWARE 26 Worauf Forscher die IT-Welt vorbereiten DIE DREI GRÖSSTEN RANSOMWARE- TRENDS 2021 28 Cybersicherheit erfordert Zusammenspiel von Mensch und Technik STRATEGIE GEGEN RANSOMWARE & CO. 30 Die fünf Phasen eines Erpressungsangriffs RANSOMWARE – IHRE DATEN GEGEN LÖSEGELD 34 Test: Ransomware-Schutz-Pakete unter Windows 10 GUT PRAXISTAUGLICH 37 SPECIAL: ITSicherheit in der Banken und Finanzwelt CYBERSICHERHEIT 77 Risiken der Operational Technology durch OT-Monitoring senken INDUSTRIELLE IT BRAUCHT INNERE SICHERHEIT 80 Cyberattacken mit Hypothesen auf die Spur kommen THREAT HUNTING: DIE PROAKTIVE SUCHE NACH ANGREIFERN SPECIAL: IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 37 EDITORIAL 3 Wahrheit mit Wissenschaft NEWS 6 8 Unternehmens-News Produkt-News AUS DER SZENE 12 Forschungsprojekt untersucht Desinformations-Kampagnen im Netz KAMPF GEGEN LÜGEN 14 Quanteninformation als Grundlage für ein Quanten-Internet LICHT AUS SELTENERDMOLEKÜLEN 16 Statements zum World Backup Day KLASSISCHE DATEN SICHERUNG IST FÜR UNTER NEHMEN NUR DIE HALBE MIETE – BESTENFALLS SCHWERPUNKT: RANSOMWARE 18 Interview mit Robert Freudenreich und Christian Olbrich, Secomba CLOUD UND RANSOMWARE 4 IT-SICHERHEIT_2/2022

INHALTSVERZEICHNIS 14 LICHT AUS SELTENERDMOLEKÜLEN BEFEHLSEMPFÄNGER88 LOKALER SECURITY MANAGEMENT 82 Management von Cyberrisiken im industriellen Umfeld WAS FÜR DIE SICHER HEIT KONVERGENTER IT-/OT-INFRASTRUKTUREN NÖTIG IST ENDPOINT | MOBILE SECURITY 84 Tipps für mobile Sicherheit bei kritischen Anwendungen UNTERNEHMENSSTEUERUNG PER SMARTPHONE SERVICES 96 DAS TRANSFER IMPACT ASSESSMENT (TIA) DATENSCHUTZ | BACKUP | ARCHIVIERUNG 101 Webportal 86 Altes Prinzip zeitgemäß umsetzen BACKUP – ABER RICHTIG! AUS FORSCHUNG UND TECHNIK 88 Was einen Compliance-gerechten 102 VORSCHAU: Ausblick auf Ausgabe 3 | 2022 102 Impressum ADVERTORIALS Sprachassistenten von „Alexa“ unterscheidet LOKALER BEFEHLSEMPFÄNGER 11 IT-Notfälle: Der Vorfall-Experte als elementarer Teil der digitalen Rettungskette ITRECHT | DATENSCHUTZ | DATENSICHERHEIT 22 @-yet („Et jeht“, Hochdeutsch: „es geht“) 96 Pflichten aus den neuen Standardvertrags- klauseln bei der Übermittlung von personen- bezogenen Daten in Nicht-EU-Staaten DAS TRANSFER IMPACT ASSESSMENT (TIA) Ihr Partner für IT-Sicherheit und digitale Souveränität 32 Mit einem personen zentrierten Ansatz gegen Ransomware IT-SICHERHEIT_2/2022 5

NEWS | UNTERNEHMEN GAIAXLEUCHTTURMPROJEKT FÜR EUROPÄISCHE CLOUD-INFRA- STRUKTUR Europäische Digitalunternehmen und CloudAnbieter starten mit StructuraX eine Initiative für gemeinsame Infrastrukturdienste, die den Anforderungen von GaiaX entsprechen. Die 28 Unternehmen und Or ganisationen, unter ihnen Atos, haben sich im Rahmen des Leuchtturm projekts bereit erklärt, ihre CloudDienste GaiaXkonform zu gestalten. StructuraX ergänzt die branchenspezifischen Initiativen für den Auto mobilsektor (CatenaX), die Landwirtschaft (AgriGaia) und das Finanzwe sen (EuroDaT). Erste GaiaXkonforme Angebote werden für Mitte dieses Jahres erwartet. Die Initiative entstand aus der Notwendigkeit, in Europa eine GaiaX kompatible Infrastruktur aufzubauen, die neben den bestehenden Diens ten der Industrie existiert. In Abstimmung mit der GaiaX Association einigten sich zunächst sieben europäische Anbieter auf das gemeinsa me Ziel: Atos, Aruba.it, DECIX, Deutsche Telekom, Engineering, Noovle und TOPIX. Inzwischen sind weitere Unternehmen aus ganz Europa beigetreten, sodass heute insgesamt 28 StructuraXMitglieder aus zehn Ländern Teil der Initiative sind. „StructuraX wird die notwendige Skalier barkeit für eine neue sektor und länderübergreifende Zusammenarbeit in der Cloud ermöglichen, um eine föderierte europäische Cloud und EdgeInfrastruktur zu fördern. Im Rahmen dieser Initiative wird Atos als europäischer Marktführer seine Cybersicherheitslösungen und produkte einbringen, um die vollständige Souveränität und Sicherheit der Cloud Infrastrukturlösungen zu gewährleisten", so Santi Ribas, Head of Cloud Enterprise Solutions bei Atos. StructuraX lädt weitere CloudServicePro vider zur Mitarbeit ein. Gemeinsames Ziel der Initiative ist es, bestehende Infrastrukturdienste in einem Ökosystem für europäische Datensouverä nität zusammenzuführen und eine übergreifende europäische Cloud Infrastruktur zu schaffen. Nutzerinnen und Nutzer können ihre Dienste und Datenräume in einer von GaiaX anerkannten Infrastruktur testen und einsetzen. n RAPID7 IN DACH MIT STARKEM WACHSTUM UND NEUER VERTRIEBS- STRUKTUR Aufgrund seines schnellen Wachstums hat sich der ITSecuritySpezialist Rapid7 im DACHRaum eine neue Vertriebsstruktur gegeben. Im Rahmen der Umstrukturierung hat der Anbieter von Lösungen für das Schwach stellenmanagement, Cloud Security, SIEM/IDR/XDR und Threat Intelli gence Stefan Zeuch zum Manager Sales für Österreich sowie Deutschland in den Segmenten SMB, Commercial und Enterprise bis 15.000 Arbeits plätze ernannt. Zeuch ist bereits seit sieben Jahren bei Rapid7, zuletzt als Account Executive in Deutschland, Österreich und der Schweiz. Fabian Gu ter wurde auf die neue Position des Account Executive Threat Intelligence berufen. In dieser Position unterstützt Guter Kunden, Partner und seine Vertriebskollegen im Bereich der Threat Intelligence. Ziel ist es, die Kunden mithilfe der kürzlich erworbenen Lösung IntSights in die Lage zu ver setzen, sensible Informationen im Clear, Deep und Darkweb über sich zu entdecken und im Sinne einer proaktiven Maßnahme auf potenzielle Bedrohungen frühzeitig zu reagieren. Fabian Guter ist seit 2019 bei Rapid7 und hatte zuvor verschiedene Vertriebspositionen bei SecurEnvoy inne. 6 IT-SICHERHEIT_2/2022 „Wir haben im vergangenen Jahr unser ge plantes, starkes Wachstum in der DACHRe gion realisieren können und stellen uns nun neu auf, um dieses Wachstum auch weiterhin vorantreiben zu können“, so Georgeta Toth, Regional Director DACH bei Rapid7. „Dabei bleiben wir unserem Prinzip treu, Führungs positionen bevorzugt mit bewährten Mitar beitern zu besetzen.“ n Georgeta Toth, Regional Director DACH bei Rapid7 (Foto: Raprid7) ORANGE BUSINESS SERVICES UND FORTINET ENTWICKELN GEMEINSAMES SASE-ANGEBOT Orange Business Services und Fortinet arbeiten zusammen, um einen neuen Ansatz für Secure Access Service Edge (SASE) zu liefern. Dafür wer den die sicherheitsorientierten Netzwerktechnologien von Fortinet in die Orange TelcoCloudInfrastruktur integriert. Dies soll die Verknüpfung von Sicherheit und Netzwerkbetrieb stärken und gleichzeitig die Leistung optimieren, unabhängig vom Standort des Nutzers. Im Gegensatz zu anderen SASEServiceAngeboten auf dem Markt soll dieser nahtlose An satz mit eingebauter Integration und Automatisierung ServiceUpdates in Echtzeit und ein positives Benutzererlebnis bringen. Dieses nächste Kapitel in der Partnerschaft zwischen Orange und Forti net, aus der auch Flexible SDWAN based on Fortinet Secure SDWAN hervorgegangen ist, bildet die Grundlage für cloudnative Transforma tionen im großen Maßstab, um die Agilität und Ausfallsicherheit eines Unternehmens zu verbessern. Das Ergebnis ist eine kontrollierte, global verfügbare EndtoEndSASELösung, welche die Lücke zwischen dem Benutzer und der Anwendung überbrückt. Sie bietet einen sicheren Ma naged Service aus der Orange TelcoCloudInfrastruktur, der durch die CybersecurityExpertise und die Fähigkeiten von Orange Cyberdefense unterstützt wird. n BELDEN AKQUIRIERT MACMON SECURE Belden übernimmt das Team von macmon und seine innovativen Tech nologien in sein Portfolio. Macmon secure ist im Bereich professio neller Software für die Netzwerkzugangskontrolle tätig. Die Produkte des Unternehmens ergänzen das Portfolio von Belden im Bereich der industriellen Netzwerke. Sie werden in das Hirschmann Produktportfolio integriert, um das Angebot an kompletten durchgängigen Lösungen des Unternehmens zu erweitern. Mit der Aufnahme von macmon in das Belden Portfolio sollen die Initia tiven des Customer Innovation Center (CIC) durch zusätzliche Beratungs kapazitäten im Bereich der Netzwerkzugangskontrolle erweitert und die Fähigkeit, umfassende Lösungen für die komplexen industriellen Netz werkanforderungen der Kunden verbessert werden. Laut Brian Lieser, VP, Global Products, wird Beldens Lösungsportfolio durch die Übernahme um solide und bewährte Network Access Control (NAC) und Secure Defi ned Perimeter (SDP) Software zum Schutz von Netzwerken und Cloud Ressourcen erweitert. n

LIBERTY STRATEGIC CAPITAL KAUFT ZIMPERIUM Der Experte für mobile Sicherheit in EnterpriseUmgebungen Zimperium gibt bekannt, dass das Unternehmen für rund 525 Millionen USDollar von der PrivateEquityFirma Liberty Strategic Capital übernommen wird, die vom ehemaligen USFinanzminister Steven T. Mnuchin geleitet wird. Mit dieser Investition erwirbt Liberty Strategic Capital eine Mehrheits beteiligung an Zimperium, dessen Vorstandsvorsitz zukünftig Mnuchin übernimmt. Damit schafft Zimperium die Voraussetzungen dafür, sein organisches Wachstum zu beschleunigen und auch strategische Akquisi tionen zu tätigen. Als langjähriger Investor seit 2017 ist die SoftBank Cor poration weiterhin als Minderheitseigentümer beteiligt. „Es steht außer Frage, dass die digitale Welt mobil geworden ist. In diesem Prozess spielen moderne Betriebssysteme wie Android und iOS eine gewich tige Rolle dabei, wie Benutzer ihre Geräte im per sönlichen und beruflichen Leben einsetzen. Vielen Anwendern ist dabei nicht klar, wie sehr sich der Schutz mobiler Endgeräte vom Schutz herkömmli cher Endpunkte unterscheidet“, so Shridhar Mittal, CEO von Zimperium. „Wir haben viele Organisati onen aus dem öffentlichen und privatwirtschaft lichen Umfeld dabei unterstützt, ihre mobile Sicherheit zu erhöhen — jetzt treten wir in eine neue Wachstumsphase, um mit dem ehemaligen USFinanzminister Mnuchin und Liberty Strategic Capital gemeinsam noch mehr Organisationen zu erreichen.“ n Shridhar Mittal, CEO von Zimperium (Foto: Zimperium) SOCWISE GOES GERMANY Der schnell wachsende CybersecurityDienstleister SOCWISE geht mit einer eigenen Tochtergesellschaft in München an den Start. SOCWISE ist Teil der EURO ONE Corporation, die Mitglied einer seit 30 Jahren in Buda pest ansässigen Holding ist und die europaweit mehr als 600 Mitarbei tende beschäftigt. Während ihrer 17jährigen Tätigkeit gelang es dem SOCWISE Team, Security Operations Center für führende Unternehmen der kritischen Infrastruktur in ganz Europa aufzubauen und zu verwal ten. Die Resultate auf dem heimischen Markt und weitere Erfolge bei der Erschließung neuer Geschäftsfelder in Europa ermöglichten es SOCWISE, weiter zu wachsen. Der CybersecurityDienstleister fühlt sich nun bereit, auch Unternehmen in Deutschland zu bedienen, die höchste Standards und große Flexibilität in Sachen Cybersecurity voraussetzen. Gergely Lesku, Head of Business Development bei SOCWISE, erklärt, dass die Stärke des Unterneh mens besonders in der Balance zwischen Unter nehmensentwicklung und Cyberdefense liegt: „Es braucht viele Jahre, um die richtige Kombination aus vielversprechenden Technologien, effizienter Teamarbeit und effektiven Prozessen zu erlernen. Wir verstehen, dass Unternehmen die räumliche Nähe brauchen, und wir wollen sie, auch im en gen persönlichen Kontakt, bei der Einhaltung der deutschen und EUVorschriften unterstützen. Feedback und Zufrieden heit der Kunden sind hier die besten und wichtigsten Indikatoren: Als die Gergely Lesku, Head of Business Develop- ment bei SOCWISE (Foto: SOCWISE) UNTERNEHMEN | NEWS NATO unsere Expertise in einem gemeinsam mit dem NetWitnessTeam durchgeführten Projekt positiv bewertete, sahen wir uns darin bestätigt, dass wir auf dem richtigen Weg sind. Nun ist es an der Zeit, einen mutigen Schritt nach vorn zu machen.“ n SURESECURE VERSTÄRKT AKTIVITÄTEN suresecure hat im Jahr 2021 ein enormes Wachstum zu verzeichnen. Der Umsatz ist von 6,5 auf 14,7 Millionen Euro gestiegen – die Belegschaft ist von 35 auf 75 Mitarbeitern angewachsen, darunter viele erfahrene Füh rungs und Fachkräfte. Ein starker Wachstumstrend zeichnet sich auch bereits für 2022 ab – aktuell gehören suresecure bereits über 80 Mit arbeitende an. Bislang ist das Unternehmen komplett eigenfinanziert und kommt ohne Investorbeteiligung aus. Laut Unternehmenssprecher Philipp Lessig hat sich suresecure vorgenommen, in Deutschland zum Marktführer im Bereich Incident Response zu werden. Für dieses Ziel hat suresecure bereits sein Portfolio erweitert und noch stärker auf seine Partner angepasst. Mit zusätzlicher juristischer Beratung und Hilfe bei der Krisenkommunikation deckt das Unternehmen nun nach eigener Aussage alle Bereiche des Security Incident Managements ab. „Im vergangenen Jahr durften wir den größten SecurityIncident der Firmen geschichte begleiten“, so Lessing. Das Projekt nahm etwa neun Monate in Anspruch und beschäftigte ein 15köpfiges Projektteam aus unseren ITExpertinnen und Experten an 13 Standorten weltweit. Auch beim Kata strophenfall im Kreis Bitterfeld im Sommer 2021 Jahres wurden wir hin zugezogen. Seitdem ist die Nachfrage durch Städte und Kommunen stark gestiegen.“ Ein Schlüssel zum Wachstum sind nach Einschätzung von Lessing die Partnerschaften des Unternehmens: „Im Bereich SOC haben wir viele Partnerschaften ausbauen und neu schaffen können.“ Im Bereich PenTesting zählt seit kurzem auch Pentera dazu. Lessing weiter: „Wir setzen durch strategische Partnerschaften wie etwa mit Crowdstrike und Zscaler auf marktführende Technologien. So können wir unseren Partnern weitere innovative Lösungen anbieten.“ In den kommenden Monaten will suresecure seine Aufklärungsarbeit ausbauen und das Bewusstsein für das Thema ITSicherheit noch weiter schärfen. Zugleich sollen die Markt anteile im Bereich SOC und Incident Response zusammen mit dem Port folio noch weiter ausgebaut werden. n TENABLE UND SERVICENOW OPTI- MIEREN WORKFLOWS ZUR SICHERUNG DES OT-BETRIEBS Tenable hat Erweiterungen seiner Partnerschaft mit ServiceNow bekannt gegeben. Ziel ist es, die TheNowPlattform von ServiceNow mit Inven tarisierungs und Schwachstellendaten von Tenable.ot zu unterstützen. Durch die Nutzung der einheitlichen Bewertungs und Abhilfemaßnah men von Tenable soll diese neue Integration die AssetInventur opti mieren und Abhilfemaßnahmen für IT (Information Technology) und OT (Operational Technology) in konvergierten industriellen Umgebungen zentralisieren. n IT-SICHERHEIT_2/2022 7

NEWS | PRODUKTE EXTENDED DETECTION AND RESPON SE (XDR) FÜR MEHR CYBERRESILIENZ Die neue GravityZone XDR von Bitdefender erfasst als native XDRLösung die ITSicherheitslage in einem umfassenden Kontext. Dafür korreliert sie unterschiedliche Warnmeldungen. Ab dem Zeitpunkt der Installation können die Cybersicherheitsverantwortlichen auf einsatzbereite Analy setools zurückgreifen, um Vorfälle zu priorisieren. Dank automatisierter Prozesse können sie Angriffe eindämmen und erhalten die dazu nötigen Instruktionen. Dadurch können ITSicherheitsteams Risiken effizienter und besser erkennen sowie die Verweildauer von Angreifern im Unter nehmensnetzwerk minimieren. Eine native XDR ermöglicht eine inte grierte Abwehr über eine zentrale Konsole und bietet so mehr Effizienz als offene XDRAnsätze. Bitdefender GravityZone XDR ist als SaaSLösung oder als Teil des Bit defender ManagedDetectionandResponse(MDR)Dienstes imple mentiert. Zusätzlich verwenden es die Sicherheitsanalysten und Threat Hunter im Bitdefender Security Operations Center (SOC). Dank einer grö ßeren Sichtbarkeit der Gefahren im Kontext können diese schneller die Gefahrenlage analysieren und erweiterte Abwehrmöglichkeiten für die MDRKunden anbieten. n Umfassender Überblick über die aktuelle Bedrohungslage mit GravityZone XDR. (Quelle: Bitdefender) NEUES BUSINESS PRODUKTPORT- FOLIO 2022 ESET hat seine Palette an Sicherheitslösungen für Unternehmen weiter veredelt. Die ESET PROTECTPlattform wurde einer Reihe von Ände rungen unterzogen, um ITAdministratoren bei der Verwaltung ihres Netzwerks und der Bekämpfung von Cyberangriffen zu unterstützen. Im Mittelpunkt steht dabei der Enterprise Inspector – und das gleich in doppelter Hinsicht. Zum einen wird die EndpointDetectionandRespon se(EDR)Lösung in „ESET Inspect“ umbenannt. Zum anderen ist sie nun auch als CloudVariante verfügbar. Als ermöglichende Komponente hebt ESET Inspect die ESET PROTECT Plattform zu einer sogenannten „Extended Endpoint Protection and Response“Plattform (XDR). Sie hilft dabei, Organisationen umfassend wie nie schützen zu können. ESET PROTECT ist der Dreh und Angelpunkt des neuen XDRAnsatzes. Schon jetzt laufen hier alle Telemetriedaten nicht nur von Endpoints, sondern auch von Netzwerken, EMails sowie aus der CloudSandbox zusammen. In Kombination mit ESET Inspect erhalten Nutzer umfassende Möglichkeiten zur Gefahrensuche und abwehr – und damit die Komponente, die ESET PROTECT von einer Management zu 8 IT-SICHERHEIT_2/2022 einer XDRPlattform anhebt. Das soll lediglich der Startschuss für den XDRAnsatz von ESET sein, der in Zukunft noch weiter ausgebaut werden soll. Dazu gehören beispielsweise die Nutzung von Telemetriedaten aus weiteren Quellen wie CloudAnwendungen sowie die Entwicklung eines Integrationsframeworks für Drittanbieter. Darüber hinaus wurden mehrere EndpointProdukte für Windows, macOS und Android weiterentwickelt. Das neue ESET Portfolio ist ab sofort bei den über 6.500 Fachhandelspartnern in Deutschland, Öster reich und der Schweiz verfügbar. n VPN MANAGEMENT SYSTEM MIT NEUEN GEWICHTIGEN FUNKTIONEN Der NCP Secure Enterprise Management Server („SEM“) ist als zentrale Komponente der NCP VPN EnterpriseLösung der „Single Point of Admi nistration“. Mit ihm können Unternehmen ihr RemoteAccessNetzwerk bequem von zentraler Stelle aus administrieren und müssen sich nicht mit einer Vielzahl an Insellösungen beschäftigen. In der neuen Version 6.10 pro fitieren „SEM“Administratoren von einer REST API sowie einer zubuchba ren LizenzOption für die ZweiFaktorAuthentisierung. Außerdem ist der „SEM“ 6.10 für den Einsatz mit der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassenen NCP VS GovNetLösung geeignet. Der „SEM“ unterstützt ab Version 6.10 die Schnittstelle REST API (Repre sentational State Transfer – Application Programming Interface). Diese versetzt Administratoren in die Lage, Statusinformationen vom System abzufragen oder Befehlsskripte an den „SEM“ zu übertragen. Besonders hervorzuheben ist eine im Lieferumfang enthaltene NCP „SEM“ API für Python, welche Anwendern eine leistungsfähige Schnittstelle zum „SEM“ bereitstellt. Die ZweiFaktorAuthentisierung nach TOTP oder SMSVer fahren kann im „SEM“ 6.10 als kostenpflichtige LizenzOption hinzuge bucht beziehungsweise aktiviert werden. Danach kann mit dem NCP Secure Enterprise Management Server entweder ein Timebased One time Password (TOTP) oder alternativ eine SMS als zweiter Faktor für die VPNEinwahl zur Verfügung gestellt werden. n KOMBINIERTE IT-SICHERHEIT CyberRes, ein Geschäftsbereich von Micro Focus, bringt mit CyberRes Galaxy Threat Acceleration Program Basic und Plus (GTAP/GTAP+) einen intelligenten Feed auf den Markt, der speziell für die Verwendung mit ArcSight Enterprise Security Manager Version 7.6 entwickelt wurde. GTAP+ ist die ThreatIntelligenceLösungskomponente der CyberRes GalaxyPlattform, die Erkenntnisse aus dem Bedrohungsforschungs netzwerk von Galaxy einbezieht und ArcSightKunden eine proaktive Verteidigung bietet. Zusammen mit dem GTAP wird GTAP Basic als kostenloses Addon für bestehende ArcSight ESMKunden zur Verfügung gestellt. GTAP Ba sic besteht aus der öffentlichen ThreatIntelligenceFeedInstanz der OpenSourceIntelligenceLösung (OSINT) MISP CIRCL. Mithilfe von CyberRes Galaxy können Cybersicherheitsexperten sich schnell einen Überblick über die Bedrohungen für ihr Unternehmen verschaffen und

ihre Wertschöpfungsketten sichern. Der GTAP+ Feed, der alle 30 Minuten aktualisiert wird, erhält Informationen aus einer Reihe von vertrauens würdigen Cybersicherheitsquellen. Im Bereich der Gegenmaßnahmen bietet GTAP+ den ArcSight ESMSystemen unabhängig vom Reifegrad der SecOPs spezielle Funktionen für einen strategischen und proaktiven Sicherheitsansatz. n SICHERE ONLINEAUTHENTIFIZIERUNG MIT FIDO2-STICK Swissbit erweitert seine SecurityLösungen um eine neue Produktkate gorie. Mit iShield FIDO2 präsentiert der Spezialist für industrietaugliche Speicher und SecurityProdukte seinen ersten Authenticator für den offenen Authentifizierungsstandard FIDO2. Das LoginVerfahren bietet durch asymmetrische Kryptografie und die Verwendung eines Hard wareSicherheitsschlüssels hohe Sicherheit für die Anmeldung an Web diensten und Onlinekonten. iShield FIDO2 unterstützt neben USBTypA auch NFC für die Nutzung mit mobilen Endgeräten. Produziert wird der neue Stick am Berliner SwissbitStandort. Bei Bedarf kann er dort auch kundenspezifisch angepasst werden. Swissbit adressiert mit iShield FIDO2 vorrangig Unternehmen und deren ITInfrastrukturen sowie An bieter von Online und WebDiensten, die ihren Kunden ein zusätzliches Sicherheitsmerkmal zur Verfügung stellen möchten. PRODUKTE | NEWS Der Swissbit iShield FIDO2 verfügt über ein robustes, wasserdichtes Kunststoffgehäuse in Industriequalität und ist ausgelegt für den erwei terten Betriebstemperaturbereich von −25 °C bis 70 Grad Celsius. Der kompakte Stick (51,5 x 18,5 x 6 mm) mit USBASchnittstelle und Berüh rungssensor an der Rückseite unterstützt darüber hinaus NFC für die be queme TouchandgoAuthentifizierung mit kompatiblen Mobilgeräten. Der Authenticator ist neben dem aktuellen Standard FIDO2, bestehend aus den Protokollen WebAuthn und CTAP2, auch für den Vorgänger U2F zertifiziert. n iShield FiDO2 sorgt für hohe Sicherheit bei der Anmeldung an Webdiensten und Onlinekonten. (Foto: Swissbit) Anzeige VAIT oder BAIT Umsetzung? Unsere Software lässt Sie nicht im Regen stehen! www.ibi-systems.de/de/VAIT www.ibi-systems.de/de/BAIT IT-SICHERHEIT_2/2022 9 ibi systems GmbH, Franz-Mayer-Straße 1, 93053 Regensburg

NEWS | PRODUKTE REIFEGRADMODELL ZUR MESSUNG VON SECURITY CULTURE Ziel war ein evidenzbasiertes Rahmenwerk, das eine Methode einführt, um das Wissen, die Überzeugungen, die Werte sowie die Verhaltenswei sen der Mitarbeiter zu ermitteln und zu stärken, damit sie zu einer effek tiven „menschlichen Firewall“ werden können. KnowBe4 gibt die Einführung des neuen „Security Culture Maturity“ Modells bekannt. Es soll sich um das erste Reifegradmodell der Branche handeln, das speziell auf die Messung der Sicherheitskultur (Securi ty Culture) ausgerichtet ist. Das Modell wurde von KnowBe4 Research entwickelt und stützt sich auf den umfangreichen Datensatz zu Security Awareness, Verhalten und Security Culture. Die Security Culture umfasst laut Definition die Ideen, Eigenheiten und sozialen Verhaltensweisen einer Gruppe, die ihre Sicherheit beeinflussen. Das KnowBe4Modell für den Reifegrad der Security Culture ist ein evi denzbasierter Rahmen für das Verständnis und das Benchmarking des aktuellen sicherheitsbe zogenen Reifegrads eines Unternehmens, einer vertikalen Branche, einer Region oder einer beliebigen messbaren Gruppe. „Security Culture ist ein Konzept, das oft diskutiert, aber selten verstanden wird“, so Kai Roer, Chief Research Officer bei KnowBe4. „Dieses neue und bahn brechende Reifegradmodell gibt Unternehmen die Möglichkeit, einen besseren Einblick in ihren sicherheitsbezogenen Reifegrad zu erhalten.“ n Kai Roer, Chief Research Officer bei KnowBe4 (Foto: KnowBe4) ECHTZEITKI FÜR TRANSAKTIONS- VERARBEITUNG IM GROSSEN MASS- STAB UND ERSTES QUANTENSICHERES SYSTEM DER BRANCHE IBM hat das IBM z16 vorgestellt, IBMs System der nächsten Generation mit integriertem OnChipKIBeschleuniger für latenzoptimierte In ferenz. Diese Innovation wurde entwickelt, um Kunden die Analyse von EchtzeitTransaktionen in großem Umfang zu ermöglichen – für geschäftskritische Workloads wie Kreditkarten, Gesundheits und Finanztransaktionen. Auf IBMs langjähriger Rolle im Bereich Sicherheit aufbauend, wurde IBM z16 speziell zum Schutz vor zukünftigen Bedro hungen entwickelt, die dazu genutzt werden könnten, die heutigen Ver schlüsselungstechnologien zu knacken. IBM z16 vereint KIInferenz mit dem IBMTelumProzessor und einer sicheren und zuverlässigen Verar beitung großer Transaktionsvolumina. Zum ersten Mal können Banken Betrugsfälle bei Transaktionen in großem Umfang analysieren: IBM z16 soll 300 Milliarden Inferenzanfragen pro Tag mit nur einer Millisekunde Latenzzeit verarbeiten. Basierend auf IBMTechnologien, wie Pervasive Encryption und Confi dential Computing, bringt IBM z16 die Cyberresilienz einen Schritt weiter, indem Daten vor zukünftigen Bedrohungen, die sich mit den Fortschrit ten im Quantencomputing entwickeln könnten, geschützt werden. Als nach Unternehmensangaben erstes quantensicheres System der Branche basiert IBM z16 auf gitterbasierter Kryptografie, einem Ansatz für die 10 IT-SICHERHEIT_2/2022 Konstruktion von Sicherheitsprimitiven zum Schutz von Daten und Sys temen vor aktuellen und zukünftigen Bedrohungen. Mit der quantensi cheren Kryptografie der IBM z16 sollen Unternehmen ihre Anwendungen und Daten schon heute zukunftssicher gestalten können. Durch Secure Boot (was bedeutet, dass böswillige Akteure keine Malware in den Boot Prozess einschleusen können, um das System während des Starts zu übernehmen) können IBM z16Kunden ihre CyberResilienz stärken und die Kontrolle über ihr System behalten. n IBM z16 integriert den IBM-Telum-Prozessor, sodass Kunden KI-Inferenz für Erkenntnisse in Echtzeit einsetzen können. (Foto: IBM) ERSTE TERABITLÖSUNG ZUR DDOS- ABWEHR Radware hat mit der DefensePro 800 eine TerabitDDoSMitigations Plattform vorgestellt. Die jüngste Weiterentwicklung der DefensePro Produktreihe bietet Tier1ServiceProvidern und Großunternehmen die erforderliche Performance, um die neuen Netzwerkanforderungen im Zusammenhang mit 5G, Edge Computing und NetzwerkVirtualisierung sowie den erheblich gestiegenen Bandbreitenbedarf zu erfüllen. Die DDoSMitigationPlattform nutzt 400GSchnittstellen und kann bis zu 1,2 Milliarden Pakete pro Sekunde (PPS) verarbeiten. Die Mitigations kapazität beträgt bis zu 800 Gigabit pro Sekunde (GBit/s). Mit ihren patentierten, verhaltensbasierten und automatisierten Algorithmen soll sie ausgeklügelte MultiVektorAngriffe in jedem Umfang abwehren. Dazu gehören automatisierter DDoSSchutz vor Burst, DNS und TLS/ SSLAngriffen sowie vor RansomwareDDoSKampagnen, IoTBotnets, Phantom Floods und anderen Arten von Cyberbedrohungen. Die neue Plattform verfügt über Radwares Hardware Mitigation Engine der nächs ten Generation und eine außergewöhnlich hohe Portdichte, die einen performanten und effizienten DDoSSchutz bietet. n Mit der DefensePro 800 hat Radware die branchenweit erste Terabit-DDoS- Mitigations-Plattform vorgestellt. (Foto: Radware)

– ADVERTORIAL – IT-Notfälle: Der Vorfall-Experte als elementarer Teil der digitalen Rettungskette Die Vernetzung digitaler Geräte bietet Cyberkriminellen immer neue Angriffsflächen. Doch was ist aus Sicht von Unternehmen im Fall eines akuten IT-Sicherheitsvorfalls konkret zu tun? Aufgrund der starken Abhängigkeit von einer funktionierenden Informationstech- nik muss angemessen und schnell auf IT-Sicherheitsvorfälle reagiert werden, um das Schadensausmaß auf ein Minimum zu reduzieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für den Ernstfall wichtige Leitlinien erarbeitet, die Betroffenen und Verantwortlichen konkrete Handlungsanweisungen geben. Hier setzt das Cybersicherheitsnetzwerk (CSN) des BSI an. Mit dem CSN wird eine flächendeckende dezentrale Struktur aufgebaut, über die Unternehmen bei IT-Sicherheitsvorfällen effiziente Unterstützung erhalten können. Ein entscheidender Bestandteil der „Digitalen Rettungskette“ des CSN sind Vorfall-Experten. Vorfall-Experten sind in der Regel IT- Fachleute mit spezifischer Berufserfahrung, die sich zusätzlich im Rahmen einer Aufbauschulung für das CSN als Vorfall-Experte qua- lifiziert haben. Im Rahmen der Digitalen Rettungskette sollen sie so weit qualifiziert sein, dass sie in der Lage sind, IT-Sicherheitsvorfälle umgehend zu analysieren und entsprechende Hilfeleistung zu ge- ben – gegebenenfalls auch vor Ort. CSN Vorfall-Experte – offizielle BSI-Aufbauschulung Der von der Bitkom Akademie durchgeführte Lehrgang vermittelt das vom BSI offiziell vorgegebene Curriculum zur Qualifizierung von Vorfall-Experten als Teil der Initiative des CSN. Angefangen von den relevanten Grundlagen und Gesetzen über das Vorgehen bei Vorfällen bis hin zur Sensibilisierung der Mitarbeiter erhalten Teil- nehmende elementare Handlungsempfehlungen für das Agieren im Ernstfall. Mit dem Abschluss dieses Seminars erfüllen sie eine wesentliche Anforderung zur Teilnahme an Qualifizierungsmaß- nahmen des BSI, um zur Prüfung zum Vorfall-Experten zugelassen zu werden. Die Bitkom Akademie ist anerkannter Schulungsanbie- ter des BSI. Ziele des Lehrgangs Teilnehmende lernen, wie sie einen unmittelbaren IT-Sicherheits- vorfall angemessen erfassen und die erforderlichen Schritte ein- leiten, um das Schadensausmaß schnell und effizient einzugren- zen. Für die Hilfe vor Ort erhalten sie konkrete Praxistipps und Strategien, wie sie sich schnell einen Überblick über die Gegeben- heiten im betroffenen Unternehmen verschaffen. Außerdem lernen die Teilnehmenden das Durchführen von Analysen und das Nach- vollziehen der Angriffswege kennen, um Ursachen und Prävention gleicher maßen zu begegnen. Zielgruppe Der Lehrgang richtet sich an Interessenten, die sich zum Vorfall- experten im Rahmen des Cybersicherheitsnetzwerks qualifizieren und Unternehmen langfristig vor Cyberangriffen schützen wol- len. Er eignet sich daher besonders für Entscheidende, Beratende und Mitarbeitende, die bereits über Grundkenntnisse im Bereich IT-Sicherheit und BSI Grundschutz haben. Auch unabhängig vom Qualifizierungsprogramm des BSI eignet sich der Lehrgang als opti- male Grundlagenausbildung für Verantwortliche im IT-Sicherheits- bereich. n Der nächste Lehrgang findet vom 27. bis 29. Juni 2022 online statt. Für weitere Informationen kontaktieren Sie bitte Vincent Bergner: v.bergner@bitkom-service.de https://www.bitkom-akademie. de/lehrgang/csn_vorfall_experte Die Bitkom Akademie unterstützt Sie bei der Qualifizierung Ihrer Belegschaft Im Jahr 2022 haben wir eine ganze Reihe neuer Lehrgänge in unser Seminarangebot aufgenommen, beispielsweise im Bereich E-Learning, User Design oder der Künstlichen Intelligenz. Somit bietet die Bitkom Akademie Ihnen auch 2022 ein komplementäres und nachhaltiges Weiterbildungskonzept aus dem breiten Bereich der digitalen Transformation. Unser Seminarangebot finden Sie unter: bitkom-akademie.de/seminare IT-SICHERHEIT_2/2022 11

AUS DER SZENE Das Forschungsprojekt KIMONO am Forschungsinstitut (FI) CODE an der Universität der Bundeswehr Mün- chen untersucht, wie Desinformations-Kampagnen frühestmöglich erkannt, klassifiziert und beobachtet werden können. (Quelle: Universität der Bundeswehr München) ration KIMONO: „Um im Ernstfall angemessen reagieren zu können, ist es essenziell, die geziel te Verbreitung von Falschinformationen in sozia len Medien wissenschaftlich zu untersuchen und die dahinterliegenden Muster und Netzwerke möglichst frühzeitig zu erkennen“, so Geierhos. das Beziehungsnetzwerk der jeweiligen nutzen den Person, die sprachliche Gestaltung der Posts oder Informationen über die PostingHäufigkeit und die FollowerZahl ein – die beiden letztge nannten Faktoren sind insbesondere für die Er kennung sogenannter Social Bots relevant. Innerhalb der vergangenen zehn Jahre sind die sozialen Medien zu einer zentralen In formationsquelle für Milliarden Menschen weltweit geworden. Spätestens seit dem Ara bischen Frühling 2011 ist klar, wie viel Einfluss Facebook, Twitter und Co. auch auf politische Prozesse haben. Doch gezielte Desinformations Kampagnen können Menschen manipulieren und so zu einer massiven Schwächung des Ver trauens in die Demokratie, ihre rechtsstaatlichen Prinzipien sowie in die Meinungsfreiheit führen. DESINFORMATION KANN GANZE STAATEN DESTABILISIEREN Zudem besteht die Gefahr, dass staatliche Ak teure Beeinflussungskampagnen in sozialen Medien nutzen, um gegnerische Staaten zu de stabilisieren (hybride Kriegsführung). Im Projekt KIMONO (Kampagnenidentifikation, monitoring und klassifikation mittels Methoden des Social Media Mining zur Integration in ein KIbasiertes Frühwarnsystem) am FI CODE der Universität der Bundeswehr München arbeiten Wissenschaft lerinnen und Wissenschaftler daran, derartige Kampagnen möglichst frühzeitig zu erkennen, um deren Entwicklung und Verbreitung zu be obachten und geeignete Gegenmaßnahmen einleiten zu können. Prof. Michaela Geierhos, Professorin für Data Science und Technische Direktorin am FI CODE, leitet die deutschisraelische Forschungskoope WELCHE MERKMALE VERRATEN FAKE NEWS? Das Projektteam nutzt für die Datenakquise eine klassische elektronische Pipeline: Diese ruft entsprechende Daten von verschiedenen SocialMediaPlattformen wie Twitter, Facebook und Instagram ab und speichert sie zunächst in einer Datenbank. Zur Auswertung wenden die Wissenschaftlerinnen und Wissenschaftler verschiedene StateoftheArtAlgorithmen des flachen und tiefen Lernens an. In die Analyse und Klassifikation fließen auch Merkmale wie etwa MIT KÜNSTLICHER INTELLIGENZ (KI) GEGEN FALSCHINFORMATIONEN Um russische Desinformations-Kampagnen zu überwachen und zu entlarven und Fake News zu stoppen, bietet das junge US-Unternehmen V7 kostenlos einen KI-gestützten Detektor für gefälschte Social-Media-Proﬁle an. Das KI-Modell, welches durch das Unternehmen trainiert wurde, soll bei der Klassiﬁzierung von Proﬁlbildern in sozialen Medien als „echt“ oder „gefälscht“ eine Genauigkeit von 99,29 Prozent erreichen. Diese als Chrome-Erweiterung bereitgestellte Software soll Behörden und Bürgern dabei helfen, Proﬁle, die gefälschte Nachrichten verbreiten und so ein Informationschaos verursachen könnten, zu erkennen und zu melden – insbesondere angesichts der russischen Invasion in der Ukraine. Eine Demo der Software gibt es unter: https://www.loom.com/share/2dbcf5db9b1641dd8d5acfea862982a3 ANFORDERUNGS - KATALOG FÜR EIN FRÜH- WARN SYSTEM Im Ergebnis soll eine Softwareunterstützung entstehen, um Kampagnen nicht nur schnell zu erkennen und explizit zu markieren, sondern zusätzlich noch ergänzende Erklärungen bereit zustellen, warum ein bestimmter SocialMedia Beitrag als Teil einer irreführenden Informa tions und Beeinflussungskampagne eingestuft wird. Prof. Geierhos: „Es ist wichtig, dass die Nutzenden die Klassifizierung verstehen und das Ergebnis transparent bleibt. Nur so können sinnvolle Maßnahmen abgeleitet werden.“ Ein weiteres Ziel des Projekts ist die Bereitstellung eines Anforderungskatalogs, der für die spätere Entwicklung eines Frühwarnsystems herange zogen werden soll. n Das Projekt KIMONO wird vom Bundesministe rium der Verteidigung gefördert und läuft noch bis zum Jahr 2023. Mehr zum Projekt KIMONO gibt es hier: https://www.unibw.de/datensicherheit/ professuren/data-science/forschung/kimono IT-SICHERHEIT_2/2022 13 Illustration: © skypicsstudio - stock.adobe.com

AUS DER SZENE Quanteninformation als Grundlage für ein Quanten-Internet LICHT AUS SELTEN ERDMOLEKÜLEN Mit Licht lässt sich Quanteninformation schnell, effizient und abhörsicher verteilen. Forschende des Karlsruher Instituts für Technologie (KIT), der Universität Straßburg, der Chimie ParisTech und der nationalen französischen Forschungsorganisation CNRS haben nun die Entwicklung von Materialien zur Verarbeitung von Quanteninformation mit Licht wesentlich vorangebracht: In der Zeitschrift „Nature“ präsentieren sie ein zu den Metallen der Seltenen Erden gehörendes kernspinhaltiges Europium-Molekül, mit dem sich eine effektive Photon-Spin- Schnittstelle verwirklichen lässt. 14 IT-SICHERHEIT_2/2022

AUS DER SZENE Quanteninformation wird aller Voraussicht nach nicht nur die Forschung und die Industrie, sondern letztlich auch das Alltagsleben revolu tionieren: Sie verspricht unter anderem enorme Fortschritte bei der Simulation von Materialien und Prozessen, was beispielsweise die Entwick lung neuer Arzneimittel, die Verbesserung von Batterien, die Verkehrsplanung, sowie sichere Information und Kommunikation voranbringen kann. Ein Quantenbit (Qubit) kann sich gleichzei tig in vielen verschiedenen Zuständen zwischen 0 und 1 befinden. Diese sogenannte Quantensu perposition ermöglicht, Daten massiv parallel zu verarbeiten. Dadurch steigt die Rechenleistung von Quantencomputern gegenüber digitalen Computern exponentiell. Um Rechenoperatio nen durchführen zu können, müssen die Überla gerungszustände eines Qubit allerdings eine ge wisse Zeit lang bestehen. Die Quantenforschung spricht von Kohärenzlebensdauer. Kernspins, das heißt Drehimpulse der Atomkerne in Molekülen, ermöglichen Überlagerungszustände mit langen Kohärenzlebensdauern, denn die Kernspins sind gut von der Umgebung abgeschirmt, sodass sie die Qubits vor störenden äußeren Einflüssen schützen. EFFEKTIVE LICHT-KERN- SPIN-SCHNITTSTELLE „Um praktische Anwendungen zu ermöglichen, müssen wir Quantenzustände speichern, verar beiten und verteilen können“, erklärt Profes sor Mario Ruben, Leiter der Forschungsgruppe Molecular Quantum Materials am Institut für Quantenmaterialien und technologien (IQMT) des KIT sowie des European Center for Quantum Sciences – CESQ an der Universität Straßburg. „Dazu haben wir nun ein vielversprechendes neuartiges Material identifiziert: ein kernspin haltiges EuropiumMolekül, das zu den Metallen der Seltenen Erden gehört.“ In einer in der Zeit schrift „Nature“ erschienenen Publikation stellen Forschende um die Professoren Mario Ruben und David Hunger vom IQMT des KIT, sowie Dr. Philippe Goldner von der École nationale supéri eure de Chimie de Paris (Chimie ParisTech – PSL University; Centre national de la recherche scien tifique, CNRS) das innovative Material vor. Das Molekül ist so aufgebaut, dass es bei Laser anregung Lumineszenz zeigt, das heißt Lichtteil chen aussendet, welche die Kernspininformation Darstellung der Photon-Spin-Schnittstelle mit dem Europium-Molekülkristall zur Vernetzung von Kernspin-Qubits (Pfeile) mithilfe von Photonen (gelb). (Grafik: Christian Grupe, KIT) tragen. Durch gezielte Laserexperimente lässt sich damit eine effektive LichtKernspinSchnitt stelle schaffen. Die vorliegende Arbeit zeigt die Adressierung von Kernspinniveaus mithilfe von Photonen, die kohärente Speicherung von Pho tonen sowie die Ausführung erster Quantenope rationen. HOHE DICHTE AN QUBITS Um nützliche Quantenoperationen durchzu führen, bedarf es vieler Qubits, die miteinander quantenmechanisch verbunden werden. Für diese Verschränkung müssen die Qubits mitein ander wechselwirken können. Die Forschenden aus Karlsruhe, Straßburg und Paris weisen in ihrer Arbeit nach, dass sich die EuropiumIonen in den Molekülen über elektrische Streufelder so miteinander koppeln können, dass künftig Verschränkung und damit Quanteninformati onsverarbeitung möglich wird. Da die Moleküle atomgenau aufgebaut sind und sich in exakten Kristallen anordnen, lässt sich eine hohe Qubit Dichte erreichen. Ein weiterer für praktische Anwendungen ent scheidender Aspekt ist die Adressierbarkeit der einzelnen Qubits. Mit optischer Adressierung lässt sich die Auslesegeschwindigkeit steigern, lassen sich störende elektrische Zuführungen vermeiden, und durch Frequenzseparation lässt sich eine Vielzahl von Molekülen individuell adressieren. Die vorliegende Arbeit erreicht ge genüber früheren Arbeiten eine rund tausend fach verbesserte optische Kohärenz in einem molekularen Material. Damit lassen sich Kern spinzustände gezielt optisch manipulieren. EIN SCHRITT HIN ZUM QUANTENINTERNET Licht eignet sich auch dazu, Quanteninforma tion über größere Distanzen zu verteilen, um beispielsweise Quantenrechner miteinander zu verknüpfen oder Informationen abhörsicher zu übertragen. Durch Integration des neuartigen EuropiumMoleküls in photonische Strukturen zur Verstärkung der Übergänge könnte auch dies in Zukunft möglich sein. „Unsere Arbeit bildet einen wichtigen Schritt hin zu Quanten kommunikationsarchitekturen mit seltenerdba sierten Molekülen als Grundlage für ein Quan teninternet“, so Professor David Hunger vom IQMT des KIT. n S.M. Originalpublikation: Diana Serrano, Kuppusamy Senthil Kumar, Benoît Heinrich, Olaf Fuhr, David Hunger, Mario Ruben, Philippe Goldner: „Rare-Earth Molecular Crystals with Ultra-narrow Optical Linewidths for Photonic Quantum Technologies“, erschienen in „Nuture“. Für Nicht-Abonennten ist der Artikel (in englischer Sprache) kostenpflichtig (32 Dollar) und hier erhältlich: www.nature.com/articles/s41586-021-04316-2 IT-SICHERHEIT_2/2022 15 Foto: ©Jürgen Fälchle - stock.adobe.com

AUS DER SZENE Statements zum World Backup Day KLASSISCHE DATEN SICHERUNG IST FÜR UNTER NEHMEN NUR DIE HALBE MIETE – BESTENFALLS Am 31. März war mal wieder World Backup Day – Anlass für Branchenexperten, den aktuellen Stand in Sachen Backup zu beurteilen und auf neue Trends und Erfordernisse aufmerksam zu machen. Einhellige Beobachtung: Noch nicht einmal klassische Backup-Lösungen sind in allen Unternehmen etabliert. Leider liegt noch viel mehr im Argen. Für viele Unternehmen bedeutet Backup das Anschaffen und Einrich ten einer entsprechenden Lösung. Noch nicht einmal das ist heute Selbstverständ lichkeit, und selbst wenn, dann werden diese Lö sungen meist viel zu selten auf ihre Funktions tüchtigkeit hin getestet. Und selbst wenn dies der Fall sein sollte, dann endet in zu vielen Un ternehmen das Thema Datensicherung/Backup genau an dieser Stelle. An diesem Punkt ist aber bestenfalls die halbe Miete bezahlt, denn: Was passiert, wenn das Backup selbst von Angreifern verschlüsselt wurde, oder wenn Angreifer das Backup mit Schadsoftware „verseucht“ haben? Und selbst wenn das Backup unbeschadet ist: Wie bekommt man die benötigten Daten schnell 16 IT-SICHERHEIT_2/2022 und sicher wieder in das „laufende“ ITSystem gespielt – und woher weiß man, welche Daten wiederherzustellen sind? Diese und viele weitere Fragen stellen sich sehr viele Unternehmen nicht – oder erst dann, wenn es zu spät ist. Im Umfeld des jährlichen World Backup Day beziehen Experten Stellung zu einem Thema, das nicht zuletzt aufgrund der aktuell sehr angespannten Cybersicherheitslage besonders akut ist. „Eines ist klar: Backups allein werden Unterneh men nicht retten, wenn sie von einer Cyberat tacke betroffen sind“, so Markus Grau, Prin cipal Technology Strategist bei Pure Storage. „Im Jahr 2022 richtet Ransomware weiterhin weltweit große Schäden an. Da Unternehmen aller Größenordnungen immer größere Mengen an sensiblen Kundendaten speichern, ist kein Platz mehr für eine „Das wird uns schon nicht passieren“Mentalität. Führungskräfte müssen an das WorstCaseSzenario denken und sich auf eine schnelle Wiederherstellung nach einem Angriff vorbereiten. Markus Grau, Principal Technology Strategist bei Pure Storage (Foto: Pure Storage)

Während in der Vergangenheit BackupSysteme eine Versicherung gegen Angriffe darstellten, versuchen Hacker jetzt leider auch, diese zu knacken. Unternehmen brauchen fortschrittli che, unveränderliche Snapshots ihrer Daten, die geschützt sind, weil sie nicht gelöscht, verändert oder verschlüsselt werden können. Dies, in Ver bindung mit der Möglichkeit, Daten schnell wie derherzustellen, ist von größter Bedeutung.“ „Daten sind das Lebenselixier eines jeden Unternehmens. Der Schutz dieser Daten vor Softwarefehlern, Datenbeschädigung, mensch lichem Versagen, Hardwareausfällen, Naturka tastrophen oder – in zunehmendem Maße – vor RansomwareAngriffen und anderer Cyberkri minalität ist die Aufgabe der Datensicherung“, erklärt James Blake, EMEA Field CISO bei Rubrik. „Hierbei wird ein zeitpunktbezogener Snapshot erfasst und synchronisiert, der dann verwendet werden kann, um bei einem kritischen Vorfall den vorherigen Zustand der Daten wiederherzu stellen. Ziel ist es, eine schnelle und zuverlässige Datenwiederherstellung zu gewährleisten. Seit dem Inkrafttreten der DSGVO in der EU sind nachweisbarer Datenschutz sowie die Wieder herstellung und Löschung von Daten für Unter nehmen zur Pflicht geworden. Dies hat zwar einen zusätzlichen Anstoß für Unternehmen geschaffen, über Datensicherung nachzuden ken, aber zu viele stellen die falschen Fragen. Sie konzentrieren sich darauf, wie sie mit möglichst geringem Aufwand die Vorschriften einhal ten können, und hoffen, die Datensicherung so schnell wie möglich zu erledigen, um sich ande ren dringenden ITProblemen wie der Cybersi cherheit zu widmen. James Blake, EMEA Field CISO bei Rubrik (Foto: Rubik) Backups enthalten nicht nur die Daten, die das Unternehmen zur Erfüllung seiner Aufgaben benötigt, sondern auch Informationen über die Aktionen von Angreifern im Unterneh men und eindeutige Signale für böswillige und unbefugte Aktionen. So lassen sich mit einem SecurityOrchestrationandAutomationTool automatisch mehrere Kopien kompromittierter Systeme über den gesamten Angriffslebenszy klus hinweg erstellen. Administratoren könnten AUS DER SZENE Jedes Jahr entscheiden sich mehr Unternehmen für die Cloud als Möglichkeit für die Sicherung von Dateien und für die Notfall-Wieder- herstellung. Es reicht jedoch nicht aus, nur für die Datensicherung zu sorgen, sondern es muss auch ein größeres Augenmerk auf die Cybersicherheit gelegt werden.“ Stefan Raben, Area Sales Director DACH & Eastern Europe bei Wallix über Workloads hinweg nach Indikatoren für eine Kompromittierung suchen, unabhängig davon, ob es sich um physische, virtuelle oder cloudbasierte Systeme handelt, ohne dass sie mehr Infrastruktur bereitstellen und verwalten müssen. Moderne BackupLösungen können einen Sicherheitswert aus den Daten ziehen, die das Unternehmen erstellt. In einer Zeit, in der CyberResilienz anstelle von Cybersicherheit gefragt ist, ist das Backup der beste Freund der Unternehmen.“ „Jedes Jahr entscheiden sich mehr Unternehmen für die Cloud als Möglichkeit für die Sicherung von Dateien und für die NotfallWiederherstel lung“, so Stefan Raben, Area Sales Director DACH & Eastern Europe bei Wallix. „Es gibt keinerlei Anzeichen dafür, dass sich diese Entwicklung verlangsamt, im Gegenteil, die heutige hy bride Welt wird diesen Trend noch verstärken. Es reicht jedoch nicht aus, nur für die Datensiche rung zu sorgen, sondern es muss auch ein grö ßeres Augenmerk auf die Cybersicherheit gelegt werden. Auch wenn die Anbieter von Cloud Diensten den Datenschutz in ihre Angebote in tegriert haben, sind die Unternehmen nach wie vor rechenschaftspflichtig. Wir brauchen einen viel stärkeren Fokus auf dieses Thema. Da immer mehr Unternehmen die Cloud nutzen und wir uns in einer immer hybrideren Welt weiterent wickeln, ist es wahrscheinlich, dass die Cyber bedrohungen in der Cloud zunehmen werden. Die Unternehmen müssen sich darauf verlassen können, dass ihre Daten nicht nur gesichert, son dern auch sicher sind. Es ist von entscheidender Bedeutung, dass Unternehmen ihre Sicherheits praktiken verbessern und ein umfassendes Zero TrustModell auch für die Cloud einführen, um die Sicherheit und Integrität von CloudBackups auch in Zukunft zu gewährleisten.“ Für Matthias Traeger, Regional Sales Manager bei Zerto, wird die Wirkung von Backups über schätzt. Als Schutz gegen Ransomware reiche Backup bei Weitem nicht aus. „Der Irrglaube, dass Backups die Lösung gegen Ransomware sind, bleibt hartnäckig bestehen, auch weil na hezu alle namhaften BackupAnbieter ihre Pro dukte als Lösung für Disaster Recovery anprei sen“, so der Experte. „Um im Ernstfall reagieren zu können, verlassen sich viele Unternehmen hauptsächlich auf Backups und vergessen dabei, dass eine Wiederherstellung moderner Enter priseApplikationen durch deren Komplexität viel Zeit in Anspruch nehmen kann. Zusätzlich ist eine Wiederherstellung aus einem Backup im mer mit einem gewissen Datenverlust verbun den: die Daten, welche seit dem letzten Backup bis zum Katastrophenfall entstanden sind. Doch das muss nicht sein. Modernere Lösungen er möglichen die Wiederherstellung komplexer Anwendungen in sehr kurzer Zeit und senken damit die Ausfallzeit im Ernstfall dramatisch auf nur wenige Minuten. Ein eventueller Datenver lust beschränkt sich hier auf Sekunden. Solche Lösungen nutzen kontinuierliche Datensiche rung, kurz CDP, anstatt periodischer Backups und führen so Disaster Recovery, Backup und CloudMobilität in einer einzigen, einfachen und skalierbaren Lösung zusammen.“ n Matthias Traeger, Regional Sales Manager bei Zerto (Foto: Zerto) S.M. IT-SICHERHEIT_2/2022 17 Illustration: ©zaurrahimov - stock.adobe.com

SCHWERPUNKT: RANSOMWARE Interview mit Robert Freudenreich und Christian Olbrich, Secomba Cloud und Ransomware ITS: Wenn ich richtig informiert bin, gibt es Secomba schon seit 2011. Und Ihr wichtigstes Produkt Boxcryptor bot schon Ver- schlüsselung für Daten in der Cloud an, bevor Edward Snowden seinerzeit an die Öffentlichkeit getreten ist. Verglichen mit Ihrem Start vor fast elf Jahren, wie hat sich die Cloud-Sicherheit Ihrer Einschätzung nach seitdem entwickelt? Wo sehen Sie Verände- rungen? Robert Freudenreich: Die Nutzergruppen haben sich verscho- ben. Anfangs kam das Interesse vor allem aus dem privaten Be- reich. Inzwischen sorgen sich auch Unternehmen viel mehr um den Schutz und die Sicherheit ihrer Daten. Das liegt zum Teil an der Produktentwicklung. Vor elf Jahren waren viele Produkte, darunter auch Cloud-Speicher, einfach noch nicht für den Un- ternehmenseinsatz geeignet und deshalb nicht relevant. Aber auch allgemein wird der digitalen Sicherheit mehr Aufmerk- samkeit zuteil. An den Bedrohungen selbst hat sich allerdings wenig verändert, Ransomware zum Beispiel ist seit Jahren in Umlauf. ITS: Ransomware ist ein gutes Stichwort. Wie schätzen Sie die Bedrohungslage für Unternehmen ein, auch im Vergleich zu an- deren Angriffsszenarien? Christian Olbrich: Die Bedrohungslage ist ernst, auch weil Reichweite und Angriffsflächen zunehmen. Ein Grund dafür ist – ganz aktuell – der Zuwachs an Homeoffice. Firmendaten müs- sen mit nach Hause genommen und auch dort geschützt wer- den. Diese neuen Angriffsflächen führen außerdem dazu, dass Kriminelle neue Wege ausprobieren. Neben Erpressung durch 18 IT-SICHERHEIT_2/2022 Nach wie vor spaltet die Cloud die Gemüter: Eher ein Risiko für wichtige Daten oder doch ein guter Schutz? Für Robert Freudenreich, CTO von Secomba, und Christian Olbrich, IT-Sicherheitsexperte, ist der Fall klar: Die Cloud kann ein ausgezeichneter Schutz sein – nicht zuletzt bei immer raffinierter ausgeführten Ransomware-Angriffen. Damit das reibungslos klappt, mahnen sie jedoch zum bedachten Einsatz der Verschlüsselungstechnologie. Doch was genau kann die Cloud gegen Ransomware ausrichten? Was ist für eine umfassend wirksame Verschlüsselung zu beachten? Im Gespräch mit IT-SICHERHEIT gaben die beiden Security-Spezialisten Auskunft zu diesen und vielen weiteren Fragen.Bild: ©ecco - stock.adobe.com

SCHWERPUNKT: RANSOMWARE Die Bedrohungslage ist ernst, auch weil Reichweite und Angriffsflächen zu- nehmen. Ein Grund dafür ist – ganz aktuell – der Zuwachs an Homeoffice. Sehr viele Cloud-Anbieter machen Werbung damit, dass sie Ihre Daten ver- schlüsseln. Nutzer haben hier aber keine Kontrolle, wo und wie die verwendeten Schlüssel gespeichert sind. IT-SICHERHEIT_2/2022 19 wurden. Allgemein ist es so, dass die beste Sicherheit gegen Ransomware Backups darstellen. Das gilt ebenso für alle ande-ren Möglichkeiten, Daten zu verlieren. Und den besten Platz für Backups bietet aktuell die Cloud.ITS: Gegenüber der Cloud gibt es zum Teil noch immer Vorbe-halte. Stellen Cloud-Speicher, also Datenzentren außerhalb der eigenen Kontrolle, nicht eher ein zusätzliches Risiko für die Da-tensicherheit dar?Robert Freudenreich: Der Schlüsselbegriff ist hier ganz richtig: Kontrolle. Die Cloud stellt kein zusätzliches Risiko dar, sondern ein anderes. Wenn Sie Daten an einen Cloud-Speicher übertra-gen, geben Sie natürlich die Kontrolle ab. Kontrolle heißt in die-sem Fall: die physischen Daten, das Dokument liegt nicht mehr bei Ihnen auf dem Server. Die Ausfallsicherheit Ihrer Daten ist allerdings in der Cloud meist deutlich größer, als es auf Ihrem eigenen Server der Fall wäre.Christian Olbrich: Selbstbetriebene Server sind oft weniger gut gesichert als Cloud-Speicher, die ja auf die sichere Verwahrung der Daten spezialisiert sind. Auf Cloud-Daten zuzugreifen ist für Kriminelle deutlich schwerer und damit auch weniger inte-ressant. Aber trotzdem dürfen Sie den schon angesprochenen Kontrollverlust nicht unbedacht lassen. Dagegen müssen Sie selbstverständlich etwas unternehmen, da kommt Verschlüsse-lung ins Spiel.ITS: Welche Rolle spielt Verschlüsselung dabei?Robert Freudenreich: Ende-zu-Ende-Verschlüsselung gibt Ihnen genau die Kontrolle zurück, die Ihnen die Cloud „weg-nimmt“. Ab dem Moment der Verschlüsselung bestimmen Sie allein, wer auf Ihre Dokumente und Ordner zugreifen kann. Au-ßerdem reduziert sie die Angriffsfläche für Leakware erheblich. Verschlüsselte Daten können nicht veröffentlicht werden, sie sind also nutzlos. Wer also berechtigte Bedenken bezüglich der Datensicherheit in der Cloud hat, kann diese mit Ende-zu-Ende-Verschlüsselung gut überwinden.Christian Olbrich: Übrigens spricht auch für zusätzliche Ver-schlüsselung, dass Angreifer immer zwei Zugänge kapern müss-ten. Das heißt: Auch dann, wenn der Speicher einem Angriff Datenverschlüsselung nehmen auch der Datendiebstahl und die Drohungen, Daten zu veröffentlichen, zu. Diese Leakware-An-griffe haben zwar noch nicht das Ausmaß anderer Ransomware-Attacken, aber sie kommen immer häufiger vor. ITS: Was ist Ihre Einschätzung: Warum konzentrieren sich Kriminelle nun verstärkt auf Leakware-Angriffe? Christian Olbrich: Weil es einfacher ist. Wenn Sie eine neue Schadsoftware in Umlauf bringen möchten, ohne auf bekannte Programme zurückzugreifen, ist eine reine Datenklau-Software einfacher zu erstellen als eine funktionierende Verschlüsselung. Durch das Knacken bekannter Schadprogramme geben wir den Kriminellen immer auch eine Möglichkeit, ihre Schwachstellen zu erkennen und auszubessern. Aber dafür braucht es krypto-grafisches Know-how. Leakware muss „nur“ an die Daten kom-men.Robert Freudenreich: Man darf nicht vergessen, dass die Ver-teidigungsmaßnahmen gegen bekannte Schadsoftware besser werden. Cybersicherheit ist ein Katz-und-Maus-Spiel. Krimi-nelle versuchen da anzugreifen, wo es am einfachsten ist. Wir werden in Zukunft wahrscheinlich mehr Kombinationen aus klassischer Krypto-Ransomware und Leakware sehen. Ein Krypto-Trojaner verschlüsselt erst einmal Ihre Systeme und legt vielleicht den Betrieb lahm. Aber die Veröffentlichung gestohle-ner Daten kann dafür in der Folge schwere und langfristige Kon-sequenzen haben. Das Schadenspotenzial ist also ein anderes, und es werden andere Bereiche und Daten betroffen sein.ITS: Nun werben Sie gezielt für den Einsatz von Cloud-Speichern zum Schutz vor Ransomware-Angriffen. Wie genau kann die Cloud dabei helfen?Christian Olbrich: Die Cloud ist kein Schutz vor Ransom ware selbst, das muss deutlich gesagt werden. Aber sie schützt vor Datenverlust: Der Grundgedanke ist, dass Cloud-Anbieter un-veränderliche Backups erstellen. Durch Versionierung lassen sich dann Schäden an Daten quasi „zurückdrehen“.ITS: Wie genau funktioniert dieses „Zurückdrehen“?Robert Freudenreich: Versionierung funktioniert durch ob-jektbasierte Speicherung. Einfach gesagt bedeutet das, dass neue Versionen die alten nicht einfach überschreiben. Stattdes-sen werden sie „obendrauf“ gelegt. Sie können jederzeit einen alten Entwurf tiefer aus dem Stapel wieder herausziehen. Das gilt auch, wenn Ihre Dateien von Ransomware verschlüsselt

SCHWERPUNKT: RANSOMWARE Nicht warten, bis es zu spät ist. Leider erleben wir es selbst oft, dass Unternehmen erst zu uns kommen, wenn es schon zu spät ist. zum Opfer fiele, zum Beispiel durch Phishing, und ihre Zugangs- daten für den Cloud-Speicher kompromittiert wären, bleibt die Verschlüsselung intakt und unberührt. Außerdem kann eine Fir- ma über Zugriffsbeschränkungen in verschlüsselten Cloud-Spei- chern ganz klar vorgeben, wer auf was Zugriff hat. Wäre also der Zugang einer Person kompromittiert, ist noch nicht das ganze System betroffen. Bei einem eigenen Server sähe das anders aus. ITS: Verschlüsselung klingt für viele noch immer abschreckend, hört sich nach großem Aufwand und kompliziert an. Ist das tat- sächlich so? Christian Olbrich: Wie kompliziert Verschlüsselung ist, hängt vom Anwendungsbereich ab. Datenverschlüsselung wie die un- sere ist sicher und einfach machbar. Komplizierter wird es bei dezentralen Systemen, zum Beispiel E-Mails. Daher kommen viele Vorurteile. Robert Freudenreich: Wichtig für eine gute Verschlüsselung ist auch Benutzbarkeit. Früher wurde Verschlüsselungssoft- ware vor allem von Informatikern für Informatiker gemacht und war entsprechend technisch und kompliziert. Heute gibt es genügend Mainstream-kompatible Lösungen, die einfache Nutzbarkeit und gute Sicherheit gewährleisten. Boxcryptor zum Beispiel bietet ein sehr hohes Schutzniveau, die Software ist aber ohne technisches Vorwissen einfach bedienbar und schränkt auch die Funktionen der Cloud nicht grundlegend ein. ITS: Verschlüsselung kann nur so gut sein wie das Schlüsselma- nagement. Kritiker monieren gern, dass die Daten in der Cloud zwar gut geschützt sind, die Schlüssel aber relativ einfach ab- greifbar sind. Was sagen Sie dazu? Christian Olbrich: Sehr viele Cloud-Anbieter machen Werbung damit, dass sie Ihre Daten verschlüsseln. Das reicht von Trans- portverschlüsselung bis zu Verschlüsselung der ruhenden Daten auf Servern. Nutzer haben hier aber keine Kontrolle, wo und wie die verwendeten Schlüssel gespeichert sind. Robert Freudenreich: Die Schlüssel müssen so gespeichert sein, dass nur Sie darauf Zugriff haben, wir bezeichnen das als Zero-Knowledge-Verschlüsselung. Bei Boxcryptor sind bei- spielsweise alle Schlüssel selbst verschlüsselt, noch bevor sie Ihr Gerät verlassen. Nur mit Ihrem Passwort und auf Ihrem Gerät ist die Nutzung der Schlüssel möglich. Das heißt: Selbst wir kön- nen Ihre Schlüssel nicht sehen, auch nicht, wenn wir wollten – oder müssten. Wenn Daten Ende-zu-Ende-verschlüsselt werden, aber die dazugehörigen Schlüssel quasi nebenan liegen, ist das 20 IT-SICHERHEIT_2/2022 natürlich falsch. Das wäre, als ob Sie Ihre Haustüre abschließen und den Schlüssel in den Briefkasten werfen würden. ITS: Was empfehlen Sie Unternehmen, die einem Wechsel in die Cloud oder Verschlüsselung noch zögerlich gegenüberstehen? Robert Freudenreich: Nicht warten, bis es zu spät ist. Leider erleben wir es selbst oft, dass Unternehmen erst zu uns kom- men, wenn es schon zu spät ist. Überlegen Sie außerdem, was Sie erreichen möchten und informieren Sie sich, welche Lösung Ihnen dabei helfen kann. Ein verschlüsseltes Cloud-Backup ist auf jeden Fall eine gute Investition in die Sicherheit und inzwi- schen dem eigenen Server klar überlegen. Christian Olbrich: Mehr Sicherheit steht bei vielen Unterneh- men auf der Wunschliste. Das Problem ist aber, dass Sicherheit keinen Gewinn erzielt, darum bleibt sie gern auf der Strecke. Hier müssen Unternehmen umdenken: Eine Investition in Si- cherheit ist eine Versicherung. Sie gewinnen erst dann, wenn sie anders verlieren würden, also im Angriffsfall. Aber Angriffe durch Cyberkriminelle sind eine reale, wachsende Gefahr. ITS: Vielen Dank für das Gespräch! Das Gespräch führte Stefan Mutschler für IT-SICHERHEIT Bild: ©jozefmicic - stock.adobe.com

SCHWERPUNKT: RANSOMWARE Cyber-Security-Zertifizierungen von TÜV SÜD. Eine sichere IT-Infrastruktur ist in fast jedem Unternehmen die Basis für gute Geschäfte. Mit ihr steht und fällt das Vertrauen von Kunden und die Motivation der Mitarbeiter. Mit unseren systematischen Cyber-Security-Zertifizierungen legen Sie ein belastbares Fundament – für eine sichere IT und langfristiges Vertrauen Ihrer Stakeholder. ISO/IEC 27001 Zertifizierung ISO/IEC 20000-1 – Zertifiziertes Service-Management (in der IT) Zertifizierung nach IT-Sicherheitskatalog KRITIS – Nachweis über angemessene IT-Sicherheit nach §8a BSIG TISAX® – Der Nachweis für IT-Sicherheit in der Automobilbranche ISO 22301 – Business Continuity Management (BCM) ISO/IEC 27701 – Privacy Informationssicherheits-Managementsystem (PIMS) www.tuvsud.com/cyber-security-zertifizierungen TÜV SÜD Management Service GmbH Ridlerstr. 57, 80339 München, Deutschland Tel. +49 89 5791-2500 ms-anfragen@tuvsud.com www.tuvsud.com/tms

– ADVERTORIAL – @-yet („Et jeht“, Hochdeutsch: „es geht“) Ihr Partner für ITSicherheit und digitale Souveränität Durch die Corona-Pandemie und durch die damit verbundene stärkere Digitalisierung in Unternehmen ist das Thema Cybersicherheit im Laufe des vergangenen Jahres international zum Topthema avanciert. Die Bedrohungslage für Unternehmen, öffentliche Einrichtungen und kritische Infrastrukturen hat sich massiv verschärft. 22 IT-SICHERHEIT_2/2022 Bild: ©Gorodenkoff - stock.adobe.com Durch die Digitalisierung öffnen sich Unternehmen immer mehr zum Internet und zu webbasierten Prozessen. Das erhöht die Angreifbarkeit von Systemen und Netzwerken und gefährdet ohne ausreichenden Schutz den Nutzen. RansomwareAngriffe, die ITInfrastruktur und Produktion wochenlang außer Gefecht setzen, haben dramatisch zugenommen – nicht nur, aber auch verstärkt im Mittelstand. Totalverschlüsselungen und Erpressungsszenarien beeinträchtigen die Wertschöpfung von Unternehmen gravierend. Eine aktuelle BitkomStudie (Stand: August 2021) zeigt den erschreckenden Anstieg von Datendiebstahl, Spionage und Sabotage am Beispiel Deutschland, wodurch Unternehmen beträchtlicher Schaden entsteht. Betroffen sind nicht nur Konzerne und große Namen in der Bundesrepublik: 88 Prozent der befragten Unternehmen gaben an, in den vergangenen zwölf Monaten von Diebstahl, Industriespionage oder Sabotage betroffen gewesen zu sein. Fast alle anderen (11 bis 12 Prozent) gaben zumindest „vermutlich betroffen“ an. Prognose: steigend. DIGITAL SOUVERÄN MIT @-YETSeit 20 Jahren berät und unterstützt die in Leichlingen (zwischen Köln und Düsseldorf gelegen) sitzende @yet GmbH und die @yet Industrial ITSecurity GmbH (Aachen) Unternehmen auf ihrem Weg zu digitaler

– ADVERTORIAL – UNSERE LEISTUNGEN Wolfgang Straßer, Geschäftsführer der @yet GmbH, Leichlingen, und @yet Industrial IT Security GmbH, Aachen, ist im ITSektor seit fast 40 Jahren in verschiedenen Managementpo sitionen unterwegs und weiß um die Herausforderungen in der deut schen ITSicherheitslandschaft. Seit 2002 berät die von ihm in Leichlingen gegründete @yet (über 60 Mitarbeiter:innen) schwerpunktmäßig und branchenübergreifend in folgenden Bereichen: Prevention: Wir kennen Ihre Schmerzen. Deshalb konzipieren wir ITSicherheit so, dass sie nahtlos in Ihre Strukturen passt. Continuity: Ein Unternehmen zu führen ist das eine, den Laden sicher am Laufen zu halten, das andere. Wir haben die richtigen Tools für Sie. Compliance: rechtlich gesicherter Datenschutz. Wir schützen Ihr Unter nehmen vor Angriffen und vor Abmahnanwälten. Notfallhilfe: Ruhe bewahren und @yet rufen! Wir helfen Ihnen sofort bei allen ITNotfällen, stellen den Betrieb wieder her und sichern Beweise. Beratung: Durchatmen! Wir verstehen Ihre Herausforderung und beraten Sie zielgenau und ergebnisorientiert. @-YET BEWEGT POLITIK UND WIRTSCHAFT Wir möchten die Entwicklung im ITSicherheitsumfeld mitgestalten und suchen daher aktiv den Dialog zur Wirtschaft und Politik. Diese Dialoge veröffentlichen wir im Rahmen unserer PodcastReihe „Rheingehäckt“ unter: www.at-yet.de/aktuelles Hier finden Sie auch unsere Wissensdatenbank „W(h)at is IT?“, in der wir mit starkem Praxisbezug ITSicherheitsthemen, wie Penetrationstests, IT Forensik und vieles mehr erörtern. n Kontaktdaten @-yet GmbH Köln/Düsseldorf Schloss Eicherhof 42799 Leichlingen Telefon: +49 2175 1655 0 Fax: +49 2175 1655 11 E-Mail: info@at-yet.de Homepage: www.at-yet.de IT-SICHERHEIT_2/2022 23 Souveränität. „Darunter verstehen wir ein sicheres und selbstbestimmtes Handeln in allen Bereichen der Digitalisierung. Zentraler Baustein ist dabei die Cybersicherheit. Vor allem die technische ITResilienz von Anwendungen, Infrastrukturen und CloudInstallationen steht im Vordergrund. Mithilfe von Redteaming, Penetrationstests, CodeReviews und vielen technischen Analysen, stellt @yet den Status quo fest und trägt mit konkreten Konzepten und Maßnahmen zur nachhaltigen Verbesserung der ITSicherheit bei“, sagt Wolfgang Straßer, Gründer, Inhaber und Geschäftsführer bei @yet. WAS TUN, WENN’S „BRENNT“?Häuﬁg suchen Kunden in der IT-Sicherheit erst dann Unterstützung, wenn das Kind bereits in den Brunnen gefallen ist und sie gehackt worden sind, statt sich präventiv vor Angriffen zu schützen. Schuld sind fehlende Auf-merksamkeit, völlige Unterschätzung der Bedrohung und bei Weitem nicht ausreichende präventive Maßnahmen. „Und sollte der Hacker doch erfolgreich sein, dann unterstützen wir mit Incident Response, IT-Forensik und Notfallmanagement sowie Wieder-anlaufunterstützung“, sagt der @-yet CEO und ergänzt: „Schwachstel-lenanalyse, Angriffssimulationen, physikalische Integrität, Code-Überprü-fung: Es wird mithilfe modernster Methoden, Standards und Technologien alles getestet, was es zu testen gibt und nachhaltig Resilienz aufgebaut.“ Dabei bindet die rheinländische Firma den Faktor Mensch ein. „Wir sensi-bilisieren, bilden weiter, führen Notfallübungen durch und bauen ein Be-wusstsein auf, damit Mitarbeiter sich sicher fühlen und sicher handeln.“ FAST 150 IT-SICHERHEITSVORFÄLLE SEIT HERBST 2019Die @-yet hat zwischen Herbst 2019 und Frühling 2022 knapp 150 IT-Sicherheitsvorfälle bearbeitet und arbeitet häuﬁg an mehreren IT-Foren-siken gleichzeitig. Im Zuge des sogenannten Incident Response berät und reagiert die Firma im Falle eines Cyberangriffs an allen sieben Tagen einer Woche. @-yet unterstützt unmittelbar mit technischen Maßnahmen und Analysen bei der Abwehr des Angriffs und bemüht sich um Schadens-begrenzung sowie um die Täterermittlung. Beantwortet werden auch Fragen wie: Wie kommuniziere ich diesen Vorfall intern, extern? Liegt gegebenenfalls eine Datenschutzverletzung vor, und wie geht man damit um? Muss etwas gemeldet, gelöscht, gesichert, ofﬂine geschaltet wer-den? Wie kann möglichst schnell ein Notbetrieb aufgebaut werden? Wie verhindert man solche Vorfälle in der Zukunft? Auf solche Momente und Fragen vorbereitet zu sein, kann Unternehmen sehr viel Geld sparen. Denn jeder Tag, an dem ein Unternehmen nicht liefern oder eine Klinik nicht operieren kann – aufgrund verschlüsselter Daten oder/und stillgelegter Systeme – kostet viel Geld oder kann Leben gefährden. „Leider wird das Thema IT- und Cybersicherheit in vielen Unternehmen immer noch unter-schätzt. Das Management stellt nicht ausreichend Aufmerksamkeit und damit Ressourcen zur Verfügung“, sagt Straßer. @-yet empﬁehlt hier zwei Punkte, die im besten Fall gleichzeitig genutzt werden: 1. Mitarbeiter schulen, trainieren und für die IT-Sicherheits-thematik ausbilden lassen.2. Einen professionellen Dienstleister als ständigen Berater ins Boot holen.

SCHWERPUNKT: RANSOMWARE Was Zero Trust und XDR in Sachen Cybersicherheit bewirken können KLARE KANTE GEGEN RANSOMWARE Es ist ein weit verbreiteter Irrglaube, dass gute Sicherheit schwer zu erreichen ist, weil böse Akteure nur eine Sache richtig machen müssen, um erfolgreich zu sein, während Sicherheitsexperten alles richtig machen müssen, oder scheitern. Dem ist nicht so. Gerade im Fall von Ransomware wird deutlich, wie aufwendig Angriffe vorbereitet und wie gekonnt sie durchgeführt werden müssen. Auf der anderen Seite vereinfachen neue Security-Ansätze wie Zero Trust und XDR (Extended Detection and Response) die Verteidigung und entschärfen das „Alles oder Nichts“. R ansomware war und ist ein star ker Motor für die Entwicklung unzähliger Angriffstechniken, mit welchen Cyberkriminelle trickreich ihre Ziele erreichen können. Im Kern läuft es jedoch immer auf ein paar grundlegende Varianten heraus: Ransomware verschlüsselt die Daten eines Unternehmens, und die Angreifer verkau fen dann den zur Entschlüsselung benötigten Schlüssel. Diese Form der Erpressung wird als 24 IT-SICHERHEIT_2/2022 einfache Ransomware bezeichnet. Bei Angrif fen mit doppelter Ransomware werden nicht nur Daten verschlüsselt, sondern es wird auch damit gedroht, sie öffentlich freizugeben, wenn das Lösegeld nicht gezahlt wird. DreifachRan somwareAngriffe tut beides und droht darüber hinaus damit, die Partner eines Unternehmens zu kontaktieren, um ihnen mitzuteilen, dass die Sicherheit des Unternehmens, mit dem sich in enger Geschäftsbeziehung stehen, nicht den üblichen oder sogar vom Gesetzgeber gefor derten Ansprüchen genügt. Ein weiterer Schlag gegen die Reputation. Gern werden auch Mischvarianten mit anderen Angriffsformen praktiziert, etwa mit DDoS Angriffen, welche die Server des Unterneh mens überlasten und damit handlungsunfä hig machen. Beendet wird das Ganze natürlich auch hier wieder nur, wenn das entsprechende Bild: ©ArtemisDiana - stock.adobe.com

Lösegeld gezahlt wird. Im Grunde lassen sich fast alle Angriffsformen für Lösegelderpressung einsetzen. Der Punkt ist, dass Ransomware zur unsäglichen Plage geworden ist, die Unterneh men bei ungenügender Abwehr teuer zu stehen kommen kann – bis hin zum Ruin. Aber soweit muss es nicht kommen. Es gibt zwei wirksame sicherheitsarchitektonische Ansätze, die zur Be kämpfung von Ransomware eingesetzt werden können: Zero Trust und Extended Detection and Response (XDR). AUFBAU EINES RANSOM- WARE-ANGRIFFS Die Durchführung eines erfolgreichen Ransom wareAngriffs erfordert mehrere Schritte. Er ist sogar so kompliziert, dass mehrere Teams zusammenarbeiten müssen, um ihn erfolgreich durchzuführen. Zunächst wählen die Angreifer ein Ziel aus. Dann melden sie sich bei einer Ran somwareasaServiceOrganisation an, die auf die Entwicklung von Software für Ransomware Angriffe spezialisiert ist. Sie dringen in das Un ternehmen ein, indem sie entweder das Kenn wort eines Benutzers erraten, einen Benutzer dazu bringen, auf einen manipulierten Link zu klicken, oder eine Schwachstelle in der Software des Unternehmens ausnutzen. Die gesamte Reihe von Schritten und Vorgehensweise bildet die Hauptkategorien des MITRE ATT&CKFrame works [1]. Wird einer dieser Schritte unterbrochen, schlägt der RansomwareAngriff fehl. Die Verwendung des MITRE ATT&CKFrame works hilft Teams bei der Identifizierung von Schwachstellen, um ihre Angriffsfläche dar zustellen. Es kann Teams bei der Suche nach Bedrohungen helfen, um laufende Angriffe zu erkennen, bevor sie Schaden anrichten. Es kann einem Unternehmen dabei helfen, Schwachstel len mit anderen Organisationen zu besprechen, zum Beispiel mit den „Information Sharing and Analysis Centers“ (ISACs), die zum Schutz kriti scher Infrastrukturen eingerichtet wurden. Und es kann Sicherheitsteams helfen, mit Anbietern von Sicherheitstools oder diensten und mit Strafverfolgungsbehörden zusammenzuarbei ten, um die Schwachstellen aufzudecken, die zu einem Angriff geführt haben. WIE ZERO TRUST AUF DIE SICHERHEIT WIRKT Zero Trust umfasst eine Reihe von Architektur prinzipien, die dazu beitragen, eine Umgebung abzusichern und die Angriffsfläche zu minimie ren. Die wichtigsten Ideen von Zero Trust sind: Eine „Außengrenze“ des Unternehmens netzwerks existiert nicht (Tatsächlich hat sie streng genommen nie existiert.). Nie davon ausgehen, dass jemandem zu trauen ist, nur weil er es bereits in das Netzwerk geschafft hat. Benutzer müssen überprüft werden, bevor sie Dienste nutzen oder auf Daten zugreifen dür fen – am besten über eine MultiFaktorAu thentifizierung (MFA). Auch die Integrität des Geräts, welches zugreifen will, muss sicherge stellt werden, bevor es eine Verbindung zum Netz herstellen kann. Es ist nie davon auszugehen, dass Benutzer immer das Richtige tun werden. Deshalb ist es für jede Dienstanforderung erforderlich, die genauen Zugriffsrechte zu verifizieren. Anstatt zu versuchen, bösartige Akteure durch das System zu verfolgen, sollten Hindernisse eingerichtet werden, die sie aufhalten. Damit diese Grundsätze in der Praxis funktio nieren, müssen zwei Dinge geschehen. Erstens sollte ein System zur Identitäts und Zugriffs verwaltung (IAM) eingesetzt werden, das die Authentifizierung von Benutzern und deren Rechten oder Berechtigungen ermöglicht. An dernfalls gibt es keine Quelle der Wahrheit, um festzustellen, ob eine bestimmte Anfrage zuläs sig ist oder nicht. Zweitens: Das Netzwerk muss segmentiert werden. Dadurch wird ein Angriff verlangsamt. „Seitliche“ Bewegungen innerhalb des Unternehmensnetzwerks (Server zu Server) erlauben es, schädliche Nutzlasten zu platzieren und so Datendiebstahl und Datenverschlüsse lung durchzuführen. Netzwerksegmentierung blockiert diese Angriffselemente. WARUM DIE VERTEIDI- GUNG OHNE XDR UNVOLL- STÄNDIG BLEIBT XDR führt Informationen über mögliche An griffselemente (zum Beispiel Kompromittie rungsindikatoren [IoCs]) mit Protokollen des Netzwerkverkehrs, auffälligem Endpunktverhal ten, Cloud und SoftwareasaService(SaaS) Dienstanforderungen und Serverereignissen zur Analyse zusammen. Die Stärke von XDR liegt darin, dass es über das Sicherheitsinforma tions und ereignismanagement (SIEM) hin ausgeht und sowohl Protokolldaten aggregiert als auch mithilfe von maschinellem Lernen (ML) SCHWERPUNKT: RANSOMWARE Korrelationen, Analysen und Modellierungen durchführt. Auch komplexe Ereignisse, die selbst best ausgebildeten Sicherheitsteams erst nach Wochen – wenn überhaupt – auffallen würden, lassen sich so sehr schnell identifizieren. Dies bildet die Grundlage für eine effektive Reakti on, die wiederum entweder über ein Regelwerk oder über den Einsatz von KITools weitgehend automatisiert werden kann. Durch den Einsatz einer XDRLösung (die viele Angriffselemente erkennt) auf Basis einer Zero Trustfähigen Architektur (welche die Infrastruk tur vor bösartigen Angriffen schützt) kann die Verteidigungsbereitschaft gegen Ransomware erheblich verbessert werden. Wichtig ist also: Ein IAMTool einsetzen, MultiFaktorAuthen tifizierung (MFA) verwenden – zumindest für Konten mit hohen Rechten, Netzwerk segmen tieren und im Security Operations Center (SOC) alles über ein XDRTool überwachen. So kompli ziert muss eine gute Verteidigung also gar nicht sein. n Der Originalbeitrag in englischer Sprache wurde von der Redaktion übersetzt und bearbeitet. Die Originalfassung gibt es unter: https://www.isaca.org/resources/news-and- trends/industry-news/2021/using-zero-trust-and- xdr-to-stop-ransomware [1] MITRE ATT&CK: https://attack.mitre.org/ BILL MALIK, ISACA/ S.M. IT-SICHERHEIT_2/2022 25

SCHWERPUNKT: RANSOMWARE Worauf Forscher die IT-Welt vorbereiten DIE DREI GRÖSSTEN DIE DREI GRÖSSTEN RANSOMWARE RANSOMWARE TRENDS 2021 TRENDS 2021 2021 dürfte als Jahr der Ransomware in die Cybersecurity-Geschichte eingehen. Die weltweite Liste der prominenten Opfer reicht von Pipeline-Betreibern über ganze Land kreise bis hin zu Verlagen und Handelsketten. Forscher haben hierzu drei wesentliche Trends identifiziert, welche die IT-Welt auch 2022 beschäftigen werden. Eins zeichnet sich bereits jetzt schon ab: Zahl und Intensität der Angriffe nehmen zu. M it Ransomware werden sich Unternehmen auch in diesem Jahr weiter beschäftigen müs sen. Vieles spricht dafür, dass Angreifer ihren Druck weiter erhöhen und noch öfter zuschla gen werden. Dabei konnten Forscher drei signi fikante Trends feststellen. 1. RANSOMWARE-AS-A- SERVICE Im letzten Jahr konnte eine deutliche Verlage rung hin zum Geschäftsmodell Ransomware asaService (RaaS) beobachtet werden, bei dem Gruppen Partner rekrutieren, die bestimmte 26 IT-SICHERHEIT_2/2022 Teile der Operationen durchführen. Diese viel fältigen Angebote ermöglichen auch weniger versierten Cyberkriminellen den Zugang zu wirkungsvoller Malware und bösartigen Tool kits und senken so die Einstiegshürde für viele potenzielle Angreifer. Hierbei gibt es im Wesentlichen zwei verschie dene Modelle: zum einen Abonnements, die gegen eine Gebühr Ransomware zur Verfü gung stellen, zum anderen Dienstleitung gegen prozentuale Beteiligungen an den Gewinnen. Gerade die zweite Variante generiert ein gan zes Ökosystem aus einzelnen Partnern, soge nannten Affiliates und Untergruppen, die sich auf bestimmte Angriffsbereiche spezialisiert haben. Ein Beispiel für die zunehmende Aufgabenver teilung und Spezialisierung sind „Initial Access Brokers“ (IAB). Diese sind zwar kein neues Phänomen, erleben derzeit aber einen gewis sen Boom. Sie setzen in aller Regel Massen ScanningTechniken ein, um anfällige Hosts zu identifizieren und so einen ersten Zugang in die Systeme potenzieller Opfer zu erlangen. Traditi onell werden diese Zugänge über Untergrund foren und marktplätze verkauft, wobei sich die Preise nach dem angenommenen Wert richten: Der Zugang zu einem großen, bekannten und Bild: ©James Thew - stock.adobe.com

SCHWERPUNKT: RANSOMWARE Anbieter im Hintergrund weit weniger gefährdet sind, zumal sie oftmals ihre Identität auch vor ihren Partnern verbergen. Sollten sie dennoch in den Fokus von Strafverfolgungsbehörden gelan gen, tauchen die Gruppen in aller Regel zunächst kurzzeitig unter, um sich später – meist unter anderem Namen – neu zu formieren. 2. MASSGESCHNEIDERTE RANSOMWARE Im vergangenen Jahr wurde immer häufiger speziell für bestimmte Opfer entwickelte Ran somware identifiziert. Hierdurch soll eine Entde ckung wesentlich erschwert und die Wirksam keit des Angriffs erhöht werden. Bei den meisten RansomwareBedrohungen handelt es sich um ausführbare Dateien, die auf Windows abzielen und häufig durch Botnets verbreitet werden. Zunehmend werden jedoch auch Angriffe auf Linuxbasierte Hosts gerichtet, einschließlich solcher, die für Dateispeicherung und Virtualisierung (wie VMware ESX) verwen det werden. So entwickelt die erst kürzlich identifizierte RansomwareGruppe ALPHV (BlackCat) sowohl Linux als auch WindowsVarianten. Dabei wird die Ransomware für jedes Opfer neu er stellt. Dies umfasst beispielsweise die Art der Verschlüsselung (etwa, dass nur Teile großer Dateien verschlüsselt werden) oder eingebet tete Anmeldeinformationen des Opfers, um die automatische Verbreitung der Ransomware auf andere Server zu ermöglichen. Aber nicht nur die Ransomware selbst, sondern auch die Höhe des geforderten Lösegelds wird ganz gezielt auf das Opfer abgestimmt: So wer den die erbeuteten Finanzdaten der Unterneh men analysiert, um eine finanzierbare Summe festzulegen. Teilweise werden sogar die Cyber Versicherungspolicen genau auf die abgedeckte Schadenssumme hin untersucht, die dann als Forderung von den Cyberkriminellen gestellt wird. noch stärkeren Druck auf die Opfer aufzubau en. Letztlich stellt nicht die Verschlüsselung und damit der Ausfall von Systemen, sondern der Datendiebstahl die größere Bedrohung für Un ternehmen dar: Der Diebstahl und die Veröffent lichung von personenbezogenen Daten ist nicht nur rufschädigend, sondern kann auch hohe DS GVOBußgelder nach sich ziehen. Mittlerweile drohen die Cyberkriminellen sogar explizit mit der Einschaltung der entsprechenden Aufsichts behörden. Aber auch das Leaken von geistigem Eigentum kann enorme Schaden verursachen, wenn innovative Entwicklungen dadurch auch den Wettbewerbern zugänglich sind. Mit der doppelten Erpressung ist die taktische Entwicklung aber beileibe nicht am Ende. Ran somwareGruppen entwickeln ihre Erpressungs methoden ständig weiter, von den Anfängen mit einer einfachen Lösegeldforderung über die „Stehlen, Verschlüsseln und Veröffentlichen“ Taktik bis hin zur Kontaktaufnahme mit Kunden, Mitarbeitern, Behörden und der Presse, um sie über die Kompromittierung zu informieren. Um noch mehr Druck auszuüben, weigern sich viele Gruppen, mit Unterhändlern zusammenzuarbei ten, und raten den Opfern, das Geld zu zahlen, ohne CybersecurityAnbieter und Strafverfol gungsbehörden einzuschalten. Andernfalls wür den die Opfer eine höhere Lösegeldforderung oder einen endgültigen Datenverlust riskieren. Einige Cyberkriminelle fügen zudem noch eine weitere Eskalationsstufe hinzu: Bei dieser „Triple Extortion“ werden dann entweder betroffene Partner oder Kunden informiert, oder weitere Attacken wie DDoSAngriffe angedroht. All diese Maßnahmen dienen letztlich dazu, den Druck auf die Opfer deutlich zu steigern, um sie so zu einer raschen Zahlung zu bewegen. Und dies offenbar mit Erfolg: Schätzungen gehen davon aus, dass Ransomware 2021 weltweit Schäden in Höhe von sechs Billionen USDollar verursacht hat [1]. Zum Vergleich: Das Bruttoinlandsprodukt der Bundesrepublik Deutschland betrug 2020 „nur“ 3,8 Billionen USDollar. n 3. DOUBLE EXTORTION WIRD ZUM STANDARD Der Beitrag stammt aus einer Veröffentlichung der Varonis Threat Labs [1] https://cybersecurityventures.com/cybercrime-damages-6- trillion-by-2021/ Beim „Double Extortion“Ansatz werden die Da ten vor der Verschlüsselung auch entwendet, um mit deren Veröffentlichung zu drohen und somit S.M. IT-SICHERHEIT_2/2022 27 finanziell starken Unternehmen ist beispielswei se teurer als der zu einem kleinen Unternehmen. RansomwareGruppen können auf diese Weise ganz gezielt ihre Opfer auswählen. Mittlerweile schließen sich auch viele IABs mit Ransomware Gruppen zusammen oder gehen Partnerschaf ten mit ihnen ein und werden so zu Subunter nehmern. Im Gegenzug erhalten sie einen Anteil vom Lösegeld. Dies ist in aller Regel lukrativer als das klassische Verkaufsmodell. Eine hohe Gewinnbeteiligung reflektiert stets ein höheres Risiko. Letztlich laufen vor allem die Partner als „ausführende Organe“ eine höhere Gefahr, entdeckt zu werden, während die RaaS

SCHWERPUNKT: RANSOMWARE Cybersicherheit erfordert Zusammenspiel von Mensch und Technik STRATEGIE GEGEN RANSOMWARE & CO. Bis vor Kurzem hat ein Thema die Diskussion um die digitale Sicher heit in Deutschland beherrscht: Ransomware. Und nach wie vor ist diese Form digitaler Attacken für die Kriminellen ein lukrati ves Geschäft. Es ist zwar zu erwarten, dass sich die Struktur der Angriffe aufgrund des russi schen Angriffskriegs gegen die Ukraine verschie ben wird (1), doch dürfte die Gefährdung durch die Anzahl der Attacken gegen die Infrastruktur, beispielsweise im Bereich der Energiewirtschaft in Deutschland (2) und auch in anderen Ländern (3) weiterhin ein hohes Niveau aufweisen. Insgesamt lässt sich jedoch feststellen, dass die Cyberkriminellen dabei sehr pragmatisch vorgehen und Unternehmen aller Branchen attackieren. So zeigt der aktuelle Stateofthe 28 IT-SICHERHEIT_2/2022 PhishReport 2022 des CybersecuritySpezialis ten Proofpoint (4), dass im vergangenen Jahr mit 78 Prozent mehr als drei Viertel aller befragten Unternehmen (aus Australien, Deutschland, Frankreich, Großbritannien, Japan, Spanien und den USA) von RansomwareAttacken betroffen waren. Jedes zweite Unternehmen in Deutsch land (54 Prozent) hatte in Folge eines Angriffs dann auch mit einer RansomwareInfektion der Systeme zu kämpfen. MANGELNDES WISSEN Einer der Gründe für diese doch alarmierenden Zahlen dürfte dabei die nach wie vor große Un wissenheit vieler Mitarbeitenden im Bereich der digitalen Sicherheit sein. So wurde im Rahmen der Studie ebenfalls gefragt, ob die Angestell ten einige CybersecurityBegriffe auch richtig definieren können beziehungsweise wissen, was damit gemeint ist. Dabei zeigte sich, dass hierzulande gerade mal jeder Vierte (26 Prozent) weiß, was Ransomware bedeutet. Für die Un ternehmen muss das ein sehr lautes Warnsig nal sein, das Knowhow unter den Mitarbeitern rund um die digitale Sicherheit schnellstmöglich zu verbessern. Dazu muss man sich ins Gedächtnis rufen, dass fast alle digitalen Angriffe heutzutage einen ak tiven Beitrag eines Mitarbeiters erfordern, um erfolgreich zu sein. Die Aktion des Angestellten ist dabei keineswegs als freiwillige Unterstüt zung zu verstehen, sondern erfolgt in der Regel aus Unachtsamkeit, mangelnder Konzentration oder Neugier. Der Beitrag der Mitarbeiter zur Verbesserung der digitalen Sicherheit der Unter-nehmen wird gemeinhin unterschätzt. Dabei bilden die Angestellten oftmals die letzte Verteidigungslinie gegen einen – aus Sicht der Kriminellen – erfolgreichen Cyberangriff auf ein Unternehmen.Bild: ©tippapatt - stock.adobe.com

So könnte ein Angreifer im Rahmen einer lang fristig angesetzten Attacke zunächst einige Mitarbeiter des Zielunternehmens über soziale Netzwerke wie LinkedIn oder Facebook beob achten. Auf diese Weise ist er dann unter Um ständen in der Lage, Kollegen und Kolleginnen zu recherchieren, weiß, wann eine Person in Urlaub geht und vielleicht sogar mit welchen ex ternen Partnern zusammengearbeitet wird. INHALTLICHE ANALYSE Bei einer solcher Analyse der EMails geht es nicht nur um Attachments, sondern auch darum, anhand einer Vielzahl von Faktoren, wie Absen der, Stichworte im Betreff und im Nachrichten text sowie Bezug zu Personen oder Aktionen, eine möglichst genaue Zuordnung zu realisieren, ob eine Nachricht sicher oder unsicher ist. INDIVIDUALISIERTER ANGRIFF Auf Basis dieses Wissens können die Kriminel len dann eine entsprechend individuell formu lierte EMail verfassen, zum Beispiel als Hinweis auf eine Rechnung eines vermeintlichen Part ners, und mit einer Excel, Word, PDFDatei oder auch einem anderen Format versehen. Da bei enthält diese Datei gar keine Schadsoftware, sondern dient lediglich als Türöffner und lädt erst in einem zweiten Schritt die eigentliche Malware nach. Das geht selbstverständlich auch mit einem Link, auf den ein Anwender klicken soll, um eine angebliche Rechnung herunterzu laden. Dann erfolgt über eine präparierte Web site der Download der Ransomware bzw. einer initialen Malware, die dann im späteren Verlauf wiederum eine Ransomware nachlädt. In einem solchen Fall dürften – wenn über haupt – wohl nur die wenigstens herkömmli chen, technischen Sicherheitssysteme anschla gen, denn die EMail enthält ja offensichtlich keinerlei schädlichen Code. Diesen lädt sich der Anwender erst durch Öffnen der Datei, Aktivie ren von Makros und/oder durch den Besuch der Website herunter. Was können nun Organisationen unternehmen, um ein solches Risiko so klein wie möglich zu halten? Die erste Option ist sicherlich, dass ein Unternehmen so weit wie möglich dafür Sorge trägt, dass eine solche EMail erst gar nicht im Postfach eines Angestellten landet, sondern entsprechend herausgefiltert wird. Dabei ist na türlich von besonderer Bedeutung, dass hierfür granulare Analysen des Mailverkehrs notwendig sind und nicht einfach nur potenziell gefährliche EMails gelöscht werden. Es könnten ja durchaus auch legitime EMails dabei sein. Von Blockieren, über Warnen, in Quarantäne stellen bis hin zur Zustellung an den Empfänger sollte folglich alles möglich sein. Darüber hinaus gilt es auch die Links in den EMails zu überprüfen – und zwar keineswegs nur bei der Zustellung, sondern auch danach. Hintergrund hierfür ist, dass Angreifer mittler weile wissen, dass moderne Tools URLs in Nach richten überprüfen, ob die betreffende Website Schadcode enthält. Das heißt, beim Versand und direkt danach ist die Website „sauber“, die Se curityLösung hat somit keinen Grund, Alarm zu schlagen, und die EMail erreicht das Postfach. Doch die Malware wird erst ein wenig später in den Code der Website integriert. Wird dann geklickt, erfolgt möglicherweise der Download der Malware. Das muss die SecurityLösung ver hindern und folglich auch in der Lage sein, nach träglich eine solche EMail aus allen betroffenen Posteingängen der Anwender zu entfernen. Allerdings ist klar, dass keine technische Lösung hundertprozentige Sicherheit bieten kann. Daher müssen auch die Anwender in die Lage versetzt werden, gefährliche Nachrichten zu erkennen und den SecOps zu melden. Das wiederum bedeutet, die Angestellten brau chen entsprechendes Wissen, damit sie genau diese Verantwortung übernehmen können. Wer nicht weiß, was Ransomware, Phishing oder Malware bedeutet, kann hier nichts beitragen. Aber auch das Wissen um Fachbegriffe allein reicht nicht aus, denn die Methoden der Krimi nellen sind zweifellos oft sehr perfide und nicht einfach zu erkennen. Daher müssen die Unter nehmen ihre Mitarbeiter auch über diese Aspek te aufklären. TRAINING IST DAS A UND O Somit ist ein weiterer Schritt erforderlich: das praxisnahe Training. Das lässt sich vielleicht am ehesten mit dem Erlernen des Fahrens verglei chen, denn auch nach vielen Theoriestunden und dem Erläutern aller Aspekte des Auto fahrens ist man nicht in der Lage, das Auto im SCHWERPUNKT: RANSOMWARE Straßenverkehr zu bewegen. Genauso ist es bei der Cybersecurity, denn nur durch praxisnahe Trainings, simulierte Angriffe, die regelmäßig stattfinden, werden die Mitarbeiter sensibili siert, auf potenziell gefährliche EMails beson ders zu achten. Die Aufklärung, beispielsweise falls ein Empfänger dann doch eine Angriffsmail geöffnet hat, versetzt diesen sodann in die Lage, bei einer echten Attacke richtig zu reagieren und das Unternehmen vor Schaden zu bewahren. Der Mensch wird somit zur letzten Instanz der Cybersicherheit der Organisation. Daraus wird ersichtlich, dass nur im Zusam menspiel von technischen Lösungen mit dem geschulten und trainierten Menschen die Unter nehmen in die Lage versetzt werden, die digitale Sicherheit langfristig und nachhaltig zu steigern und Cyberattacken ins Leere laufen zu lassen. n Quellenverweise (1) https://www.proofpoint.com/us/blog/ciso-perspectives/how- conﬂict-ukraine-could-revolutionize-ransomware-threat (2) https://www.bild.de/regional/hamburg/hamburg-aktuell/ zulieferer-von-tankstellen-erpresst-hacker-angriff-legt-oel- lieferant-lahm-79006630.bild.html (3) https://www.sueddeutsche.de/meinung/cyberattacke-pipeline- sicherheitsstandards-1.5290488 (4) https://www.proofpoint.com/de/resources/threat-reports/ state-of-phish WERNER THALMEIER, VP EMEA Systems Engineering und Technical Sales bei Proofpoint IT-SICHERHEIT_2/2022 29

SCHWERPUNKT: RANSOMWARE Die fünf Phasen eines Erpressungsangriffs RANSOMWARE – IHRE DATEN GEGEN LÖSEGELD Gezielt Zugriffe auf Systeme und Daten einschränken oder sogar komplett verhindern, um dann Lösegeld für die Wiederherstellung und Freigabe der verschlüsselten Daten zu erpressen – das ist Ransomware. Die Bezahlung soll dabei in Bitcoins oder in einer anderen Kryptowährung erfolgen, um den Tätern Anonymität zu gewähr leisten. Als zusätzliches Druckmittel wird die Veröffentlichung sensitiver Unternehmensdaten angedroht. Die zuvor von den Hackern kopier ten Daten enthalten Unternehmensgeheim nisse, empfindliche Informationen von Kunden und Geschäftspartnern oder personenbezogene Daten über die eigenen Mitarbeiter. Eine Veröf fentlichung solcher Daten kann sich negativ auf die Reputation auswirken sowie hohe DSGVO Strafen nach sich ziehen. 30 IT-SICHERHEIT_2/2022 Grundsätzlich lässt sich Ransomware (ransom: englisch für Lösegeld, ware: Abkürzung Software) in zwei Gruppen unterteilen: Der „Kryptotroja ner“ verschlüsselt Daten auf lokalen Systemen oder gar das komplette Dateisystem. Beispiele: WannaCry, Conti, LockBit. „Locker“ hingegen blockieren die Nutzung des Systems. Das ge schieht beispielsweise durch Verschlüsselung der Bootsektoren der Datenträger, was dazu führt, dass Systeme nicht mehr hochfahren kön nen. Beispiele: Petya, Cryptowall, GoldenEye. PHASE EINS: ZUGANG Der Angriff erfolgt in fünf Phasen. Zunächst müssen Hacker einen Zugang zum internen Unternehmensnetz erlangen. Um dieses Ziel zu erreichen, bedienen sich die Angreifer verschie dener Mittel: Bei DrivebyDownloads wird zum Beispiel eine Webseite mit Schadcodes verse hen, sodass der Browser dazu genötigt wird, weiteren Schadcode für den Nutzer unbewusst im Hintergrund herunterzuladen. So kann der bloße Besuch der Seite zu einer Infektion füh ren. Software supply chain attacks gehen ihre Angriffe deutlich großflächiger an, attackieren zum Beispiel Schwachstellen in den Systemen von Lieferanten und Drittanbietern, um gleich mehrere Unternehmen zu kompromittieren. Am beliebtesten und erfolgreichsten sind aber im mer noch die klassischen PhishingAttacken, bei denen EMails, die täuschend echt aussehen und durch gefälschte Absender Vertrauenswürdig keit vorgaukeln, den Empfänger dazu motivieren sollen, einen Anhang anzuklicken oder einem Link zu folgen. Ransomware-Angriffe führen häufig zu Totalausfällen von mehreren Wochen bis sogar Monaten. Über das potenzielle Ausmaß einer solchen Cyberattacke sind sich Unternehmen in der Regel nicht bewusst – bis sie selbst zum Opfer werden. Dabei kündigen sich die Angriffe über längere Zeit an. Wer weiß, welche Schritte die Angreifer im Vorfeld durchführen müssen, versteht in der Regel sehr gut, was für eine stabile Verteidigung erforderlich ist.Bild: ©Bacho Foto - stock.adobe.com

SCHWERPUNKT: RANSOMWARE Auf Webseiten, die viel Traffic erzeugen und die häufig schlecht abgesichert sind, zum Beispiel auf Webseiten mit erotischen Inhalten, wird das Malvertising betrieben. Hierbei werden Werbeeinblendungen mit Schadcode versehen, um Sicherheitslücken im Browser oder dessen Plugins auszunutzen. Eine Interaktion ist nicht nötig – wie beim Driveby läuft der Download automatisch im Hintergrund. Zudem führen Sicherheitslücken in aus dem In ternet erreichbaren Systemen, wie VPNs, EMail Server und Webmail oder auch Virtual Desktop Infrastrukturen (VDI), immer häufiger zu einer Kompromittierung. Angreifer scannen binnen weniger Stunden nach Bekanntwerden einer kritischen Sicherheitslücke das gesamte Internet nach verwundbaren Systemen ab. Unternehmen brauchen hingegen meist mehrere Tage oder so gar Wochen, um betroffene Systeme zu patchen. Das kann unter anderem an langen ChangeMa nagementProzessen, fehlender Inventarisierung, oder an einem langsamen Dienstleister liegen. Bis die Lücken geschlossen werden, sind die Angreifer bereits ins Unternehmensnetz vorgedrungen. PHASE ZWEI: INSTALLATION Ist die Schadsoftware erst heruntergeladen, be ginnt sie auch schon ihre Ausführung. Es werden Hintertüren geschaffen, über die die Angreifer jederzeit wieder ins Unternehmensnetz gelan gen können. Wie das im Detail aussieht, ist von der jeweiligen Plattform des Zielsystems abhän gig. Bei modernen RansomwareAngriffen sind die Mechaniken mittlerweile soweit ausgereift, dass die Hacker sich in den Systemlandschaf ten (längerfristig) ausbreiten, um immensen Schaden zu verursachen. Da weltweit vor allem WindowsSysteme genutzt werden, sind diese am häufigsten von Angriffen betroffen. PHASE DREI: COMMAND-AND-CONTROL Jetzt folgen die Anweisungen über einen zentra len Kommandoserver (CommandandControl). Dieser erlaubt den AngreiferTeams – über den geschaffenen Zugang zum Unternehmensnetz – gleichzeitig und sehr effizient zu arbeiten. Die Angreifer erforschen das Netz, suchen nach Dateiservern und Datenbanken mit besonders interessanten Daten. Diese laden sie ins Internet hoch, oft unter Nutzung bekannter Plattfor men wie Dropbox oder Mega. Sie identifizieren TIPPS FÜR MEHR DIGITALE SICHERHEIT Das große Stichwort ist hier Prävention – technischer sowie prozessualer Art. Windows-Domänen sollten gehärtet und die Endpoint-Sicherheit erhöht werden. Vergebene Berechtigungen und Zugriffe sollten überprüft und klar geregelt sein, unnötige Zugriffe überwacht. Dies gilt ganz besonders bei höher privilegierten Zugriffen. Wichtig sind neben der Firewall auch die Robustheit und der Schutz der Clientsysteme. Das Arbeiten im Homeofﬁce ist nicht durch die Unternehmens-Firewall abgedeckt, weil die Mitarbeiter in aller Regel ihre privaten Internetverbindungen nutzen. Nur einige wenige Maßnahmen erschweren es Angreifern, sofort Netzwerke und Systeme zu übernehmen. Zum Beispiel: Patch-Management, Administrationshygiene und Netzwerkseparierung. Vor allem dann, wenn intern nicht genügend oder kein Know-how zum Abwehren von digitalen Angriffen vorhanden ist, müssen Verantwortlich- keiten eindeutig geregelt und Prozesse klar deﬁniert sein. Welche Personen sind verantwortlich und welche Informationen müssen bereitgestellt werden? Der Faktor Zeit ist hier maßgebend. Wer im Vorfeld in eine gute Incident- Response-Readiness-Strategie investiert hat, wird rascher auf den Krisenfall reagieren können, und somit am Ende weniger Geld verlieren. und übernehmen zentrale Komponenten im Netzwerk. Über die zentrale AntiVirusKonsole wird dann kurz vor dem Start der Ransomware das AntiVirus im gesamten Unternehmensnetz ausgeschaltet. Sind BackupServer erreichbar, werden dort vorhandene Backups gelöscht. Über Domain Controller oder über eine zentrale Soft wareverwaltung, konfigurieren die Hacker die Verteilung der Ransomware auf alle Server und Clients im Unternehmensnetz. PHASE VIER: DESTRUCTION Jetzt erst folgt die eigentliche Verschlüsselung oder das Blockieren von Daten, Netzwerken und Systemen. Heute werden diese Angriffe nicht sel ten sehr strategisch gefahren, indem zum Beispiel zunächst alle Backups (beispielsweise in Form von Volumenschattenkopien) gelöscht werden. PHASE FÜNF: EXTORTION Ist der Angriff erfolgreich abgeschlossen, wird das Unternehmen über die Verschlüsselung in formiert. Im gleichen Zuge wird den Opfern die Lösung des Problems – Entschlüsselung und Freigabe gegen Zahlung eines Lösegelds – an geboten. Meist setzen die Kriminellen eine Frist, zu der das Lösegeld bezahlt worden sein muss. Geschieht dies nicht, erhöht sich die Summe. Der Betrag kann je nach Unternehmen extrem schwanken, fünf oder sechsstellige Beträge in Form von Bitcoins sind bei größeren Firmen üb lich. Sicher kann sich das Unternehmen auch bei Zahlung des Lösegeldes nicht sein, zum Normal zustand zurückzukehren und Ruhe zu haben, denn die Hacker könnten durch den bereits erfolgten Zugang auf die Systeme irgendwann wieder tätig werden und erneut verschlüsseln. Zudem kann unter gewissen Umständen die Zahlung des Lösegelds als Geldwäsche angese hen werden und/oder bei Zahlungen an Hacker aus Embargoländern ein Verstoß gegen Außen wirtschaftsvorschriften vorliegen. n WOLFGANG STRASSER, Geschäftsführer @-yet IT-SICHERHEIT_2/2022 31

– ADVERTORIAL – MIT EINEM PERSONEN ZENTRIERTEN ANSATZ GEGEN RANSOMWARE Ransomware ist als Bedrohungsform seit langer Zeit bekannt. Jedoch hat sie sich im Laufe der Zeit gewandelt und insbesondere mit den spektakulären Zwischenfällen im Jahr 2021 wieder für großes Aufsehen gesorgt. Adenike Cosgrove, VP, Cybersecurity Strategy, EMEA bei Proofpoint VIER FAKTOREN, DIE RANSOMWARE ZUR ERFOLGSGESCHICHTE FÜR CYBERKRIMINELLE MACHEN 1.) Bedrohungen aus allen Richtungen Konventionelle Cyberschutzmaßnahmen sind durch Bedrohungen aus al- len Richtungen (E-Mail-Kampagnen, Systemschwachstellen, polymorphe Malware, kompromittierte Websites usw.) oftmals überfordert. Zusam- mengenommen machen diese Faktoren eine Infektion wahrscheinlicher und geben Ransomware mehr Möglichkeiten, im System Fuß zu fassen. 2.) Lukrative Ziele Anstelle von breit angelegten Angriffen fokussieren sich Cyberkriminelle zunehmend auf Unternehmen mit vertraulichen Daten bzw. unterdimen- sionierten IT-Abteilungen oder Organisationen, die sich keine Betriebsun- terbrechung leisten können und dem Problem schnell (durch Zahlung des Lösegelds) begegnen wollen. 3.) Gezieltere Angriffe mit immer raffinierteren Taktiken Früher kam es bei Ransomware-Attacken nur auf die Menge an: Hun- derttausende Empfänger wurden mit umfangreichen E-Mail-Kampa- gnen und geringen Lösegeldforderungen angegriffen in der Hoffnung, dass genug Opfer auf den Köder hereinfallen. Heutzutage werden die Angreifer bei ihren Opfern wählerischer. Sie suchen gezielt nach an- fälligen geschäftskritischen Daten und Systemen, zu denen die Opfer dringend Zugang benötigen, und erhoffen sich so eine größere Zah- lungsbereitschaft und größere Erlöse. Gleichzeitig werden die Ransom- ware-Angriffe immer rafﬁnierter. 32 IT-SICHERHEIT_2/2022 Bild: © Andrey Popov - stock.adobe.comWurde Ransomware von Cyberkriminellen einstmals als primäre Malware bei EMailKampagnen eingesetzt, so tritt sie mittlerweile vermehrt als Sekundärinfektion in Erscheinung. 75 Prozent aller modernen RansomwareInfektionen nehmen ihren Anfang mit einer PhishingEMail. Im initialen Angriff kommen häuﬁg Trojaner oder andere Malware-Typen zum Einsatz, die auf den Systemen der betroffenen Firmen installiert werden. Ist ein System erst einmal inﬁziert, wird der Zugriff darauf dann an professionel-le Ransomware-Gruppen (teils gegen Gewinnbeteiligung) weiterverkauft. Im Jahr 2021 identiﬁzierte Proofpoint fast 15 Millionen Phishing-Nachrich-ten mit Malware, die direkt mit nachträglich installierter Ransomware in Verbindung standen. Von diesen Malware-Familien traten Dridex, The Trick, Emotet, Qbot und Bazaloader am häuﬁgsten auf. MALWARERANSOMWAREThe TrickWastedLockerBazaLoaderRyukSocGholishEgregorIcedIDMazeQbotSodinokibiProLock

– ADVERTORIAL – Proofpoint GmbH info-germany@proofpoint.com www.proofpoint.de IT-SICHERHEIT_2/2022 33 4.) Die Rolle von BitcoinBitcoin ist seit der Einführung im Jahr 2009 zu einem Segen für Anhänger des zivilen Liberalismus und gleichzeitig für Cyberkriminelle geworden. Die Zahlungen können weder zum Empfänger noch zum Absender zu-rückverfolgt werden und bieten eine anonyme und reibungslose Möglich-keit für den privaten Zahlungsaustausch.WIE HÄUFIG SIND RANSOMWARE-ANGRIFFE UND WIE OFT SIND SIE ERFOLGREICH?Eine von Proofpoint in Auftrag gegebene und von einem unabhängigen Marktforschungsunternehmen durchgeführte Umfrage unter 600 IT-Sicherheitsexperten ergab, dass im vergangenen Jahr 78 Prozent der Be-fragten in ihrem Unternehmen Ransomware-Angriffe via E-Mail erkannt haben. 49 Prozent berichten sogar von mehr als zehn Angriffen. Und leider sind diese Angriffe oft erfolgreich für die Cyberkriminellen. An-hand des State of the Phish-Berichts 2022 von Proofpoint geben 68 Pro-zent der Unternehmen an, 2021 mit Ransomware inﬁziert worden zu sein. 14 Prozent berichten von zehn oder mehr separaten Infektionen. LÖSEGELD ZAHLEN – ODER NICHT?2021 entschieden sich immerhin 58 Prozent der inﬁzierten Unternehmen für die Zahlung des Lösegelds. 54 Prozent erhielten daraufhin wieder Zugriff auf ihre Daten, 32 Prozent erhielten erst nach einer weiteren Zah-lung Zugriff und 4 Prozent berichten davon, nie wieder Zugang erhalten zu haben – obwohl eine Lösegeldzahlung erfolgt war. Viele der Unternehmen, die sich für die Zahlung der geforderten Löse-geldsumme entschieden, verfügten vermutlich über eine Cyber-Versiche-rung, die die Ausgaben für die Ransomware-Zahlung erstattete. Doch hier zeichnet sich eine Trendwende ab. Mehr und mehr Versicherungsunter-nehmen werden künftig aktiv die Zahlung von Lösegeldforderungen bei Ransomware-Infektionen in ihren Versicherungsbedingungen ausschlie-ßen; sprich, die IT-Sicherheitsabteilungen werden nicht mehr länger in der Lage sein, gezahltes Lösegeld vom Versicherer zurückzufordern. Dies dürfte sich auch auf die Bereitschaft, Lösegeldzahlungen vorzunehmen, niederschlagen. WELCHE KONSEQUENZEN HABEN RANSOMWARE-INFEKTIONEN?Die Konsequenzen einer Ransomware-Infektion reichen von ﬁnanziellen Einbußen über den Verlust vertraulicher oder proprietärer Daten bis hin zu Reputationsschäden und teilweise längeren Unterbrechungen der Ge-schäftsabläufe. Gerade Letztere sind besonders besorgniserregend, wenn Energieversorger oder Krankenhäuser ins Visier geraten. WIE KÖNNEN SICH UNTERNEHMEN VOR RANSOMWARE-INFEKTIONEN SCHÜTZEN?Künftig werden Cybersicherheitsteams das ﬁnanzielle Ransomware-Ri-siko nicht mehr auslagern können. Sie sind dafür verantwortlich, dass so-wohl die Wahrscheinlichkeit als auch die Auswirkungen eines potenziel-len Ransomware-Angriffs minimiert werden.Für die meisten Unternehmen besteht der beste Schutz vor Ransomware in der Vermeidung der Erstinfektion durch die Nutzung personenzentrier-ter Sicherheitslösungen. Wenn 75 Prozent aller Ransomware-Infektionen mit einer Phishing-E-Mail ihren Anfang nehmen, so lässt sich das Ran-somware-Risiko deutlich senken, indem die Erstinfektion mit der erwähn-ten Malware vermieden wird. Doch das ist leichter gesagt als getan. Herkömmliche E-Mail-Sicherheits-konﬁgurationen setzen oftmals noch zu sehr auf das veraltete Signatur-prinzip. Die geeignete Lösung muss jedoch in der Lage sein, eingebettete URLs und Anhänge zu analysieren und somit verhindern, dass schädliche Inhalte das System kompromittieren können. Zudem kann auf DMARC (Domain-based Message Authentiﬁcation, Reporting and Conformance) basierende E-Mail-Authentiﬁzierung Angriffe mit Domänen-Spooﬁng stoppen (bei dem die E-Mail-Domäne eines Unternehmens imitiert wird, um das Vertrauen der Anwender zu gewinnen). Die gewählte E-Mail-Sicherheitslösung sollte auch vor anderen Arten der Identitätstäuschung wie Display-Name-Spooﬁng und Doppelgänger-Domänen schützen. Auch cloudbasierte E-Mail-Konten sind ein häuﬁg genutzter Vektor für die Verteilung von Malware. Cyberkriminelle können die Kontrolle über Cloud-Konten übernehmen, um auf diese Weise praktisch von innen he-raus andere Anwender des betroffenen Unternehmens anzugreifen. So spielt die Absicherung von Cloud-Nutzer-Konten beim Schutz vor Ran-somware-Angriffen eine wichtige Rolle.Neben der Technologie ist aber auch die Sensibilisierung der Mitarbeiter entscheidend. Die meisten Malware-Infektionen beginnen mit einem arglosen Mitarbeiter, der eine scheinbar harmlose E-Mail oder deren An-hang öffnet. Nutzer sollten daher wissen, was sie tun bzw. lassen müssen und wie sie Ransomware-Attacken vermeiden sowie melden können. Ein Schulungsprogramm, das reale Angriffe nachempﬁndet und es den Mit-arbeitern einfach macht, verdächtige Nachrichten zu melden, erleichtert die Schulung der Anwender beim Erkennen verdächtiger E-Mails und ver-stärkt positives Verhalten. n

SCHWERPUNKT: RANSOMWARE D em Test stellen sich 15 Schutz- pakete für Privatanwender von den Herstellern Avast, AVG, Bitdefender, BullGuard, F-Secure, G DATA, Kas- persky, Malwarebytes, Microsoft, Microworld, Norton, PC Matic, Protected.net, Quickheal und VIPRE Security. Für Unternehmen mussten 13 EndpointLösungen im Test bestehen. Sie kommen von Avast, Bitdefender (zwei Versi onen), Comodo, FSecure, G DATA, Kaspersky, Malwarebytes, Microsoft, Seqrite, Sophos, Symantec und VMware. Die Übersichtstabellen der 15 beziehungsweise 13 geprüften Schutzlösungen zeigen die zusam mengefasste Auswertung der zehn Angriffe und der maximal zu erreichenden Anzahl von 36 Punkten in diesem AdvancedThreatProtec tionTest. Die maximale Punktzahl differiert von ATPTest zu ATPTest. Sie ist immer abhängig von der Art des Szenarios und der Anzahl der darin geprüften Schritte, für die es dann Punkte gibt. AUCH RANSOMWARE LÄSST SICH ABWEHREN In den klassischen Tests bei der Abwehr von Malware gibt es immer nur das Ergebnis „An griff erkannt“ oder „Angriff nicht erkannt“. In 34 IT-SICHERHEIT_2/2022 den AdvancedThreatProtectionTests ist die Erkennung nur ein erster Schritt, der im Test aufgezeichnet wird. Im aktuellen Test konnten die Produkte in zehn Angriffen bis zu 36 Punkte für den maxima len SchutzScore erreichen. Wer darunter liegt, hat in einem oder mehreren Szenarien Pro bleme. Im AdvancedThreatProtectionTest für Privatnutzer zeigten neun der 15 Internet Secu rityLösungen, dass sie in der Praxis vor Ransomware gut schützen. Alle zehn Angriffs Szenarien und den maximalen SchutzScore von 36 Punkten erreichen die Produkte: Bit defender Internet Security, FSecure SAFE, G Data Total Security, Kaspersky Internet Secu rity, Microsoft Defender, eScan Internet Securi ty Suite, PC Matic, Quick Heal Total Security und VIPRE AdvancedSecurity. Malwarebytes Premium erkennt zwar alle An griffe, schützt aber in zwei Fällen nicht vor einer Verschlüsselung. Das macht insgesamt einen SchutzScore von 34 Punkten statt 36. Mit 33 von 36 Punkten und jeweils neun Erkennungen der Angriffe folgen die Pakete BullGuard Inter net Security, Norton 360 und Protected.net Total AV. Alle drei Pakete können einen Angriff eines Szenarios nicht erkennen und dementspre chend werden alle Dateien durch die Ransom- ware verschlüsselt. Im Schlussfeld ﬁnden sich die Schutzpakete von Avast und AVG mit jeweils 30 von 36 Punkten und acht von zehn erkannten Angriffen. In zwei Fällen gab es keine positive Erkennung und da- her wurde alles verschlüsselt. BESSERER SCHUTZ BEI UNTERNEHMENS- LÖSUNGEN Im Advanced-Threat-Protection-Test von End- point-Lösungen für Unternehmen erreichen zehn der 13 getesteten Business-Produkte den maximalen Schutz-Score von 36 Punkten durch die lückenlose Erkennung aller zehn Angriffe. Es sind die Lösungen Bitdefender Endpoint Security, Bitdefender Endpoint Security (Ultra), Comodo Client Security, F-Secure Elements End- point Protection, G DATA Endpoint Protection Business, Kaspersky Endpoint Security, Microsoft Defender Antivirus, Seqrite Endpoint Security, Sophos Intercept X Advanced und VMware Car- bon Black Cloud. Malwarebytes Endpoint Protection kann in zwei Fällen den Angriff zwar erkennen, aber nicht Der Kampf gegen Ransomware wird genauso am heimischen PC wie am Arbeits-rechner im Unternehmen geführt. Wie gut schützt Sicherheits-Software gegen fiese Verschlüsselungsangreifer? Im Test von AV-TEST beweisen 15 Internet-Security- Suiten für private Nutzer und 13 Lösungen für Unternehmen, wie gut sie in zehn realen Szenarien gegen eine Attacke via E-Mail, Skript, Makro oder Ransomware bestehen. Der Advanced-Threat-Protection-(ATP-)Test belegt, dass allein die Erken-nung des Angreifers nicht immer ausreicht. Das Labor zeigt daher im Testergebnis deutlich alle Schritte vom Angriff bis zu Abwehr – oder bis zur Verschlüsselung.Test: Ransomware-Schutz-Pakete unter Windows 10GUT PRAXISTAUGLICHBild: ©vegefox.com - stock.adobe.com

SCHWERPUNKT: RANSOMWARE Privatanwender-Software gegen Ransomware: Der Advanced-Threat-Protection-Test stellte einige Schutzpakete auf eine harte Probe gegen Ransomware-Angriffe. Unternehmens-Lösungen gegen Ransomware: Zehn der 13 getesteten Endpoint-Lösungen unter Windows 10 zeigten ein perfekte Abwehr-Ergebnis im Advanced-Threat-Protection-Test gegen Ransomware-Angriffe. IT-SICHERHEIT_2/2022 35 aufhalten. Dadurch kommt es am Ende der beiden Attacken zu einer Verschlüsselung. Der Schutz-Score liegt somit trotz zehn von zehn Er-kennungen bei 34 von 36 Punkten.Avast Business Antivirus Pro Plus und Syman-tec Endpoint Security Complete erkennen acht von zehn Angriffen. Die beiden, die unerkannt durchkommen, sorgen für eine Verschlüsselung. Daher gibt es in beiden Fällen keine Punkte für den Schutz-Score und es bleiben 30 von 36 mög-lichen Punkten.Die Auswertung der Angriffsdiagramme zeigt schnell, dass die bereits angesprochene „reine“ Erkennung eines Angriffs durch ein Schutzpro-gramm nicht immer ausreicht. Denn selbst ein durch eine Ransomware teilverschlüsseltes Sys-tem ist gefährlich. Aber wie der Test zeigt, gibt es viele Produkte am Markt, die auch in diesen sehr realistischen Praxistests zeigen, wie gut sie Angriffe und vor allem Ransomware abwehren.TEST VON SECURITY-PA-KETEN BEI RANSOMWARE MIT DATA STEALERNEine Attacke mit Ransomware ist schnell erklärt: Die Angreifer versuchen in das System einzu-dringen, führen eine Malware aus, verschlüsseln die Daten des Systems und fordern ein Lösegeld für die Entschlüsselung. Diese Art der Attacke ist eher ein Massenangriff und wird oft per Bot-netzwerk ausgeführt.Die Attacke mit einem sogenannten Data Stealer ist wesentlich spezieller, denn in der Regel geht einem solchen Angriff eine Spear-Phishing-Atta-cke voraus. Allein dieser Umstand zeigt, dass der Angriff mit einigem Aufwand geplant ist, mehr investiert wird und teilweise gezielt auf ein Op-fer abgestimmt ist.Data Stealer sind eine Art doppelte Malware. Es wird wird eine Attacke ausgeführt, die der einer Ransomware gleicht. Allerdings: ist der Angriff erfolgreich, so wird als Täuschung beziehungs-weise Ablenkung nur eine kleine Menge an Daten verschlüsselt oder einfach nur umbe-nannt, um eine Verschlüsselung vorzutäuschen. Abschließend wird ein Lösegeld verlangt. Das eigentliche Ziel aber ist der Diebstahl von Da-ten im Hintergrund, der sonst nicht üblich ist. Die Daten landen dann entweder im Darknet oder bei einem Auftraggeber, etwa im Fall von Wirtschaftsspionage. Das Labor hat fünf dieser

SCHWERPUNKT: RANSOMWARE Schutzpakete gegen Ransomware und Data Stealer für Privantanwender: 13 von 15 Produkten konnten die volle Punktzahl erreichen – nur bei zwei Paketen gab es je fünf Punkte Abzug. Endpoint-Lösungen gegen Ransomware und Data Stealer für Unternehmen: Ein perfekter Test für alle 14 Lösungen – jede Schutzlösung wehrt alle Angriffe ab und holt die maximale Punktzahl für den Schutz- Score von 45 Punkten. 36 IT-SICHERHEIT_2/2022 speziellen Attacken im Dezember durchgeführt und so die Produkte geprüft.Im Labor stellten sich insgesamt 15 Schutzpro-dukte für private Anwender unter Windows 10 den zehn Angriffsszenarien mit Ransomware und Data Stealern. Insgesamt 13 der 15 Produkte schließen den Test mit einem perfekten Ergeb-nis von maximal 45 Punkten ab: Acronis Cyber Protect Home, Avast Free Antivirus, AVG Internet Security, Bitdefender Internet Security, F-Secure SAFE, G Data Total Security, Malwarebytes Premium, McAfee Total Protection, Microsoft Defender, eScan Internet Security Suite, Norton 360, PC Matic und VIPRE AdvancedSecurity. Die Graﬁken zeigen deutlich, dass die Angriffe gleich erkannt und abgewehrt wurden.Lediglich die Produkte BullGuard Internet Secu-rity und Protected.net Total AV hatten jeweils bei einem Fall ein Problem mit der Erkennung des Angriffs. Der Data Stealer konnte sein destruk-tives Werk im Test vollenden. Für beide gab das fünf Punkte weniger im Schutz-Score und somit ein Gesamtergebnis von je 40 Punkten.STEALER-SCHUTZ BEI UNTERNEHMENS-LÖSUNGENFür die Unternehmensprodukte hätte der Test nicht besser laufen können. Alle 14 Produkte im Test schnitten in den jeweils zehn Szenari-en perfekt ab und stoppten alle Attacken. Somit erhielten alle Endpoint-Produkte die maximal erreichbaren 45 Punkte: Acronis Cyber Protect, Avast Business Antivirus Pro Plus, Bitdefender Endpoint Security, Bitdefender Endpoint Se-curity (Ultra), Comodo Client Security, F-Secure Elements Endpoint Protection, G DATA Endpoint Protection Business, Malwarebytes Endpoint Protection, McAfee Endpoint Security, Microsoft Defender Antivirus, Sangfor Endpoint Secure Protect, Sophos Intercept X Advanced, Symantec Endpoint Security Complete und VMware Carbon Black Cloud. nAV-TEST/S.M.Die vollständigen Testberichte inklusive genauer Erläuterungen und Hintergründe gibt es unter: https://www.av-test.org

EDITORIAL Stefan Mutschler 38 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT IMPRESSUM www.itsicherheit-online.com in Kooperation mit www.bankmagazin.de SPECIAL: IT-Sicherheit in der Banken- und Finanzwelt Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 9d · 50226 Frechen www.datakontext.com Chefredaktion: Stefan Mutschler (S.M.) E-Mail: stefan-mutschler@t-online.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz (Leitung Online) herz@datakontext.com +49 2234 98949-80 Lisa Bieder Silvia Klüglich Chiara Schönbrunn Kristina Ivlev Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. Dirk-M. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. Jan-Peter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Graﬁk/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E-Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949-60 E-Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 27 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949-99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 104,- inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln künd- bar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83-7110 Druck: Graﬁsches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschick- te Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Ver- öffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber- rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: Yingyaipumi - stock.adobe.com Fotos: Firmenbilder; DATAKONTEXT; iStock.com/pixelﬁt, iStock. com/shayes17; Pixels-Hunter/Shutterstock.com;; (adam121, alexlmx, denisismagilov, Eduardo, Imillian, Intpro, Juststocker, kras99, MH, Ourteam, TechSolution, Thaut Images, VectorMine, Who is Danny) - stock. adobe.com 28. Jahrgang 2022 · ISSN: 1868-5757 Banken im Spagat zwischen Digitalisierungs druck und CybersicherheitDie Banken- und Finanzwelt gehörte zu den ersten, die das, was man heute Digitalisierung nennt, umgesetzt hat. In der IT dominierten überall weitgehend geschlossene Systeme, sowohl was die Rechner als auch die Infrastruktur, Speicher und vor allem die Software betraf. Softwareprogramme waren meist komplexe – im Laufe der Zeit durch Unmengen an Flicken erweiterte – Monolithen, die vor allem darauf ausgerichtet waren, existierende Prozesse in den Unternehmen zu unterstützen oder zu automatisieren. Gefahren für die IT resultierten vor allem aus dem komplexen Management der Systeme, waren also eher hausgemacht. Cyberangriffe waren allenfalls eine theoretische Bedrohung.Mit dem dramatischen Wandel und der Weiterentwicklung der IT ist die klassische Finanz-, Versicherungs- und Immobilienwelt bislang eher suboptimal klargekommen. Offene Systeme mit Anbindung an das globale Internet, Microservices, Container und Apps statt Monolithen, Virtualisierung und Cloud – diese und viele weitere moderne Themen bereiten ihr Kopfzerbrechen. IT und Apps sind heute die Drehscheibe für das Business und damit auch für die Finanzindustrie ein maßgeblicher Wettbewerbsfaktor. Die Migration in die neue IT-Welt gestaltet sich nicht nur technisch und strukturell als äußerst herausfordernd – das seitens Gesetzgeber und Branchenverbände durch zahlreiche Verordnungen und Richtlinien wachsend untermauerte Gebot für IT-Sicherheit und Datenschutz bringt zusätzlich hohe Dynamik in das Vorhaben.Doch wie entwickelt sich die rechtliche Rahmensituation der Banken? Welche Rolle spielt die europäische Perspektive? Wie können sich Finanzunternehmen vor Cyberangriffen schützen? Wie bauen sie ihre IT resilient auf, um Ausfälle zu vermeiden. Welche Chancen und Risiken birgt ihr Weg in die Cloud? Wie lässt sich die Unzahl an Endpoints in der Bankeninfrastruktur efﬁzient schützen? Unser Banken- und Finanz-Special in Kooperation mit der Zeitschrift BANKMAGAZIN gibt wichtige Antworten, verschafft einen Überblick über aktuelle Trends und Entwicklungen und zeigt viele praxisnahe Lösungen.Viel Spaß beim Lesen!Ihr Stefan Mutschler

Inhalt 38 Editorial Anbieter 40 Verschärfte Bedrohungslage für Finanzdienstleister Mehr Investitionen in Cybersicherheit 60 Wie sich Finanzinstitute gegen Cyberangriffe schützen können 42 Warum Cyber-Resilienz in der Finanzindustrie einen europäischen Mantel braucht „Digital Operational Resilience Act“ (DORA) 45 VAIT-Prüfung der BaFin fordert unverzügliche Verbesserung Informationssicherheit mangelhaft 48 Cybersecurity im Finanzwesen Die Endgeräte gegen Hacker abschotten 50 Strategien für den Endpunktschutz Prävention schlägt Reaktion 62 Warum Banken jetzt eine umfassende InterconnectionStrategie brauchen 64 Keine Frage des ‚Ob‘, sondern ‚Wann‘ ein Ransomware-Angriff stattfindet Mit einer BackupStrategie gut vorbereitet sein 66 E-Mail im Visier der Cyberkriminellen Brennpunkte für die ITSicherheit der Banken 68 Auslagerung von Banken-IT stellt besondere Anforderungen an Dienstleister Hohe Hürden für Rechenzentren 52 Cyber Resilience in Zeiten von externen 70 Cybersecurity im Finanzwesen Bedrohungen und Ransomware Das Backup – die letzte Verteidigungslinie „Banken müssen Hacker in die digitale Quarantäne schicken“ 54 Hochsicherer Datenaustausch und Banken ihre digitale Abwehr 72 Der Mensch im Mittelpunkt – so stärken geschützte digitale Zusammenarbeit in der Finanzbranche Secure Content Collaboration 56 Die fünf Phasen eines Erpressungsangriffs RansomwareAngriffe in der Finanzwelt 58 Finanzdienstleister zwischen Kern- geschäft und digitaler Transformation Kriterien für das BankenRZ 74 Use Case Oldenburgische Landesbank: Kompromissloser Datenschutz dank sicherer Datenräume SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 39

Verschärfte Bedrohungslage für Finanzdienstleister Mehr Investitionen in Cybersicherheit Finanzdienstleister schätzen das Risiko von Cyberangriffen als hoch ein, fühlen sich aber gut vorbereitet. Als größte Gefahr sehen sie Ransomware, Phishing und DDos-Attacken – und größte Sorge bereiten ihnen der Abfluss von Kundendaten, Imageschäden und Lösegeldforderungen. Die meisten planen daher, ihre Budgets für Cybersecurity 2022 und 2023 stark zu erhöhen. Dies sind einige Schlüssel ergebnisse der aktuellen Lünen- donk-Studie 2022 „Von Cyber Security zur Cyber Resilience – wie Finanzdienstleister auf die neue Bedrohungslage reagieren“ [1], die in Zusammenarbeit mit KPMG erstellt wurde. F inanzdienstleister sind sich der Gefahr schwerwie- gender Cyberangriffe zwar bewusst, fühlen sich aber gleichzeitig gut vorbereitet, diese frühzeitig zu erken- nen und abzuwehren. Eine deutliche Mehrheit der Banken, Versicherungen und Vermögensverwalter verfolgt eine klare Cloud-Strategie und verspricht sich ein höheres Sicherheits- niveau durch die Nutzung von Cloud-Diensten. Allerdings ist den meisten klar: Sie müssen mehr in IT Security investieren. Digitalisierung eröffnet Hackern neue Angriffsmöglichkeiten Laut Studie der Lünendonk-Marktforscher sehen 92 Pro- zent der Finanzdienstleister ihr Unternehmen gut ge- gen Cyberangriffe geschützt. Ebenso stimmen 87 Prozent der Aussage voll oder überwiegend zu, dass IT Security als Wertschöpfungsfaktor und fester Bestandteil der digitalen Transformation zu sehen ist. „Durch den steigenden Digita- lisierungsgrad – vor allem an den Kundenschnittstellen im Frontend – entstehen neue Einfallstore und eine größere An- griffsfläche für Hacker, die es schnell zu schließen gilt. Da- her überrascht es, dass viele der Studienteilnehmenden ihre Unternehmen als gut gegen Cyberangriffe aufgestellt sehen“, erläutert Mario Zillmann, Partner bei Lünendonk und Autor der Studie. Christian Nern, Partner bei KPMG ergänzt: „Aus regulatorischer Sicht wurde zwar prozessseitig in den letzten Jahren viel für eine bessere IT Security geleistet. Aus der IT-/ Cyber-Security-Sicht betrachtet, fehlt es den meisten Finan- cial-Services-Instituten aber an einer unternehmensweiten Security-Architektur beziehungsweise geeigneten Security- 40 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT

Maßnahmen hinsichtlich einer veränderten digitalen Welt mit Cloud, Apps und Plattformen. Auch für eine bessere Mit- arbeiter-Awareness gegenüber Phishing-Kampagnen oder Automatisierung und Integration einzelner IT-Security-Sys- teme muss mehr gemacht werden.“ Als größte Cyberbedrohung sehen 68 Prozent der befrag- ten Banken, Versicherungen und Vermögensverwaltungen Ransomware und Phishingmails, gefolgt von der Nutzung un- autorisierter Geräte (66 Prozent). 55 Prozent halten es ebenso für wahrscheinlich, Opfer einer DDos-Attacke (Distributed-De- nial-of-Service) zu werden, die Dienste oder Webseiten blo- ckieren und unbenutzbar machen. „Die Methoden und Tech- nologien, die für Cyberattacken genutzt werden, sind vielfältig und entwickeln sich ständig weiter. Hacker sind in der Regel ihren Zielen zwei Schritte voraus und häufig schon lange vor dem tatsächlichen Angriff bereits in den IT-Systemen. Gerade deshalb gilt es, in das Identifizieren von Schwachstellen und die Prävention von Cyberangriffen zu investieren“, schätzt Zillmann die Situation ein. „Dabei kommt es aber nicht nur auf prozessuale und technologische Aspekte an, sondern vor allem auf die Sensibilisierung der Mitarbeitenden gegenüber Angriffsversuchen, beispielsweise via Phishing-Kampagnen.“ Als häufigste Folge von Cyberattacken sehen 73 Prozent der Finanzdienstleister einen Abfluss von Kundendaten. 67 Prozent befürchten den Abgriff kritischer Unternehmens- daten. Hohe Lösegeldforderungen (33 Prozent) oder Umsatz- einbußen (31 Prozent) erwartet jeder dritte Studienteilneh- mende. Budgets für Cybersecurity sollen steigen Um den Schutz der IT- und Unternehmenssysteme zu er- höhen, sollen die Ausgaben für IT Security teilweise sehr stark steigen. Während für Detection, Response und Recovery, also Aktivitäten nach einem erfolgten Angriff, die Budgets vorwie- gend um bis zu zehn Prozent steigen oder konstant bleiben sollen, wird in den Bereichen Identify und Prevention, also der frühzeitigen Erkennung von Schwachstellen und Abwehr von Angriffen, von deutlich stärkeren Budgeterhöhungen ausge- gangen. Die Rolle der Cloud für die Cyberresilienz Der Run auf die Cloud ist auch bei Finanzdienstleistern in vollem Gange. Kaum eine Bank oder Versicherung, die sich noch nicht mit dem Thema beschäftigt hat. Auch das zeigt die Lünendonk/KPMG-Studie. 95 Prozent der untersuchten Fi- nanzdienstleister werden demnach bis zum Jahr 2023 eine Cloud-Strategie ausgerollt haben. „Das ist ein begrüßenswer- ter Fortschritt in Sachen Digitalisierung, doch mit der Cloud allein sind die Finanzdienstleister noch lange nicht am Ziel“, so Nern. „Jede neue Umgebung bringt neue Herausforderun- gen mit sich und in Sachen Cloud Security und Cyber Resi- lience sind die Defizite der Unternehmen noch immer groß. Der Grund: Trotz der verbreiteten Nutzung von Ökosystemen, Cloud Services und Drittanbietern enden die Sicherheitsvor- kehrungen bei 46 Prozent der Finanzdienstleister noch immer an den eigenen Unternehmensgrenzen. Die daraus entstehen- SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 41 . . m o c e b o d a k c o t s - 1 2 1 m a d a © : d l i B den Lücken im Cyber-Schutzschild ermöglichen den Angrei-fern leichtes Spiel. Dennoch überprüfen lediglich 25 Prozent der Befragten Unternehmen regelmäßig den Sicherheitssta-tus ihrer IT-Systeme. Eine Sonderrolle spielen hier allerdings Versicherungen, die aufgrund ihres Geschäftsmodells bereits stärker auf die Absicherung ganzer IT-Ökosysteme achten. Dennoch nehmen auch sie das Thema IT Security vorwiegend als einen lästigen Kostenblock wahr.“Ähnliche Rückstände gäbe es auch bei der Berücksichti-gung von Security-by-Design-Ansätzen, die nur 44 Prozent der Befragten bei der Entwicklung ihrer Produkte mit einbe-zögen. „Dabei würden sie eigentlich einen attraktiven Hebel darstellen, um die hohen Vorgaben der Aufsicht zu erfüllen“, so Nern. „Grund für diese Vorgaben sind die sensiblen Kunden-daten der Finanzdienstleister sowie ihre kritische Infrastruk-tur, die immer häuﬁger ins Fadenkreuz der Angreifer gerät. Dabei setzen die Hacker zunehmend auf immer professionel-le cyber-kriminelle Erpressungsmethoden (Targeted Attacks), weshalb die Bedrohungslage laut aktuellem Bericht des Bun-desamts für Informationssicherheit ‚angespannt und kritisch‘ ist. Noch nicht eingeschlossen ist hier die Verschärfung der Cy-berangriffe durch den Krieg in der Ukraine“. Vor allem kriti-sche Infrastrukturen wie Banken, Versicherungen und Asset Manager müssten besonders auf der Hut sein.Nern sieht eine hohe Notwendigkeit für ein Security-Kon-zept, welches das gesamte IT-Ökosystem mit einschließt, so-wie für einen ganzheitlichen Ansatz, der IT-Security zur Chef-sache macht und Verantwortungen nicht bloß an Dienstleister und die eigene Fachabteilung delegiert: „Finanzdienstleister sollten ihre Cyberresilienz auf allen Ebenen erhöhen. Dafür stehen diverse Tools und Strategien zur Verfügung, die bes-tenfalls aufeinander aufbauen – von ‚Identiﬁy‘ (Identity and Access Management) über ‚Prevention‘ (Monitoring, Cloud & Data Center Security) und ‚Detection‘ (SIEM, SOC) bis zum ‚ Response‘ (Incident Response) und der ‚Recovery‘ (Business Continuity). Für Unternehmen, die noch am Anfang ihrer Cy-berstrategie stehen, empﬁehlt sich dagegen ein ganzheitliches Security Assessment (NIST-Basis) und die Festlegung von Mi-nimumstandards und Benchmarks – sowie ein ordentlicher Tritt aufs Gaspedal. Denn klar ist: Datensicherheit wird für Kunden in den kommenden Jahren zu einer zentralen ‚Value Proposition‘ werden und den Wettbewerb mit anderen Unter-nehmen maßgeblich bestimmen.“ nQuellen:[1] Lünendonk/KPMG: „Von Cyber Security zu Cyber Resilience“, 2022 Downloadbar unter: https://hub.kpmg.de/von-cyber-security-zur-cyber-resilienceS.M.

Warum Cyber-Resilienz in der Finanzindustrie einen europäischen Mantel braucht „ Digital Operational Resilience Act“ (DORA) Cyber-Resilienz wird in der Finanzwelt Europas derzeit noch sehr unterschiedlich bewer- tet. Digitalisierung und EU-weite Vernetzung erfordern jedoch immer dringlicher neue, einheitliche Maßstäbe. Auch IT-Dienstleister müssen in die Legislatur einfließen. Der Digi- tal Operational Resilience Act soll Finanzunternehmen helfen, ihre Widerstandsfähigkeit gegen Cyberangriffe einheitlich zu bewerten. B ereits seit einigen Jahren arbeitet die Europäische Union (EU) intensiv daran, die Finanzwelt in ihrem Rechtsraum robuster gegen Angriffe auf IT-Systeme zu machen. So gibt es etwa seit 2017 die EU-Cybersicherheits- strategie, 2018 trat die NIS Directive zum Schutz kritischer In- frastruktur – also auch den Finanzsektor betreffend – in Kraft, im gleichen Jahr gefolgt von einem Fintech-Aktionsplan, um der Finanzindustrie zu helfen, den rasanten technologischen Fortschritt zu nutzen und dabei gleichzeitig die Cybersicher- heit zu stärken. OPERATIVE RESILIENZ Die operative Resilienz ist die Fähigkeit eines Unter- nehmens und des Finanzdienstleistungssektors ins- gesamt, eine operationelle Störung zu erkennen, sich darauf vorzubereiten, darauf zu reagieren und sich an- zupassen, sich davon zu erholen und daraus zu lernen. (Deﬁnition gemäß Central Bank of Irland, 2021) 42 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT

Im Jahr 2020 hat die Europäische Kommission den ersten Entwurf des „Digital Operational Resilience Act“ (DORA) ver- öffentlicht. Die Verordnung soll ein zentraler Treiber der eben- falls im letzten Jahr formulierten „Digital Finance Strategie“ für Europa werden. Die beiden wichtigsten Ziele von DORA sind einerseits die Widerstandsfähigkeit der Finanzunterneh- men gegen IT-bezogene Risiken zu erhöhen und andererseits die dafür nötigen Anforderungen in der EU zu harmonisie- ren. Letzteres betrifft sowohl die Regeln für die Prüfung der digitalen operativen Belastbarkeit als auch das Reporting und die Klassifizierung von IT-Vorfällen und die Regeln für das IT- Risikomanagement. DORA umfasst – im Gegensatz zu vielen anderen Verordnungen für den Finanzsektor – auch nicht-fi- nanzielle (kritische) IT-Drittanbieter, sofern sie ihre Dienstleis- tungen für Finanzunternehmen erbringen. Bei DORA handelt es sich also um eine Verordnung nach europäischem Recht. Für die Finalisierung des Entwurfs ist noch gut ein Jahr vorgesehen, und danach dauert es noch ein weiteres Jahr, bis die Verordnung Gültigkeit erlangt. Realis- tisch ist also davon auszugehen, dass DORA erst 2024 scharf geschaltet wird. Als Projekt der Europäischen Kommission sind für Einführung und Überwachung von DORA die drei Europäischen Aufsichtsbehörden (Englisch: European Su- pervisory Authorities – kurz ESA) zuständig: die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Auf- sichtsbehörde für das Versicherungswesen und die betriebli- che Altersversorgung (EIOPA). Zeitachse mit den DORA-relevanten Dokumenten und Erwartungen für die Inkraftsetzung (Quelle: EY) Gründe, die aus EU-Sicht für DORA sprechen Finanzunternehmen haben in den letzten Jahren ihre Di- gitalisierung massiv vorangetrieben. Für die kommenden Jah- re ist sogar noch mit einer weiteren Steigerung der Aktivi- täten auf diesem Gebiet zu rechnen. Früher oder später wird nahezu jeder Aspekt im Betrieb einer Bank und anderen Fi- nanzunternehmen auf IT basieren. Bei einigen neueren Ban- ken ist das bereits heute der Fall. Eine immer funktionierende IT wird damit überlebenswichtig. Die EU sah vor diesem Hin- tergrund aus mehreren Gründen Handlungsbedarf. Darüber hinaus machte die COVID-19-Pandemie deutlich, wie wichtig die operative Resilienz des finanziellen Sektors ist, da die Fi- nanzunternehmen auf Technologie und IT-Dienste angewie- sen sind, um sich an Homeoffice und neue Arbeitsmethoden zu adaptieren. SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 43 . . m o c e b o d a k c o t s - o d r a u d E © : d l i B Mehr CyberangriffeDer Finanzsektor ist mit steigender Abhängigkeit von der IT grundsätzlich ein sehr attraktives Ziel für Cyberangriffe. Die Angriffsﬂächen haben sich durch die Vernetzung von Fi-nanzdienstleistern – auch über Ländergrenzen hinweg – noch einmal massiv vergrößert. Teilweise sind hier sehr heteroge-ne IT-Systeme aufeinandergestoßen. Hohe IT-Management-Komplexität mit der Gefahr weiterer Schwachstellen war die Folge. In der Pandemie schließlich haben sich weitere Schwä-chen im digitalen Raum gezeigt, insbesondere entlang der End-to-End-Lieferketten.Höhere Abhängigkeit von DrittanbieternDas Ökosystem der Finanzwelt umfasst auch Lieferanten – in erster Linie aus dem IT-Sektor, die im Zuge der Digitalisie-rung ebenfalls ihre Netzwerke massiv ausgebaut haben. Um ihre Leistung erbringen zu können, sind damit auch sie im gesteigerten Maße vom Funktionieren ihrer IT abhängig. Fi-nanzunternehmen müssen diesen Aspekt künftig im eigenen Interesse stärker beachten. Deshalb wird in DORA ausdrück-lich gefordert, auch die Lieferantennetzwerke in die Risikobe-wertung der IT mit einzubeziehen. In diesem Zuge ist geplant, den ESA neue Befugnisse gegenüber IT-Drittanbietern einzu-räumen. So sollen die ESA beispielsweise Geldstrafen von bis zu einem Prozent des weltweiten Tagesumsatzes verhängen und Finanzunternehmen auffordern können, Verträge mit Dienstleistern aufgrund von Nichteinhaltung der Anforde-rungen zu kündigen.EU-weites Maß für den Reifegrad der betrieblichen Resilienz erforderlichBislang gibt es in der EU kein einheitliches Bewertungs-system für Cyberrisiken im Finanzsektor. Zudem deckt die aktuelle EU-Gesetzgebung nicht jeden Finanzdienstleistungs-sektor ab. Beide Mankos sollen durch DORA behoben werden.Behörden in der EU erlassen für das IT-Risikomanagement teilweise sehr unterschiedliche Vorschriften. Bei international tätigen Unternehmen führt das zu rechtlichen Unklarheiten. Hinzu kommt, dass auch die Aufsicht im EU-Binnenmarkt derzeit noch sehr unterschiedlich läuft. Für Finanzunterneh-men bedeuten diese Hürden einen beträchtlichen adminis-trativen Mehraufwand. Hier soll DORA vor allem die Efﬁzienz verbessern.

Was mit DORA auf Finanzunternehmen und IT-Dienstleister zukommt Gemäß den ESA-Leitlinien kommen auf Finanzdienstleis- ter und ihre IT-Lieferanten eine Reihe neuer Anforderungen zu: So wird die Entwicklung von Reaktions- und Wiederher- stellungsplänen für Finanzdienstleister mit DORA zur Pflicht. In den Plänen muss auch die Kommunikation mit Kunden und sonstigen vom IT-Vorfall Geschädigten geregelt sein. Die Verordnung spezifiziert klare Kriterien für die Klassifizierung von IT-Vorfällen. Das umfasst auch die Vereinheitlichung der Meldepflichten von kritischen IT-Vorfällen. Als kritisch einge- stufte IT-Vorfälle müssen sowohl zentral an die Aufsicht als auch an Nutzer gemeldet werden, falls deren Interessen be- rührt sein könnten. DORA will IT-Risikomanagement harmonisieren und auch die Konzentration von Risiken vermeiden – insbesondere bei Vereinbarungen mit einzelnen Dritten. Solche Verträge müs- sen etwa durch Analysen von Weiterverlagerungen gründlich geprüft werden. Schließlich wird sich mit DORA die Zahl von Finanzunternehmen deutlich erhöhen, die fortgeschrittene Tests auf der Grundlage von „Threat Led Penetration Testing“ (TLPT) durchführen müssen. Den Austausch von Informatio- nen über Cyberbedrohungen zwischen Finanzunternehmen will DORA auf freiwilliger Basis fördern. IT-Dienstleister sind vor allem durch die neuen, bereits er- wähnten Befugnisse der ESA (Geldstrafen, Vertragskündigun- gen) von DORA betroffen. Für kritische IT-Drittanbieter und Subunternehmen schlägt DORA vor, ausschließlich Dienstleis- ter und Anbieter aus der EU zuzulassen. der ESA achten, eine Gap-Analyse durchführen und entspre- chende Anpassungen einplanen. Nicht zuletzt betrifft das beispielsweise die Anforderungen an die operativen Belast- barkeitstests, mit denen die Handlungsfähigkeit des Finanz- unternehmens sichergestellt werden soll. IT-Dienstleister sind gefordert, ihre Klientel aus der Fi- nanzwelt zu beobachten. Es gilt herauszufinden, inwieweit die DORA-Verordnung auch sie selbst trifft. Ist das der Fall, sollten sie keine Zeit verlieren und frühzeitig die erforder- lichen Schritte in die Wege leiten. Dies beinhaltet etwa die Durchführung relevanter Analysen und die Verbesserung von Organisation, Prozessen und Technologie. Grundsätzlich ist es von entscheidender Bedeutung, dass die Finanzunternehmen die Mitarbeiter mit übergreifenden Kompetenzkombinationen haben oder einstellen, ihre Orga- nisation zentralisieren und die Strategie so anpassen, dass sie widerstandsfähiger und sicherer werden können. Die essen- zielen Prozesse für eine effektive operative Resilienz fokussie- ren sich auf Datenqualität, Datenvisualisierung, Datenanalytik und Modellierung. Mit DORA als wesentlichem Pfeiler des umfassenderen „Digital Finance Package“ macht die EU-Kommission einen großen Schritt in Richtung Harmonisierung und Digitalisie- rung der Finanzmärkte in der EU. Das Ziel ist eine Verbesse- rung der operativen Widerstandsfähigkeit von Finanzunter- nehmen, um allen Arten von IT-bezogenen Störungen und Bedrohungen widerstehen zu können. Durch die Harmonisie- rung sollen gleichzeitig „Reibungsverluste“, die derzeit durch inkonsistente Vorschriften in verschiedenen EU-Ländern noch häufig entstehen, weitgehend eliminiert werden. Warum Finanzunternehmen jetzt schon handeln sollten Fazit Im Moment ist der zeitliche Rahmen um DORA noch re- lativ entspannt. Sich frühzeitig mit der neuen Verordnung zu beschäftigen, ist dennoch ratsam, wie unter anderem die Er- fahrungen bei der Einführung der Europäischen Datenschutz- Grundverordnung (EU-DS-GVO) gelehrt haben. Lange haben Unternehmen hier ihren Handlungsbedarf verdrängt und waren dann überfordert, als der Termin für die Inkraftset- zung näher rückte. Am stärksten gefordert sind sicherlich Finanzunterneh- men mit niedrigem Resilienz-Reifegrad beziehungsweise solche, die sich bislang noch wenig mit ihrem Resilienz-Rei- fegrad und dem ihrer Dienstleister beschäftigt haben oder der- zeit noch nicht dazu verpflichtet sind, strengere Vorschriften umzusetzen. Sie sollten bereits jetzt beginnen herauszufinden, wo ihre Widerstandsfähigkeit noch Lücken hat und Strategien entwickeln, wie sie die kommenden Anforderungen nachhal- tig umsetzen wollen. Auch sollten sie ihre Dienstleister schon einmal schärfer unter die Lupe nehmen: Wie weit sind sie in Sachen Resilienz und muss gegebenenfalls nach Alternativen gesucht werden? Finanzunternehmen, die schon einen hohen Resilienz- Reifegrad erlangt haben, sollten bereits auf die Vorschriften Mit steigendem Grad der Digitalisierung werden Finanz- unternehmen immer abhängiger von ihrer IT. Maßnahmen zur Verminderung IT-bezogener Risiken sind zwar seit einigen Jahren im Gange, aber EU-weit sehr unterschiedlich. Zudem gibt es noch viele Lücken. Der Digital Operational Resilience Act (DORA) soll diese Lücken schließen und EU-einheitliche Vorgaben liefern. DORA sollte nach ihrer Ratifizierung zu ei- ner harmonisierten, widerstandsfähigen und sicheren Finanz- industrie führen, in der es einen einheitlichen Ansatz für die operative Widerstandsfähigkeit und Cybersicherheit gibt. n Matthias Funk, Director im Bereich Business Consulting – Technology Risk im Finanzdienstleis- tungssektor bei Ernst & Young Nebojša Janković, Manager im Bereich Cybersicherheit im Finanzdienstleistungssektor bei Ernst & Young 44 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT

VAIT-Prüfung der BaFin fordert unverzügliche Verbesserung Informationssicherheit mangelhaft Im Rahmen der „Fachtagung Informationssicherheit im Versicherungsunternehmen“ stellte das Bundesamt für Finanzdienstleistungsaufsicht (BaFin) vor wenigen Monaten Ergebnisse aus den bisherigen VAIT-Prüfungen vor. Erschreckendes Ergebnis ist, dass fast die Hälfte der geprüften Versicherungsunternehmen im Bereich Informationsrisiko- management mit der schlechtesten Stufe F4 (schwerwiegende Mängel) bewertet wur- den. Folgender Beitrag gibt einen Einblick in die neuen Anforderungen der VAIT, Status quo der Umsetzung bei Versicherungsunternehmen und zeigt Lösungen auf, wie die Informationssicherheit verbessert werden kann. I n Sachen Informationsrisikomanagement fällt nahezu die Hälfte der geprüften Versicherungsunternehmen glatt durch. Etwas besser, aber keineswegs akzeptabel, sieht es im Bereich Informationssicherheitsmanagement aus. Besonders auffällig war hierbei jedoch, dass konkrete opera- tive Themen, wie zum Beispiel „Security Incident & Event Management (SIEM)“, bei allen geprüften Versicherungsun- ternehmen mit der schlechtesten Stufe F4 bewertet wurden (Essler, 2021). Zur Einordnung der Prüfergebnisse starten wir mit dem „Big Picture“, also der Prüfgrundlage in Form der neuen „Ver- sicherungsaufsichtlichen Anforderungen an die IT (VAIT)“, die zum 3. März 2022 in Kraft traten.(1) Hintergrund der Novellie- rung waren die immense und weiter steigende Bedrohungs- lage mit nahezu täglichen – teils sehr verheerenden – Cyber- und IT-Angriffen sowie die Abdeckung sämtli- cher Anforderungen aus der European Insurance and Occupational Pensions Authority (EIOPA). Neben diver- sen Konkretisierungen und Anpassungen wurden als größte Änderung die Kapitel „5. Operative Informa- tionssicherheit“ und „10. IT-Notfallmanagement“ neu in die VAIT aufgenommen. Bild 1 visualisiert den Aufbau der VAIT 2022 und ordnet die Kapitel in der Compliance- und Gover- nance-Pyramide ein. Die beiden neu hinzugekommenen Kapitel verfolgen das Ziel, die Informationssicherheit stärker im operativen Ge- schäft der Versicherungsunternehmen zu verankern und sicherzustellen, dass schneller und zielgerichtet auf aktive . . m o c e b o d a k c o t s - H M © | r e k c o t s t s u J © : d l i B Bild 1: Big Picture – Aufbau der Compliance- und Governance- Pyramide 1. IT-Strategie 2. IT-Governance 11. Kritische Infrastrukturen 10. IT-Notfallmanagement 3. Informationsrisikomanagement 4. Informationssicherheitsmanagement 9. Ausgliederungen und sonstiger Fremdbezug von IT-Dienstleistungen 6. Identitäts- und Rechtemanagement 8. IT-Betrieb 5. Operative Informationssicherheit 7. IT-Projekt und Anwendungsentwicklung Bedrohungen und Angriffe reagiert werden kann. Der neue Bereich „5. Operative Informationssicherheit“ verlangt unter anderem: Einführung von dem Stand der Technik entsprechenden Informationssicherheitsmaßnahmen und -prozessen Einführung eines Überwachungssystems für die Infor- mationssicherheit Kontrollen der Wirksamkeit der Informationssicherheit SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 45

Kategorie F1 Kategorie F2 Kategorie F3 Kategorie F4 Bezeichnung Geringfügig Mittelschwer Gewichtig Schwerwiegend Auswirkung für das Unternehmen Geringes Risiko eines Schadens Mittleres Risiko eines Schadens Hohes Risiko eines Schadens Sehr hohes Risiko eines Schadens und aufsichtlicher Handlungsbedarf Beginn der In überschaubarem Mängelbeseitigung Zeitrahmen Zeitnah Umgehend Unverzüglich maßnahmen nach einem Informati- onssicherheitsvorfall gefordert. Zudem ist die Etablierung einer Richtlinie zum Testen und Überprüfen der Maßnah- men zum Schutz der Informationssi- cherheit eine neue regulatorische An- forderung.(2) Maßnahmen Einzelfallbezogene Die Anforderungen sind sicher hart, aber nicht übertrieben. Jede bran- chenübergreifende Best-Practice- Norm wie zum Beispiel die ISO 27001 umfasst und fordert ebenso all diese Themen. Wie kann es also zu derart schlechter Bewertung von Versicherungsunternehmen seitens der BaFin kommen? Zur Einordung dazu vorab ein Blick in die Kategorisierung der Prüfungsfeststellungen (Bild 2). Die bereits formulierte, in großen Teilen unzureichende Umsetzung der VAIT ist in Tabelle 1 auszugsweise dargestellt. Gemäß vorangegangenen Kategorien der Prüfungsfeststel- lungen zeigt das Ergebnis der Prüfung, dass allein im Bereich „4. Informationsrisikomanagement“ die Hälfte der geprüften Versicherungsunternehmen mit aufsichtlicher Konsequenz zu rechnen haben und die Mängel unverzüglich verbessern müssen. Die gute Nachricht: Einige wenige Versicherer haben es geschafft, ein Informationssicherheitsmanagement mit nur geringfügigen beziehungsweise mittelschweren Mängeln zu führen. Die gesamte Umsetzung ist aber dennoch mangelhaft, und von keinem einzigen Versicherungsunternehmen wur- den die Anforderungen der VAIT vollständig erfüllt. Die Analyse der Ursachen führt zunächst zu einigen of- fensichtlichen Nachholbedarfen. Beispielsweise wurden eini- ge Themen wie ein SIEM offensichtlich bisher tatsächlich nicht Unzureichende Hochstufung Hochstufung Hochstufung Mängelbeseitigung auf F2 auf F3 auf F4 Bild 2: Kategorisierung der Prüfungsfeststellungen (Essler, 2021) Der neue Bereich „10. IT-Notfallmanagement“ fordert un- ter anderem: Aufbau von Zielen und Rahmenbedingungen des IT- Notfallmanagements anhand von Szenarien Erstellung von IT-Notfallplänen für IT-Systeme mit zeit- kritischen Aktivitäten/Prozessen Durchführung von IT-Notfalltests inklusive jährlicher Überprüfung der Wirksamkeit bei zeitkritischen Aktivi- täten/Prozessen Nachweise der Sicherstellung eines hinreichend langen IT-Notbetriebs Neben diesen Neuerungen wurden weitere Anpassungen und Konkretisierungen vorgenommen: Neu im Bereich „3. Informationsrisikomanagement“ ist zum Beispiel die Anforderung, ein Monitoring der Bedro- hungslage mit Prüfung der Relevanz auf den eigenen Infor- mationsverbund inklusive Ableitung geeigneter Maßnahmen. Im Bereich „4. Informationssicherheitsmanagement“ ist nun auch explizit eine zeitnahe Analyse der Auswirkungen auf die Informationssicherheit und angemessene Nachsorge- VAIT- Anforderung KATEGORIE DER FESTSTELLUNGEN WESENTLICHE MÄNGEL 3. Informations- risikomanage- ment F1 – F4 (dabei aber fast die Hälfte F4) Fehlende, lückenhafte oder veraltete Übersicht über den eigenen Informationsverbund Keine ausreichende Berücksichtigung aller risikorelevanten IT-Assets im Risikomanagement Keine Übersicht über die aus Risikosicht kritischen IT-Assets aufgrund fehlender bzw. unzureichender Schutz- 4. Informations- sicherheits- management F2 – F3 bei Informations- sicherheitsbeauftragter F1 – F3 bei Sicherheits- richtlinien F2 – F4 bei Schwach- stellentests, Sicherheits- vorfälle 5. Operative Informations- sicherheit F4 (unter Berücksichti- gung von Maßnahmen auch F3) bedarfsbestimmung Keine Festlegung der Soll-Maßnahmen auf Basis der Schutzbedarfe Nur wenig zielgerichtete Risikosteuerung Auf sinnvolle Sicherheitsmaßnahmen wird verzichtet, ohne das daraus resultierende Risiko zu analysieren Das Risiko aus nicht oder nur unvollständig umgesetzten Soll-Maßnahmen sowie das verbleibende Restrisiko werden nicht analysiert Organisatorische Verankerung des Informationssicherheitsbeauftragten nicht adäquat Wichtige Bereiche von den Sicherheitsrichtlinien nicht abgedeckt Unzureichende Detaillierung der Sicherheitsrichtlinien IT-Schwachstellenmanagement fehlt oder ist unzureichend Keine oder unzureichende Erkennung und Bearbeitung von IT-Sicherheitsvorfällen Fehlende bzw. unzureichende Grundkonzeption des SIEM Fehlende Anbindung wichtiger Systeme Keine bzw. unzureichende Integritätssicherung der Protokolldaten in den Quellsystemen Fehlende Übersicht über die regulären Datenvolumina/Datenflüsse Ungewöhnliche Aktivitäten auf ungewöhnlichen Kanälen können nicht erkannt werden Keine beziehungsweise unzureichende Überwachung kritischer Dateien und Verzeichnisse Tabelle 1: Auszug der Prüfung von Versicherungsunternehmen (Essler, 2021) 46 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT

eingeführt. Ein Mangel, der dringlichst nachzuholen ist. Stand heute ist davon auszugehen, dass IT- und Informationssicher- heitsvorfälle seitens der Versicherungsunternehmen gar nicht in ausreichender Qualität erfasst werden können und bereits kompromittierende Attacken stattgefunden haben könnten, ohne dass das Versicherungsunternehmen das überhaupt mit- bekommen hat. Auch die Analyse der Bedrohungslage ist mit einfachen Mitteln umzusetzen und muss dringlich erfolgen. Dies gilt im Übrigen nicht nur aufgrund der neuen VAIT, son- dern bereits längst auf Basis anderer Gesetzgebung wie zum Beispiel des IT-Sicherheitsgesetzes (IT-SiG) – insbesondere in Bezug auf kritische Dienstleistungen der Versicherungsunter- nehmen (zum Beispiel Schadensmanagement) – oder auch des Gesetzes zur Kontrolle und Transparenz im Unternehmens- bereich (KonTraG) beziehungsweise des Aktiengesetzes (AktG). Wörtlich schreibt das Aktiengesetz dazu in § 91 Abs. 2 AktG eine Vorschrift vor, nach der der Vorstand verpflichtet wird, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fort- bestand der Gesellschaft gefährdende Entwicklun- gen früh erkannt werden.“ Der Vorstand einer börsennotierten Gesellschaft hat darü- ber hinaus ein im Hinblick auf den Umfang der Geschäftstätig- keit und die Risikolage des Unternehmens angemessenes und wirksames internes Kontrollsystem und Risikomanagement- system einzurichten.(3) Die oben genannten „neuen“ Themen der VAIT, wie ein Monitoring der Bedrohungslage und die Ableitung von Maß- nahmen oder auch eine Überwachung des IT-Betriebs mittels SIEM, sind ebenso wie alle vorgelagerten organisatorischen Aktivitäten allein daher schon seit Jahren notwendig. Was tun? Was können Versicherungsunternehmen nun also tun, um den notwendigen Anforderungen schnellstmöglich gerecht zu werden? Die oberste Prämisse ist sicherlich das Management sämtlicher relevanter Informationen und Daten hinsichtlich der Informationssicherheit. Notwendig ist zudem die Etablie- rung geeigneter Software zum Management der Informati- onssicherheit und des Informationsrisikomanagements so- wie die Einführung technischer Lösungen zum Beispiel im Kontext SIEM. Die Angebote sind am Markt vorhanden, und die erfolgreiche Umsetzung ist bereits in anderen Branchen, wie zum Beispiel der Automobilindustrie erfolgt. Des Weite- ren gilt es, das Notfallmanagement zu verbessern und The- men der IT- beziehungsweise Informationssicherheit ange- messen in die vorhandenen Notfallprozesse zu integrieren. Ebenso machbar sind die notwendige Sensibilisierung und die Schulung von Mitarbeitern/innen. Ein weiterer wichtiger wie oftmals vernachlässigter An- satzpunkt ist die Management Attention. Die in der VAIT be- schriebenen Themen sollten bei strategischen Management- entscheidungen eine größere Rolle einnehmen. Klar ist, dass eine sinnvoll und vollumfänglich implementierte Informati- onssicherheit bei kurzfristiger Betrachtung erst einmal Geld kostet und die Profite schmälert. Langfristig gesehen verhin- dert sie jedoch große finanzielle Schäden und Reputationsver- lust, da, wie eingangs erwähnt, in der heutigen Zeit Angrif- fe auf die IT-Infrastruktur mehr die Regel als die Ausnahme sind. Daher ist es unumgänglich, zumindest die Grundlagen der Informationssicherheit in alle Prozesse des Unternehmens einzubringen. Dies beginnt bereits in Einkaufsentscheidungen und mündet in der Frage, ob ein Outsourcing an Dritte oder Töchter aus einer Risikobetrachtung noch rentabel ist. Informationssicherheit ist auch keine Frage der Verfüg- barkeit von passenden Lösungen mehr. Auf dem Markt tum- meln sich Anbieter für jeden erdenklichen Anwendungsfall, von spezialisierten technischen Lösungen bis zu umfassenden Management-Tools. Die Herausforderung ist aktuell vielmehr das systematische Vorgehen und der Einsatz von Software, die die Effektivität und Effizienz bei der Umsetzung der regulato- rischen Anforderungen erhöhen kann. Fazit Es ist selbsterklärend, dass die Änderungen nicht von heu- te auf morgen umsetzbar sind und es größeren Aufwand bei der Umsetzung der neuen VAIT benötigen wird. Fakt ist aber auch, dass die Novellierung keine unüberwindbare Hürde dar- stellt, da es den Kern der Anforderungen bereits vorher durch das Aktiengesetzt sowie das IT-Sicherheitsgesetz gab und die Anforderungen denen gängiger Best-Practice-Standards, wie zum Beispiel der ISO 27001, entsprechen. Die mangelhafte Umsetzung der VAIT ist daher nicht nachvollziehbar und zeigt schwerwiegende offene Flanken. Es gilt, unverzüglich zu han- deln: IT- und Informationssicherheit kostet Zeit und Geld – feh- lende IT- und Informationssicherheit die Zukunft! n Quellen Essler, R. (2021). Fachtagung Informationssicherheit im Versicherungsunternehmen 15. September 2021, Ergebnisse aus den VAIT-Prüfungen. „2021-09-15 Regulierung_VAIT Prüfungen- BaFin_Fachtagung IS im VU“. BaFin (1) https://www.baﬁn.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2022/ meldung_2022_03_03_Aktualisierung_VAIT.html (Abrufdatum 31.03.2022) (2) https://www.baﬁn.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2018/rs_18_10_ vait_va.html?nn=9021442 (Abrufdatum 31.03.2022) (3) https://www.gesetze-im-internet.de/aktg/__91.html (Abrufdatum 31.03.2022) Dr. Stefan Wagner, ISO/IEC 27000 Series Auditor mit zusätzlicher Prüfverfahrenskompetenz nach § 8a (3) BSIG Dr. Christian Ritter, Leiter Produktmanagement ibi systems GmbH Wladislaw Kiesner, Produktmanager ibi systems GmbH SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 47

Cybersecurity im Finanzwesen Die Endgeräte gegen Hacker abschotten Endgeräte, mit denen Mitarbeitende im Homeoffice oder von unterwegs auf das Firmen- netzwerk zugreifen, sind das wichtigste Einfallstor für Hacker. Die Endpoint-Sicherheit im Finanzwesen steht daher mehr denn je auf dem Prüfstand – auch deshalb, weil hier großer Nachholbedarf herrscht. Mit den richtigen IT-Sicherheitslösungen können Banken das Risiko einer erfolgreichen Cyberattacke erheblich minimieren und sich dauerhaft schützen. K ein anderes Ziel ist für Cyberkriminelle lukrativer als Banken. In den vergangenen Jahren war zuneh- mend zu beobachten, dass Hacker gezielt finanzstar- ke Opfer auswählen und angreifen. Diese Vorgehensweise ist als „Big Game Hunting“ bekannt – Großwildjagd. Die Gründe dafür liegen auf der Hand: In keiner anderen Branche können Cyberkriminelle höhere Lösegelder erpressen als im Finanz- wesen. Dazu verwalten Banken einen immensen Bestand sensibler Daten, wie beispielsweise Kontonummern, Pass- wörter oder Geheimzahlen. Vor allem die Endgeräte werden dabei immer mehr zu Einfallstoren für Hacker. Gemeint sind alle Geräte, die an ei- nen Netzanschluss eines Datennetzes angeschlossen sind – also mobile Geräte, wie Notebooks, Tablets oder Smartphones, aber auch Desktoprechner. Solche Endgeräte sind heute in der Regel mit dem Internet verbunden – was sie zu einem klas- sischen Einfallstor für Angreifer macht. Hinzu kommt, dass seit Ausbruch der Corona-Pandemie viele Mitarbeitende von zu Hause arbeiten. Homeoffice und „Bring your own device“ (BYOD) vergrößern die Flexibilität für Banken, aber auch die Zugangsmöglichkeiten für Angreifer. Verschaffen diese sich Zugriff auf ein Gerät, können sie in das gesamte Unterneh- mensnetzwerk eindringen und sensible Daten für eine Er- pressung verschlüsseln oder abgreifen. Wenn vertrauliche Daten in die falschen Hände geraten, steht nicht nur das Vertrauen der Kunden auf dem Spiel, es drohen auch empfindliche Strafen. Denn Banken unterliegen einer ganzen Reihe strenger Vorschriften und Regularien vom Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) und der European Banking Authority (EBA). Immerhin zählen Finanzunternehmen zu den Kritischen Infrastrukturen und sind daher besonders schützenswert. Erpresserangriffe mit Ransomware Eine der größten aktuellen Gefahren sind Ransom ware- Attacken. Das BSI warnte in seinem Lagebericht 2021 ein- dringlich vor dieser Angriffsmethode. Dabei gelangt die Schadsoftware meist über Phishing-E-Mails mit einem Link, 48 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT . m o c e b o d a k c o t s - o r p t n © I . : d l i B

mit Bildern oder anderen ausführbaren Dateien im Anhang auf den Computer und in das System. Die Hacker verschlüs- seln Daten und fordern anschließend ein Lösegeld für die Freigabe. Das BSI rät davon ab, diesen Lösegeldforderungen nachzukommen, da es keine Garantie gibt, dass die Täter die Daten tatsächlich wieder entschlüsseln. Vor allem kleinere Fi- nanzhäuser sind ein beliebtes Ziel für Ransomware-Angriffe. Anders als Großbanken verfügen sie häufig nicht über ausrei- chende Cybersecurity-Maßnahmen. Mit dem Hackernetzwerk „Hive“ erreichen solche Erpres- serangriffe eine neue Dimension. Seit Mitte 2021 versendet die Gruppe massiv Phishing-E-Mails an Unternehmen, um Ran- somware-Attacken zu lancieren. Das Gefährliche daran: Die Hacker verschlüsseln nicht nur Daten, sondern ziehen sie auch von den Servern der Opfer ab. Dann drohen sie damit, sensib- le Daten online zu veröffentlichen. Die Strategie eines Daten- Backups geht somit nicht mehr auf. Ransomware ist derzeit auch deshalb auf dem Vormarsch, weil „Emotet“ zurück ist. Der Trojaner galt lange als gefähr- lichste Software der Welt. Anfang 2021 gelang es Polizeibehör- den und Staatsanwaltschaften, in mehreren Ländern die In- frastruktur von „Emotet“ zu zerschlagen. Nun ist die Malware aber wieder aktiv – und dient als Türöffner für Ransomware- Attacken. Ist der Trojaner einmal installiert, können die Hacker ungehindert weitere Schadprogramme nachladen – häufig in Form einer Verschlüsselungssoftware für Ransomware. Hochprofessionelle Angreifer Wie schlecht Banken vor solchen Angriffen geschützt sind, zeigen die Ergebnisse einer Studie des Research- und Analys- ten-Hauses techconsult. Vor allem Phishing-E-Mails haben sich demnach in der Branche zu einem ernsthaften Prob- lem entwickelt. Sieben von zehn Finanzunternehmen wur- den bereits Opfer von Cyberkriminalität durch die falsche Handhabung von E-Mail-Anhängen. Die häufigste Ursache für Angriffe sind menschliche Fehler. Trotzdem setzen viele Unternehmen im Finanzsektor weder technische noch orga- nisatorische Maßnahmen zum Schutz vor E-Mail-basierten Bedrohungen ein. Laut Umfrage liegt dieser Wert zwischen sechs und zehn Prozent. Deutlich zu hoch – berücksichtigt man, dass Cyberkrimi- nelle inzwischen hochprofessionell und global agieren und sich zu Netzwerken zusammenschließen. Der Aufbau dieser Strukturen war auch deshalb möglich, weil Hacker nun mit anonymen Zahlungsmitteln, wie zum Beispiel Bitcoins, im- mer höhere Geldbeträge erpressen können. Diese Summen fließen dann in die Optimierung bestehender Angriffsmetho- den oder in die Entwicklung neuer Angriffsmuster. Oberste Prämisse: Internet absichern Ein Virenscanner allein reicht als Schutz vor immer raf- finierteren Attacken längst nicht mehr aus. Der wirksamste Schutz vor Eindringlingen aus dem Internet ist stattdessen ein virtueller Browser. Anstatt – wie bei Antivirenprogram- men – Schadcodes zu erkennen, werden alle potenziell ge- fährlichen Aktivitäten in diesem virtuellen Browser isoliert. Betriebssystem und Browser sowie Internet und lokales Netz- werk müssen dabei komplett voneinander getrennt sein. Nur dann bleibt eindringende Schadsoftware in der virtuellen Um- gebung eingeschlossen und kann sich nicht auf dem Rechner und im lokalen Netzwerk verbreiten. Ein direkter Zugriff für Malware auf das Internet ist so ebenfalls proaktiv unterbun- den und das Datenabgreifen wird verhindert. Hochsichere VPN-Verbindung Für die Arbeit aus dem Homeoffice ist zudem eine sichere Anbindung mobiler Geräte an das Netzwerk entscheidend. Ein Virtual Private Network (VPN) bietet die Grundlage für eine verschlüsselte Datenübertragung von zu Hause und unter- wegs. Allerdings müssen solche VPN-Verbindungen für die besonders hohen Anforderungen von Banken ausgerichtet sein. Ein softwarebasierter VPN-Client, der unabhängig vom Betriebssystem arbeitet, bietet die höchste Sicherheitsstufe. Und zwar aus folgendem Grund: Sobald eine Netzwerk- verbindung am Remote-Gerät aufgebaut wird, ist der VPN- Tunnel an. Man bezeichnet das als „Always-on“. Gleichzeitig ist ohne eine VPN-Verbindung Windows offline. Einzig im Fall, dass der VPN-Client ein sicheres Netzwerk erkennt – bei- spielsweise im Büro – deaktiviert er sich von selbst. Eine sol- che „friendly network detection“ ermöglicht dem User, in ver- schiedenen Netzwerkumgebungen sicher mobil zu arbeiten. Ein hochsicherer VPN-Client schützt auch vor Angriffen aus dem Betriebssystem. Denn IT-Sicherheitsprodukte müs- sen heutzutage nicht nur in der Lage sein, Gefahren von außen abzuwehren. Um wirkliche Sicherheit zu erlangen, brauchen Unternehmen auch einen Schutz vor potenziell unsicheren Komponenten im Betriebssystem. Spezielle „Zero-Trust-Pro- dukte“ arbeiten daher unabhängig vom Windows-Betriebs- system. Eine weitere Falle droht bei der Nutzung mobiler Endge- räte: Sie können unterwegs gestohlen werden oder verloren gehen. Eine Festplattenverschlüsselung verhindert, dass un- autorisierte Personen Daten von den Geräten abgreifen kön- nen. Mit einem solchen mehrstufigen 360-Grad-Schutz für die Endgeräte erschweren Finanzunternehmen einen Cyber- angriff erheblich. n Clemens A. Schulz, Director Desktop Security bei Rohde & Schwarz Cybersecurity SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 49

Strategien für den Endpunktschutz Prävention schlägt Reaktion Konventionelle Endpoint-Schutzlösungen setzen auch bei der Abwehr unbekannter Angriffe auf ein reaktives Verhalten. Dabei werden manche neuen Bedrohungen nicht erkannt – gerade im stark von Regulatorien geprägten und vertrauensbasierten Finanzwesen eine sehr gefährliche Tatsache. Ein neuartiger Ansatz stellt die Prävention in den Vordergrund und blockiert auf Basis von Deep Learning selbst fortschrittlichste Angriffe, bevor sie Schaden anrichten können. E ndpoint-Schutzlösungen auf der Basis von Signatu- ren, Regeln und Heuristik wehren bekannten Schad- code zuverlässig ab, versagen jedoch oft bei den immer häufiger auftretenden unbekannten Schädlingen, Zero-Day- Attacken und fortgeschrittenen Angriffsmethoden. Cyberkri- minelle greifen zu zunehmend raffinierten Methoden, um ihren böswilligen Code zu entwickeln, zu verbergen und zu verteilen. Vor allem die horrende Geschwindigkeit, mit der etwa Ransomware-Angriffe die Daten verschlüsseln, ruft nach neuen Lösungen. Dies gilt umso mehr für Umgebungen mit besonders hohen Ansprüchen an Verfügbarkeit, Vertrau- lichkeit und Datenschutz wie etwa die Finanzindustrie mit ih- ren vielfältigen und strengen Regulatorien und Compliance- Vorgaben. Extended-Detection-and-Response-Lösungen (EDR/XDR) liefern zwar erhöhten Schutz, bieten aber immer noch nicht die erforderliche Geschwindigkeit für die Abwehr neuer Ge- fahren in Echtzeit. Denn im Kern solcher Lösungen steht die Post-Analyse verdächtiger Vorgänge „after the fact“, also dann, wenn der Schadcode bereits ausgeführt ist. Zum Schutz des Unternehmensnetzwerks und zur Eingrenzung der Angriffs- folgen werden infizierte Endpunkte häufig automatisch iso- liert. Dies hat zur Folge, dass jemand den möglichen Schaden analysieren muss. Hinzu kommt der Aufwand für die Wieder- herstellung des ursprünglichen Stands. Erfolgreiche Prävention dank Deep Learning Ein neuer Ansatz setzt ganz auf eine schlanke, agenten- basierte Technologie auf der Basis von Deep Learning, einer fortgeschrittenen Form des maschinellen Lernens. Ein riesi- ges neurales Netzwerk lernt dazu aus Hunderten Millionen schädlicher und unschädlicher Dateien und Dateitypen, ver- steht so gewissermaßen die „DNA“ der Bedrohungen, passt die Algorithmen selbsttätig an und verhindert Angriffe praktisch 50 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT . . m o c e b o d a k c o t s - e n M r o t c e V © i : d l i B

in Echtzeit. In der Regel geschieht das in weniger als 20 Milli- sekunden – also deutlich bevor sich der Schadcode entfalten kann. Ransomware benötigt typischerweise bis zu 15 Sekunden, bevor sie mit der Verschlüsselung der Daten beginnen kann – weit mehr also, als die maximal 20 Millisekunden, die die Deep-Learning-basierten Lösungen für Erkennung und Ab- wehr benötigen. Darüber hinaus resultiert aus diesem Verfah- ren erfahrungsgemäß eine Erkennungsrate von 99 Prozent bei unbekannter Malware, und es treten weniger als 0,1 Pro- zent falsch-positive Warnungen auf. Gerade Letzteres entlastet das Security-Team maßgeblich. Deep Learning an sich ist nichts Neues – es kommt zum Beispiel für autonomes Fahren, bei der Gesichtserkennung oder in der Medizin zum Einsatz. Im Gegensatz zum klassi- schen Machine Learning arbeitet Deep Learning automatisch und kommt ohne Training von Modellen durch menschliche Akteure aus. Bei neuen Endpoint-Schutzlösungen kommt idealerweise ein speziell auf Cybersecurity zugeschnittenes Deep-Learning-Framework zum Einsatz. Intelligenz im Agenten Die fertig ausgebildete künstliche Intelligenz, gewisserma- ßen das „Hirn“ einer solchen Lösung, steckt direkt im Agenten auf dem Endpoint, der die Systemressourcen dennoch kaum belastet. Für die Voraussage und Prävention von Angriffen über bekannte und unbekannte Malware, Zero-Day-Exploits, Ransomware und gängige Scripts benötigt der Agent keinerlei Cloud-Zugriff – ein ausschlaggebender Faktor für die hohe Ar- beitsgeschwindigkeit. Der Agent sollte eine Vielzahl von Datei- typen unterstützen, inklusive PDF, Office, Fonts, TIFF, JAR und Makros. Und da der Agent Bedrohungen anhand typischer Merkmale, eben der „DNA“, erkennt, ist ein Update nur ein- bis zweimal pro Jahr erforderlich. Die oft mehrmals täglichen Si- gnatur-Updates und ständigen Threat-Intelligence-Abfragen bisheriger Lösungen entfallen. Für die Verteidigung gegen weitere Angriffsarten, wie dateilose und mehrstufige Attacken, Remote Code Injection, Spyware oder Credential Theft/Dumping, sind zusätzliche, mehrschichtige Schutzmechanismen, wie verhaltensbasier- te Analyse, erforderlich. Auch die Abwehr von Angriffen via Windows PowerShell regelt am besten ein spezielles Modul. Eine Deep-Learning-Lösung zur Abwehr von Cyberatta- cken sollte mindestens Windows, macOS und Linux sowie Chrome OS und Android unterstützen. In manchen Anwen- dungsszenarien vermag sie die Endpoint-Schutzbedürfnisse komplett zu erfüllen, in umfangreicheren Umgebungen mag sie ergänzend zu EDR-/XDR-Lösungen und zum Microsoft- 365-Dienst Defender ATP zum Einsatz kommen, um die Ab- wehr am Endpoint gegen unbekannte Malware und Ransom- ware deutlich zu verbessern. Der Einsatz reduziert die Anzahl falsch-positiver Meldungen in XDR-, SIEM- und SOAR-Lösun- gen massiv, was das Security-Team beim Endkunden oder beim Security-Partner stark entlastet. n Was Deep Learning im Endpunktschutz vermag Wehrt Cyberangriffe in unter 20 Millisekunden ab Stoppt auch mehrstuﬁge, komplexe Ransomware-Attacken Erkennt 99 Prozent aller unbekannten Malware Maximal 0,1 Prozent falsch-positive Resultate Praxisbeispiel aus der Finanzindustrie Eine Bank in den USA, die Lokalbanken mit Korrespon- denzbank-Dienstleistungen versorgt, setzte für den Endpointschutz bisher auf eine klassische EDR-Lösung sowie eine umfassende Schulung der Mitarbeitenden. Cybersecurity ist im Unternehmen im Topmanagement angesiedelt und genießt hohe Priorität – dies, um die Kontinuität der Dienstleistungen und den Schutz der vertraulichen Kundendaten optimal zu gewährleisten und sämtliche Compliance-Anforderungen zu erfüllen. Obwohl die Bank die bestehende EDR-Lösung weiterhin einsetzt, will sie verstärkt auf Prävention setzen, wie de- ren Information Security Manager betont: „Wir machten uns auf die Suche nach einer zusätzlichen Schutzlösung, die dafür sorgt, dass alle Malware beim Eintreten in die Verteidigungsebene gestoppt wird – selbst dann, wenn es sich um eine Zero-Day-Bedrohung handelt.“ Im Rahmen einer Demonstration erkannte die evaluier- te, auf Deep Learning basierende Lösung Dutzende der allerneuesten Schädlinge und konnte sämtliche Datei- typen erfolgreich scannen. Dem Security-Team der Bank wurde rasch klar, dass mit der Lösung die geschäfts- kritischen Services und Kundendaten deutlich besser geschützt sind als ohne, und dass das Security-Team von aufwendigen Incident-Response- und Wiederher- stellungsaktivitäten sowie falsch-positiven Warnungen entlastet wird. Hinzu kommt, dass der Endpunktschutz für die Mitarbeitenden transparent verläuft – und sehr schnell alle Dateien, Scripts und Makros gescannt und so Angriffe im Keim erstickt werden. Joachim Walter, Geschäftsführer bei Boll Europe SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 51

Cyber Resilience in Zeiten von externen Bedrohungen und Ransomware Das Backup – die letzte Verteidigungslinie Betriebssysteme, Firewalls, Antivirensoftware und SIEM (Security Information and Event Management) stehen seit langem im Fokus der Verteidigungsstrategie von IT-Verantwort- lichen. Mit den immer aggressiveren und folgenschwereren Cyberangriffen der letzten Jahre ist jedoch ein IT-Sicherheits-Urgestein als wichtiger Faktor in einer solchen Strate- gie wieder stärker ins Zentrum gerückt: Datensicherung, im Fachjargon auch Backup oder Data Protection genannt. Das Backup ist heute meist zentral organisiert und erweist sich nicht zuletzt als Schutz vor Ransomware als unentbehrlicher Security-Baustein. I ch glaube, wir werden angegriffen“. So oder ähnlich lau- tet häufig die erste Reaktion auf Cyberattacken in Un- ternehmen. Sei es ein verdächtiges Datenaufkommen (Traffic) an der Firewall, auffällig viele Zugriffe von unbe- kannten IPs, meist vom anderen Ende der Welt, oder deutlich erkennbare Veränderungen der Performance einzelner Sys- teme. Cyberangriffe sind vielseitiger Art und vor allem nicht offensichtlich. Ein Angreifer bewegt sich meist über Wochen und Monate im internen Netz des Opfers, um Informationen zu gewinnen und die internen Abläufe zu verstehen. Auf die- ser Basis erfolgt erst die Planung des eigentlichen Angriffs. Bei Angriffen geht es häufig darum, durch Verschlüsse- lung von Daten Geld zu erpressen (Ransom). Dies ist mittler- weile eine Milliarden-Industrie. Die Motive können aber auch ideologischer oder persönlicher Natur sein, und nicht selten werden Angriffe organisiert, um Konkurrenten auszuspähen oder ihnen einfach zu schaden. Das Backup kann nicht in allen Fällen schützen, feiert aber gerade als „Sicherer der Daten“ ein Comeback in der Aufmerksamkeit von IT-Managern. Gründe hierfür sind: Backups sind die letzte Verteidigungslinie, wenn Daten manipuliert oder verschlüsselt werden. In der zentralen Datensicherung liegen alle relevanten Daten eines Unternehmens, oft in unverschlüsselten Formaten. Gelingt es dem Angreifer, das Backup zu zerstören oder zu manipulieren, steigt die Zahlungsbereitschaft im Fal- le einer durch Ransomware verschlüsselten Umgebung deutlich. Die zentrale Bedeutung der Datensicherung in der Abwehr von Ransomware-Attacken beschreibt das Bundesamt für Si- cherheit in der Informationstechnik (BSI) in seinem Bericht „Ransomware Bedrohungslage, Prävention & Reaktion 2021“ mit den Worten: „Ein Backup ist die wichtigste Schutzmaß- nahme, mit der im Falle eines Ransomware-Vorfalls die Ver- fügbarkeit der Daten gewährleistet werden kann.“ Kundendaten effektiv schützen Im Falle eines Angriffs eine schnelle Antwort durch Schutz und Wiederherstellung der wichtigsten Unternehmensdaten und -anwendungen gewährleisten zu können, kann gerade im Finanzsektor vor immensen wirtschaftlichen Schäden be- wahren – die hier verarbeiteten Personen- und Finanzdaten sind die Grundlage ihres gesamten Business. 52 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT . m o c e b o d a k c o t s - n a . i l l i m © I : d l i B

Beim 3-2-1-Datensicherungskonzept werden drei unabhängige Kopien jeder Datei auf zwei verschiedenen Medien gespeichert. Eine dieser Kopien ist nicht zugänglich beziehungsweise veränderbar (offline). Ein modernes Datensicherungskonzept basiert auf der 3-2-1-Regel: Drei unabhängige Kopien jeder Datei – auf min- destens zwei verschiedenen Medien, zum Beispiel Festplat- te und Cloud, oder zwei Festplatten an zwei verschiedenen Standorten – je nach Bedarf. Eine dieser Kopien muss so ge- lagert sein, dass nicht elektronisch auf die Daten zugegriffen werden kann. Drei Kopien gewährleisten eine schnelle Verfügbarkeit und Wiederherstellung der Daten – im Idealfall sehr nah an den Produktionsdaten. Zusätzlich gibt es weitere Datenkopien auf logisch getrennten Systemen, die genutzt werden, falls die erste Backup-Kopie zerstört wurde. Eine Offline-Kopie ist der letzte Rettungsanker, falls auch die Backup-Server erfolgreich angegriffen und zerstört wur- den. Traditionell ist diese Kopie auf Bändern (Tapes) abgelegt, welche im Idealfall an einem sicheren Ort verwahrt wurden. Eine Wiederherstellung von diesen Bändern dauert länger, ist aber online nicht angreifbar. Widerstandsfähige Backup-Infrastrukturen Aufbauend auf diesem Design setzt das Konzept der Cyber Resilience. Dabei geht es darum, Datensicherungssysteme an- hand geeigneter Designprinzipien aktiv vor Cyberangriffen zu schützen. Diese Resilienz wird über verschiedene Ansätze er- reicht, vorrangig durch gehärtete, vorkonfigurierte und spezia- lisierte Backup-Server (Appliances) sowie durch das lückenlose Monitoring der Leistungsfähigkeit und Stabilität der Backup- Server. Bei Engpässen oder Fehlermeldungen werden Alarme generiert. Ein weiteres Sicherheitsmerkmal ist eine Teilung der Zuständigkeiten (Separation of duties). In diesem Fall bedeutet das im Wesentlichen, dass kein Benutzer administrative Be- rechtigungen auf Produktions- und Backup-Daten hat und da- mit nicht primäre Daten und die zugehörigen Backups zerstö- ren kann – sei es versehentlich oder beabsichtigt. Seit mehreren Jahren werden unveränderliche Speicher- systeme (Immutable Storage) eingesetzt. Diese folgen dem Write-Once-Read-Many-(WORM-)Ansatz: Daten können nur einmal geschrieben werden und sind dann permanent oder für eine bestimmte Zeit nicht mehr veränderbar und vor Lö- schung geschützt. Geht es um sensible Kundendaten, wie Kreditkartendaten oder Kontoinformationen, werden spezi- elle Storage-Appliances oder Cloud-Services genutzt, die diese Funktionalität bieten. All diese Vorkehrungen sorgen dafür, dass die Backup-In- frastruktur im Fall eines Cyberangriffs nicht in Mitleiden- schaft gezogen wird. Inzwischen reichen diese Funktionen allerdings nicht mehr, denn ein Punkt, der heute hohe Wich- tigkeit erlangt hat, bleibt noch unberücksichtigt: Eine zuverläs- sige und performante Wiederherstellung kann nur gewähr- leistet werden, wenn sichergestellt ist, dass alle gesicherten Daten frei von Schadsoftware und Manipulationen sind und die Wiederherstellung schnell und priorisiert nach der Wich- tigkeit der betroffenen Systeme erfolgen kann. Cyber Resilience durch Modern Data Protection Moderne Data-Protection-Lösungen gehen daher einen Schritt weiter und bieten Ansatzpunkte, die Qualität der Back- up-Daten selbst zu prüfen, denn die zentrale Frage ist: Ist mein Backup vom Angriff betroffen oder ist es „sauber“? Nur wenn es frei von Schadcode ist, kann ein Restore die richtige Ant- wort auf eine Cyberattacke sein. Auffällige Bitmuster oder ein plötzlich stark abweichen- des Backup-Volumen mit einer sich verschlechternden Dedu- plizierungs- oder Kompressionsrate kann auf verschlüsselte Produktionsdaten hinweisen. Die Indizierung und Analyse von Backup-Daten ist der neueste Trend, um diese zentral in einer Cloud auf bekannte schädliche Bitmuster, Dateiendun- gen oder andere Auffälligkeiten prüfen zu lassen und Events auszulösen. All diese Maßnahmen sorgen in ihrer Gesamtheit für eine stabile und verlässliche Antwort auf Ransomware-Attacken, bieten jedoch wenig Schutz gegen Konfigurationsfehler, geziel- te Manipulation oder Software-Bugs innerhalb der gesicherten Daten. Um die Fehlerfreiheit der Datensicherung kontinuier- lich zu prüfen, müssen Backups regelmäßig wiederhergestellt werden. Nur diese Tests stellen sicher, dass die Backup-Strate- gie vollständig und die Backup-Daten valide sind. Best Practice für einen Modern-Data- Protection-Ansatz Da dies bei vielen hundert bis tausenden Backup-Quellen nicht manuell durchführbar ist, muss der entsprechende Pro- zess automatisiert werden. Ein Beispiel ist der kontinuierliche Restore virtueller Server in einer abgeschotteten Umgebung (Clean Room), um diese auf Fehlerfreiheit zu prüfen. Zusätz- lich werden diese Backups mithilfe eines aktuellen Virenscan- ners auf Ransomware untersucht. Im Falle einer gefundenen Infektion wird ein Security-Alarm ausgelöst und die gesam- te Backup-Umgebung nach dieser Infektion analysiert. Ad- ministratoren werden visuell über die Ausbreitung einer In- fektion informiert – eine Entscheidungshilfe zum Auffinden der besten „sauberen“ Backups. Auch „schlafende Viren“ und Mal ware in Backups werden gefunden – ein wichtiger Ga- rant, dass Backups sauber laufen und ihre Verteidigung vor Ransom ware aktiv ist. n Markus Stumpf, Head of Data Protection Services der Empalis Consulting GmbH SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 53

Hochsicherer Datenaustausch und geschützte digitale Zusammenarbeit in der Finanzbranche Secure Content Collaboration Ob ortsunabhängiges Arbeiten, die Zusammenarbeit zwischen über den Globus verteilten Niederlassungen oder die Integration interner und externer Projektteams: Finanzdaten und Dokumente liegen zunehmend digital vor und Informationsflüsse erfolgen fast ausschließlich im virtuellen Raum. Secure Content Collaboration ist eine zentrale Herausforderung vieler Banken und Finanzinstitute im digitalen Zeitalter. Dazu empfiehlt sich eine cloudbasierte Umgebung, in der sich sensible Informationen schnell und ohne Risiken austauschen lassen und die Bearbeitung von Dateien ausschließlich durch dazu berechtigte Personen einfach und sicher möglich ist. I nsbesondere stark regulierte Branchen wie der Finanz- sektor schrecken noch immer vor einer Migration in die Cloud zurück. Der Grund: Sie fürchten um die Sicherheit ihrer Daten beziehungsweise der Daten ihrer Kunden. Das ist auch kein Wunder angesichts strengster Datenschutzaufla- gen. Doch nicht zuletzt aufgrund der COVID-19-Pandemie, die nicht nur die Finanzbranche von jetzt auf gleich vor verän- derte Rahmenbedingungen stellte, können sich Banken und Finanz institute der Digitalisierung und Remote-Verarbei- tung nicht mehr entziehen. Auch sie sehen sich gezwungen, Lösungen für das sichere und rechtskonforme cloudbasierte Einsehen, Bearbeiten und Austauschen von Dokumenten mit Kunden, Partnern und Kollegen – kurz „Secure Content Col- laboration“ – zu suchen. Doch diese Art der Zusammenarbeit ist auch mit Risiken behaftet: Beispielsweise könnten sich Mitarbeiter des Provi- ders Zugriff auf sensible Dateien verschaffen und damit unter Umständen irreparablen Schaden für ein Unternehmen an- richten. Auch besteht insbesondere in Nicht-EU-Ländern das Risiko der Weitergabe von vertraulichen Daten an Behörden. Hinzu kommt, dass die klassische Ende-zu-Ende-Verschlüsse- lung keine geschützte Bearbeitung von Dokumenten ermög- licht. Für echte Secure Content Collaboration braucht es dem- nach technische Möglichkeiten, um Dateien zu bearbeiten und sie zugleich vor unberechtigten Zugriffen zu schützen. Wie Confidential Computing sensible Daten schützt Unter Content Collaboration versteht man die Möglichkeit, ortsunabhängig und von jedem Gerät aus auf Dateien zuzu- greifen, sie auszutauschen, zu synchronisieren und gemein- sam daran zu arbeiten. Die Vorteile liegen auf der Hand: Naht- lose Arbeitsabläufe, gesteigerte Produktivität und bequeme, teamübergreifende Zusammenarbeit sind nur einige wenige Beispiele hierfür. Eine mögliche Option ist die Nutzung eines virtuellen Da- tenraums, der dem Anwender datenschutzkonforme Funkti- onen zur Verfügung stellt und zudem ein überdurchschnittlich hohes Sicherheitsniveau bietet. Bei einem virtuellen Daten- raum handelt es sich um einen geschützten Raum auf Basis ei- ner internetbasierten Plattform, in dem Daten, wie beispiels- weise digitale Dokumente, zur Verfügung gestellt werden. 54 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT . m o c e b o d a k c o t s - . m a e t r u O © : d l i B

Secure-Content-Collaboration-Plattformen (hier: idgard von uniscon) erlauben das rechtkonforme cloudbasierte Einsehen, Bearbeiten und Austauschen von Dokumenten mit Kunden, Partnern und Kollegen. (Quelle: uniscon) Für das notwendige Schutzniveau sorgt dabei ein Confi- dential-Computing-Ansatz. Dieser stellt sicher, dass die Daten nicht nur verschlüsselt sind, wenn sie in der Cloud gespei- chert werden („data at rest“), sondern auch bei der Übertra- gung („data in transit“) und während der Verarbeitung („data in use“). Was dahintersteckt, ist eine sichere Enklave (Trusted Execution Environment) für die Bearbeitung der Daten. Eine Verarbeitung an anderer Stelle ist nicht möglich. Dabei han- delt es sich um einen von allen anderen Server-Bereichen und dem restlichen System hermetisch abgeriegelten Bereich. Da hier nur signierter Code Zugriff auf die Daten erlangt, werden Unbefugte selbst dann nicht hineingelassen, wenn sie über Administratorrechte verfügen. Zu diesen Unbefugten zählt auch der Cloud Provider selbst: Nicht einmal er besitzt einen Schlüssel, mit dem er an die Daten gelangt. Diese sind also selbst dann geschützt, wenn der Diensteanbieter beispiels- weise Opfer einer Cyberattacke geworden ist oder Mitarbei- ter des Providers versuchen, sich Zugang zu sensiblen Daten zu verschaffen. Eine hochsichere Sealed-Cloud-Basis für Finanzdaten Ermöglicht wird das Confidential-Computing-Konzept – auch als „Zero Knowledge Computing“ oder „Sealed Com- puting“ bekannt – durch ein Zusammenspiel von effektiver Verschlüsselung und mehreren ineinandergreifenden tech- nischen Schutzvorkehrungen. So lässt sich ein Schutzniveau erreichen, das sogar besonders schutzbedürftigen Daten wie etwa Finanzdaten gerecht wird. Von einer Lösung mit einem derartig hohen Datenschutzniveau profitieren insbesonde- re Banken und Finanzinstitute, etwa bei Prozessen wie Zah- lungsabwicklungen oder Prüfungen von Kreditvergaben. Beispielsweise stehen Banken und Finanzdienstleister vor der Herausforderung, eine intelligente Kollaborationslösung zu finden, welche den bestmöglichen Datenschutz beim Aus- tausch von Unterlagen gestattet und gleichzeitig den Mitar- beitern und Partnern den Komfort der digitalen Zusammen- arbeit bietet. Als Teil einer rechtlich stark regulierten Branche unterliegen Finanzdienstleister selbstverständlich höchsten Sicherheitsbestimmungen in Bezug auf die Daten ihrer Kun- den. Diese Anforderungen gehen weit über Vorgaben der Da- tenschutz-Grundverordnung (DS-GVO) und des Bundesda- tenschutzgesetzes (BDSG) hinaus; so sind beispielsweise auch das Kreditwesengesetz (KWG) und das IT-Sicherheitsgesetz zu beachten. Mit üblichen Filesharing-Lösungen ist dies nicht zu bewerkstelligen. Für Banken ist daher eine Lösung für den durchgängigen und absolut sicheren Datenaustausch alterna- tivlos. Ein solches System muss zudem einfach zu bedienen und auf individuelle Anforderungen anpassbar sein. Mit ei- ner zugrunde liegenden Confidential-Computing-Technologie wird ein Fremdzugriff auf die gesicherten Datenräume zu je- der Zeit ausgeschlossen. Selbst in der sogenannten vulnerab- len Phase – also dann, wenn die Daten im Klartext verarbeitet werden – ist für deren Schutz gesorgt. Fazit: Augen auf bei der Tool-Auswahl Im digitalen Zeitalter ist Secure Content Collaboration für viele Unternehmen unverzichtbar. Das gilt vor allem für Branchen wie den Finanzsektor, in denen strikte rechtliche Regeln gelten. Um sensible Daten vor Einsicht, Manipulati- on oder Verlust zu schützen, sind technische Lösungen er- forderlich, die jeglichen unerlaubten Zugriff – auch durch Administratoren – zuverlässig verhindern. Solch hohen Sicherheitsanforderungen können selbst einige Business- Cloud-Anbieter nicht entsprechen. Abhilfe schaffen Lösun- gen mit Confidential-Computing-Ansatz, deren technische Schutzmaßnahmen sich auch mit hohem Aufwand nicht austricksen lassen. Somit sind unautorisierte Zugriffe auf vertrauliche Daten in der Cloud ebenso ausgeschlossen wie deren Diebstahl und Manipulation. n Andreas Dirscherl, Product Owner, uniscon GmbH SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 55

Die fünf Phasen eines Erpressungsangriffs RansomwareAngriffe in der Finanzwelt Die Finanzbranche verarbeitet äußerst empfindliche Daten, wie zum Beispiel Kopien von Personalausweisen, Finanzstatus oder personenbezogene Daten eigener Mitarbeiter. Nach einem sogenannten Ransomware-Angriff könnten solche sensitiven Daten nicht nur verschlüsselt, sondern auch im Internet publik werden, was zu Image- und Reputations- verlusten führen kann. I nsbesondere in der Finanzbranche werden sensitive Daten verarbeitet: So verpflichtet beispielsweise das Geldwäschegesetz zur Aufbewahrung einer Kopie des Personalausweises eines jeden Vertragspartners. Der Dieb- stahl solcher Daten ist hier schwerwiegender als der Verlust durch Verschlüsselung. Bei sogenannten Ransomware-An- griffen, werden nicht nur gezielt Zugriffe auf Systeme und Daten eingeschränkt oder sogar komplett verhindert, um dann Lösegeld für die Wiederherstellung und Freigabe der verschlüsselten Daten zu erpressen, sondern auch die Ver- öffentlichung sensitiver Unternehmensdaten angedroht. Die zuvor von den Hackern kopierten Daten enthalten Unterneh- mensgeheimnisse, empfindliche Informationen von Kunden und Geschäftspartnern oder personenbezogene Daten über die eigenen Mitarbeiter. Eine Veröffentlichung solcher Daten kann die Reputation einer Bank zerstören sowie hohe DS- GVO-Strafen nach sich ziehen. Die Bezahlung des Lösegeldes soll dabei in Bitcoins oder in einer anderen Kryptowährung erfolgen, um den Tätern Anonymität zu gewährleisten. Grundsätzlich lässt sich Ransomware (ransom: englisch für Lösegeld, ware: Abkürzung Software) in zwei Gruppen unterteilen: Der „Kryptotrojaner“ verschlüsselt Daten auf lo- kalen Systemen oder gar das komplette Dateisystem. Beispie- le: WannaCry, Conti, LockBit. „Locker“ hingegen blockieren die Nutzung des Systems. Das geschieht beispielsweise durch Verschlüsselung der Bootsektoren der Datenträger, was dazu führt, dass Systeme nicht mehr hochfahren können. Beispiele: Petya, Cryptowall, GoldenEye. PHASE EINS: Zugang Angriffe erfolgen in der Regel in fünf Phasen. Zunächst müssen Hacker einen Zugang zum internen Unternehmens- netz erlangen. Um dieses Ziel zu erreichen, bedienen sich die Angreifer verschiedener Mittel: Bei Drive-by-Downloads wird zum Beispiel eine Webseite mit Schadcodes versehen, sodass der Browser dazu genötigt wird, weiteren Schadcode für den Nutzer unbewusst im Hintergrund herunterzuladen. So kann der bloße Besuch der Seite zu einer Infektion führen. Software supply chain attacks gehen ihre Angriffe deutlich großflächiger an, attackieren zum Beispiel Schwachstellen in den Systemen von Lieferanten und Drittanbietern, um gleich mehrere Unternehmen zu kompromittieren. Am beliebtes- ten und erfolgreichsten sind aber immer noch die klassischen Phishing-Attacken, bei denen E-Mails, die täuschend echt aus- sehen und durch gefälschte Absender Vertrauenswürdigkeit vorgaukeln, den Empfänger dazu motivieren sollen, einen Anhang anzuklicken oder einem Link zu folgen. Auf Webseiten, die viel Traffic erzeugen und die häufig schlecht abgesichert sind, zum Beispiel auf Webseiten mit 56 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT . m o c e b o d a k c o t s - v o . l i g a m i i s s n e d © : d l i B

erotischen Inhalten, wird das Malvertising betrieben. Hierbei werden Werbeeinblendungen mit Schadcode versehen, um Sicherheitslücken im Browser oder dessen Plug-ins auszunut- zen. Eine Interaktion ist nicht nötig – wie beim Drive-by läuft der Download automatisch im Hintergrund. Zudem führen Sicherheitslücken in aus dem Internet erreichbaren Systemen, wie VPNs, E-Mail-Server und Web- mail oder auch Virtual Desktop Infrastrukturen (VDI), immer häufiger zu einer Kompromittierung. Angreifer scannen bin- nen weniger Stunden nach Bekanntwerden einer kritischen Sicherheitslücke das gesamte Internet nach verwundbaren Systemen ab. Unternehmen brauchen hingegen meist meh- rere Tage oder sogar Wochen, um betroffene Systeme zu pat- chen. Das kann unter anderem an langen Change-Manage- ment-Prozessen, fehlender Inventarisierung, oder an einem langsamen Dienstleister liegen. Bis die Lücken geschlossen werden, sind die Angreifer bereits ins Unternehmensnetz vorgedrungen. PHASE ZWEI: Installation Ist die Schadsoftware erst heruntergeladen, beginnt sie auch schon ihre Ausführung. Es werden Hintertüren ge- schaffen, über die die Angreifer jederzeit wieder ins Unter- nehmensnetz gelangen können. Wie das im Detail aussieht, ist von der jeweiligen Plattform des Zielsystems abhängig. Bei modernen Ransomware-Angriffen sind die Mechaniken mitt- lerweile soweit ausgereift, dass die Hacker sich in den Sys- temlandschaften (längerfristig) ausbreiten, um immensen Schaden zu verursachen. Da weltweit vor allem Windows- Systeme genutzt werden, sind diese am häufigsten von An- griffen betroffen. Tipps für mehr digitale Sicherheit Das große Stichwort ist hier Prävention – technischer sowie prozessualer Art. Windows-Domänen sollten gehärtet und die Endpoint-Sicherheit erhöht werden. Vergebene Berechtigungen und Zugriffe sollten über- prüft und klar geregelt sein, unnötige Zugriffe über- wacht. Dies gilt ganz besonders bei höher privilegier- ten Zugriffen. Wichtig sind neben der Firewall auch die Robustheit und der Schutz der Clientsysteme. Das Arbeiten im Homeofﬁce ist nicht durch die Unterneh- mens-Firewall abgedeckt, weil die Mitarbeiter in aller Regel ihre privaten Internetverbindungen nutzen. Nur einige wenige Maßnahmen erschweren es Angreifern, sofort Netzwerke und Systeme zu übernehmen. Zum Beispiel: Patch-Management, Administrationshygiene und Netzwerkseparierung. Vor allem dann, wenn intern nicht genügend oder kein Know-how zum Abwehren von digitalen Angriffen vorhanden ist, müssen Verantwortlichkeiten eindeutig geregelt und Prozesse klar deﬁniert sein. Welche Per- sonen sind verantwortlich und welche Informationen müssen bereitgestellt werden? Der Faktor Zeit ist hier maßgebend. Wer im Vorfeld in eine gute Incident-Res- ponse-Readiness-Strategie investiert hat, wird rascher auf den Krisenfall reagieren können und somit am Ende weniger Geld verlieren. PHASE DREI: Command-and-Control PHASE FÜNF: Extortion Jetzt folgen die Anweisungen über einen zentralen Kom- mandoserver (Command-and-Control). Dieser erlaubt den Angreifer-Teams – über den geschaffenen Zugang zum Un- ternehmensnetz – gleichzeitig und sehr effizient zu arbeiten. Die Angreifer erforschen das Netz, suchen nach Dateiservern und Datenbanken mit besonders interessanten Daten. Die- se laden sie ins Internet hoch, oft unter Nutzung bekannter Plattformen wie Dropbox oder Mega. Sie identifizieren und übernehmen zentrale Komponenten im Netzwerk. Über die zentrale Anti-Virus-Konsole wird dann kurz vor dem Start der Ransomware das Anti-Virus im gesamten Unternehmensnetz ausgeschaltet. Sind Backup-Server erreichbar, werden dort vorhandene Backups gelöscht. Über Domain Controller oder über eine zentrale Softwareverwaltung, konfigurieren die Hacker die Verteilung der Ransomware auf alle Server und Clients im Unternehmensnetz. PHASE VIER: Destruction Jetzt erst folgt die eigentliche Verschlüsselung oder das Blo- ckieren von Daten, Netzwerken und Systemen. Heute werden diese Angriffe nicht selten sehr strategisch gefahren, indem zum Beispiel zunächst alle Backups (beispielsweise in Form von Volumenschattenkopien) gelöscht werden. Ist der Angriff erfolgreich abgeschlossen, wird das Un- ternehmen über die Verschlüsselung informiert. Im gleichen Zuge wird den Opfern die Lösung des Problems – Entschlüs- selung und Freigabe gegen Zahlung eines Lösegelds – ange- boten. Meist setzen die Kriminellen eine Frist, zu der das Lö- segeld bezahlt worden sein muss. Geschieht dies nicht, erhöht sich die Summe. Der Betrag kann je nach Unternehmen ext- rem schwanken, fünf- oder sechsstellige Beträge in Form von Bitcoins sind bei größeren Firmen üblich. Sicher kann sich das Unternehmen auch bei Zahlung des Lösegeldes nicht sein, zum Normalzustand zurückzukehren und Ruhe zu haben, denn die Hacker könnten durch den bereits erfolgten Zugang auf die Systeme irgendwann wieder tätig werden und er- neut verschlüsseln. Zudem kann unter gewissen Umständen die Zahlung des Lösegelds als Geldwäsche angesehen werden und/oder bei Zahlungen an Hacker aus Embargoländern ein Verstoß gegen Außenwirtschaftsvorschriften vorliegen. n Wolfgang Straßer, Geschäftsführer @-yet SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 57

Finanzdienstleister zwischen Kerngeschäft und digitaler Transformation Kriterien für das BankenRZ Rigide Compliance-Vorschriften, hohe Anforderungen an die Sicherheit und harte Audit- verfahren – das scharfe Auge der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) überblickt den Weg in die digitale Transformation von Banken und Sparkassen. Damit begeben sich auch Rechenzentrumsdienstleister auf schwieriges IT-Terrain. D er Verdrängungswettbewerb zwischen Neobanken aus der FinTech-Szene und etablierten Geldhäu- sern hat mit der digitalen Transformation eine neue Dimension erreicht: Das Filialgeschäft weicht dem Brow- ser, Investmentpläne laufen auf Smartphones. Gleichzeitig schrumpft die Cost-Income-Ratio (CIR) wegen sinkender Ein- nahmen im Firmen- und Privatkundensegment und immer noch weitgehender Niedrigzinsen, während auf der Ausga- benseite hohe Personalkosten auf den Profit drücken. Regularien binden viel Personal Ein Blick hinter die Kulissen der Finanzwirtschaft offen- bart, unter welchen verschärften Bedingungen das Banken- wesen das Thema Digitale Transformation angehen muss: Viele Regulatorien wie die „Bankaufsichtlichen Anforderun- gen an die IT“ (BAIT) und andere nationale und internationale Richtlinien führen in dieser Branche zu einem besonders ho- hen finanziellen und personellen Aufwand. Hinzu kommen als übergreifender Rahmen die Mindestanforderungen an das Risikomanagement (MaRisk) und die damit verbundenen, be- sonders hohen Anforderungen an Compliance Management, Risiko Management, Internes Kontrollsystem und vieles mehr. Neuerdings sorgen auch zusätzliche BaFin-Kompeten- zen, wie das „Gesetz zur Stärkung der Finanzmarktintegrität“ (FISG), gegebenenfalls für zusätzlichen Handlungsbedarf. Da- mit kann die Aufsicht nunmehr direkt auf Dienstleistungsun- ternehmen zugreifen, auf die Banken wesentliche Prozesse und Aktivitäten auslagern: Musste die BaFin bislang den Um- weg über die Finanzinstitute nehmen, ist sie nun auch befugt, unmittelbar direkte Kontrollen beim ausgelagerten Unterneh- men durchzuführen, zum Beispiel wenn ein Missstand ver- mieden oder behoben werden soll. Im Bankensegment gibt es zudem eine ganz spezielle Aus- gangslage. Durch den hohen regulatorischen Overhead und dem anhaltenden Fachkräftemangel fehlen Finanzdienstleis- tern oft die benötigten Spezialisten, um sich den vielen ge- setzlichen und technischen Voraussetzungen für die Digitali- sierung und gleichzeitig der IT selbst widmen zu können. So werden zu den früheren IT-Abteilungen heute Auslagerungs- steuerungsabteilungen ins Leben gerufen, die hauptsächlich externe IT- und Service-Dienstleister steuern. Damit stellt sich auf dem Weg in die digitale Zukunft also zunächst die Frage, wie und wo Anwendungen und Daten aufgehoben sein müssen, um eine moderne IT-Infrastruktur ins Leben rufen zu können: On-Premises-Rechenzentren nach alter Bauart lassen sich erfahrungsgemäß wirksam abschot- ten, kranken häufig allerdings daran, dass gerade die sicher- heitskritischen Maßnahmen mit hohen Kosten für die Imple- mentierung, Wartung und Administration verbunden sind. Cloud-Anbieter wie Amazon Web Services (AWS), Google Cloud oder Microsoft Azure wiederum verfügen über eine hohe Ska- 58 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT . m o c e b o d a k c o t s - x m x e a © l . l : d l i B

lierbarkeit und Flexibilität, hinterlassen aus Datenschutzas- pekten zum Teil aber noch Fragezeichen. Sie unterliegen US- amerikanischen Gesetzen wie dem „Patriot Act“. Gesetzliches Know-how erforderlich Anders gestaltet sich die Situation im Zusammenhang Data centern, die vom Bundesamt für die Sicherheit in der In- formationstechnik (BSI) zertifiziert sind. Colocation, Managed Services oder reine Cloud-Infrastrukturen von Rechenzen- trumsbetreibern vereinen beide Welten. Das vermutlich wich- tigere Argument: Sie bringen die hierzulande notwendigen gesetzlichen und technischen Voraussetzungen mit. Im Fo- kus steht hierbei neben dem Standort Deutschland zudem die Einhaltung entsprechender Schutzklassen und ein bestätigtes IT-Sicherheitsniveau durch Zertifizierungsinstanzen wie dem Bundesamt für Sicherheit in der Informationssicherheit (BSI) oder dem TÜV. Dazu gehört neben der internationalen Infor- mationssicherheitsmanagementzertifizierung ISO 27001 die nationale Zertifizierung ISO 27001 nach IT-Grundschutz. Georedundanz schützt im Katastrophenfall Ein weiterer Aspekt für den passenden Rechenzentrums- anbieter im Bankenwesen betrifft die Verfügbarkeit und die Absicherung für den Katastrophenfall. In diesem Zusammen- hang gilt es für IT-Verantwortliche aus dem Bankenwesen, nach Anbietern Ausschau zu halten, die eine Redundanz von Daten und Anwendungen über zwei oder mehr Datacenter gewährleisten können – ohne Abstriche bei der Perimeter- sicherheit oder IT-Security machen zu müssen. Im Sinne der „Georedundanz“ empfiehlt das BSI zudem, dass Organisatio- nen und Unternehmen mit hohen oder sehr hohen Verfüg- barkeitsanforderungen mindestens 100 bis 200 Kilometer zwischen zwei Datacenter-Standorten vorsehen, sodass selbst bei einem Totalausfall eines Rechenzentrums – im Katastro- phenfall – das zweite den gesamten IT-Betrieb übernehmen kann. Moderne Rechenzentrumsdienstleister können auch in so einem speziellen Fall weiterhin eine hochverfügbare IT- Umgebung bereitstellen, um die Business Continuity zu ge- währleisten – was natürlich mit entsprechenden Kosten ver- bunden ist und demnach durch die Bank selbst im Rahmen des Risikomanagements bewertet werden muss. Unabdingbar bei der Wahl des Rechenzentrumsdienst- leisters für Banken und Sparkassen ist nicht zuletzt auch die Exit-Strategie. Banken sind im Rahmen von AT 9 der MaRisk „bei wesentlichen Auslagerungen“ dazu verpflichtet, Vorkeh- rungen für den Fall einer beabsichtigten oder erwarteten Beendigung zu treffen. Darüber hinaus sind Handlungsop- tionen zu prüfen, die bei einer unbeabsichtigten und uner- warteten Beendigung greifen können. Dies ist bei den gän- gigen Rechenzentrumsdienstleistern leichter realisierbar als beim Vendor-Lock durch Cloud-Dienstleister. Klassische Re- chenzentrumsdienstleister liefern hier Services basierend auf gängigen Plattformen, wie VMware vDatacenter, Kubernetes, OpenStack oder ähnliches. Hier ist es hilfreich, im Rahmen des Auslagerungsmanagements der Bank einen potenziellen Er- satzdienstleister vorzuselektieren, der ein entsprechendes Portfolio anbietet. SIEM im SOC: Sicherheit 24/7 Um dem Fachkräftemangel auch in sicherheitstechnischer Hinsicht entgegenwirken zu können, eignet sich ein Security Information and Event Management (SIEM) in Form eines Se- curity Operations Centers (SOC) zum Dienstleister auszulagern. Damit sind Finanzdienstleister in der Lage, digitale Geschäfts- strategien zu verfolgen, ohne spezielles Know-how einkaufen zu müssen, was beim anhaltend knappen Markt im Security- Umfeld ohnehin zunehmend schwieriger wird. SIEM im SOC hat gleich mehrere Vorteile. Die hohen Anfangsinvestitionen für die Implementierung und Folgekosten für die Administra- tion entfallen, die Herausforderungen von heute und morgen werden von versierten Spezialisten gelöst. Zu den weiteren Vorteilen gehörten kürzere Projektlaufzeiten, weniger Fehler- risiken und ein kritischer Blick von außen. Blick ins Rechenzentrum Nürnberg Süd von noris network (Foto: noris network) Das SOC umfasst im Idealfall ein Expertenteam, das Infor- mationssicherheits-Incidents und -Events, sowie Fraud-Ma- nagement-Attacken 365 Tage im Jahr und rund um die Uhr überwacht, erkennt, analysiert und mitigiert. Der Aufgaben- bereich des SOC beschränkt sich dabei nicht nur auf die Er- kennung von Bedrohungen, sondern erstreckt sich zudem auf deren Analyse, die Untersuchung der Quelle, die Berichterstel- lung über aufgedeckte Schwachstellen und das Verhindern ähnlicher Vorfälle in der Zukunft. Der größte Vorteil aber ist: SIEM rechnet sich nicht erst, wenn Angriffe abgewehrt und Folgekosten sowie existenzielle Risiken minimiert werden konnten, sondern fungiert als übergreifende und kontinuier- liche Prozessoptimierung. Damit findet auch das scharfe Auge der BaFin keinen Grund für Beanstandungen. n Joachim Astel, Chief Regulatory Officer und Vorstands- mitglied, noris network AG SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 59

– ADVERTORIAL – Matthias Rammes, Lead Consultant mit Schwerpunkt Informationssicherheit bei der ConSecur GmbH Der Finanzsektor im Fokus von Cyberattacken Banken und Finanzdienstleister zählen zu den attraktivsten Zielen von Cy berkriminellen. Daten sind der Kern des täglichen Geschäfts im Finanzsek tor der Anzahl der persönlichen Daten ist gerade im Finanzsektor enorm – für Hacker sind Finanzinstitute somit ein attraktives Ziel. Cyberkrimina lität ist das größte operative Risiko für Finanzinstitute. Gleichzeitig ist der Finanzsektor für Wirtschaft und Gesellschaft von zentraler Bedeutung und wird daher vom BSI als kritische Infrastruktur (KRITIS) eingestuft. Daher gelten für den Finanzsektor besonders strenge Vorgaben zur Aufrechter haltung der CyberResilienz. Ein zentraler regulatorischer Bestandteil für die digitale Absicherung von Finanzinstituten sind die Bankaufsichtliche Anforderungen an die IT (BAIT). Gesetzliche Anforderungen an die operative IT- Sicherheit im Finanzsektor Damit Finanzinstitute gegen Ransomware oder sonstige Angriffe gut gerüstet sind, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einen Anforderungskatalog für die IT auferlegt, die BAIT. Diese Maßnahmen mögen auf den ersten Blick komplex und viel wirken, geben aber einen guten Leitfaden, um die eigene CyberResilienz, also die Wi derstandsfähigkeit gegen Cyberangriffe, zu erhöhen. Neben den Anforderungen zur Governance, zum Risiko und Sicherheits management, werden in Kapitel 5 („Operative Informationssicherheit“) Punkte aufgeführt, die für eine grundlegende CyberResilienz nötig sind. Dazu gehören unter anderem: Schwachstellenmanagement Netzsegmentierung Härtung von ITSystemen Verschlüsselung der Daten Perimeterschutz Früherkennung von Angriffen Regelmäßige Prüfung der ITSicherheit 60 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT . . m o c e b o d a k c o t s - y n n a D s i o h W © : d l i B Empfehlungen für eine sichere IT-Infrastruktur im Finanzsektor Gerade im Bereich Früherkennung und regelmäßige Prüfung der ITSicher heit fehlt es oft noch an der Umsetzung. Daher ist es empfehlenswert, sich mit den Themen SIEM (Security Information and Event Management) und SOC (Security Operations Center) oder zusammengefasst als Managed Cyber Defense Center zu beschäftigen. Denn nur wenn ich einen guten Überblick über meine Sicherheitslage in allen Bereichen meines Unternehmens habe, kann ich Angriffe entdecken und darauf reagieren. Die regelmäßige Prüfung der ITSicherheit kann zum Beispiel durch automatisierte Schwachstellenscans, Penetrationstests oder sogenanntes Red Teaming erreicht werden. Diese drei Methoden werden in der genannten Reihenfolge komplexer und aufwendiger, aber dadurch auch genauer. Als weitere Stufe zu den Tests bietet die Deutsche Bundesbank seit 2019 den sogenannten TIBERDETest an, der noch mal tiefer geht als RedTeamingAktivitäten. Ein solcher Test sollte allerdings erst durchgeführt werden, wenn die eigene CyberResilienz einen gewissen Reifegrad erreicht hat.SIEM/SOAR für Transparenz und ComplianceEin SIEM unterstützt Sicherheitsteams bei der präzisen Erkennung und Priorisierung von Sicherheitsbedrohungen. Mit einem SIEM lässt sich eine hohe Transparenz über die Aktivitäten auf den genutzten Systemen herstellen. SOAR (Security Orchestration, Automation and Response) ermöglicht eine automatisierte Abarbeitung von Bedrohungen – bei komplexen Systemumgebungen eine große Hilfe. Neben ihrer eigentlichen Aufgabe, die ITInfrastruktur zu überwachen, dienen SIEM und SOAR auch zur Einhaltung und Dokumentation von gesetzlichen und internen Regelungen.WIE SICH FINANZINSTITUTE GEGEN CYBERANGRIFFE SCHÜTZEN KÖNNEN

– ADVERTORIAL – Kontakt: ConSecur GmbH Nödiker Straße 118 • 49716 Meppen Tel. 05931 92240 • info@consecur.de www.consecur.de SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 61 Managed Cyber Defense Center für maximale Trans parenz rund um die UhrWie kann ich Informationssicherheit beständig auf dem höchsten Sicherheitslevel halten oder eigene Ressourcen binden? Das ist die Herausforderung für viele ITSicherheitsverantwortliche. Managed SIEM, die Überwachung im Managed Cyber Defense Center, kann hier Abhilfe schaffen. Unternehmen und Organisationen übertragen die gesamte Prozess und Betriebsverantwortung. Sie legen den Schutz von Informationen in die Hände von SecurityAnalysten, ohne in eigene personelle Ressourcen und Systeme investieren müssen. SecurityAnalysten überwachen die Sicherheit von ITSystemen (5/8 oder 24/7) und analysieren sämtliche sicherheitsrelevanten Vorgänge. So können Cyberangriffe frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden.FazitDie Kombination aus den präventiven Maßnahmen, wie beispielsweise Schwachstellenmanagement, Härtung der ITSysteme und dem Perimeterschutz, und reaktiven Maßnahmen, wie Früherkennung und die Reaktion auf Sicherheitsereignisse, bedeutet eine vollumfängliche Abbildung des Anforderungskatalogs der BaFin zum Thema operative Informationssicherheit. nMithilfe von SIEM Use Cases werden Schwerpunkte für die Früherken-nung festgelegt und die Grundlage für das SIEM-Regelwerk geschaffen. Ein Use Case schlägt die Brücke zwischen den regulatorischen Anforde-rungen und dem Regelwerk im SIEM. Aber nicht nur die regulatorischen Anforderungen sind eine mögliche Grundlage für die Use-Case-Bibliothek, sondern auch die aktuelle Bedrohungslage bzw. Bedrohungskataloge oder das MITRE ATT&CK® Rahmenwerk.Ein Use Case sollte möglichst in einer Datenbank oder in einem Doku-mentationstool, wie zum Beispiel einem Wiki, gepflegt werden. Dadurch erhält man automatisch eine Revisionssicherheit und kann Änderungen einfach nachvollziehen. Jeder Use Case sollte mindestens die folgenden Informationen beinhalten: Szenario: Das Szenario beschreibt die Bedrohung oder die ComplianceAnforderung, die der Use Case abbilden soll. Also zum Beispiel „Unberechtigtes Löschen der Protokolldaten“. Das manuelle Löschen von Protokolldaten ist laut Unternehmensrichtlinie nicht erlaubt und kann auf einen Verschleierungsversuch hindeuten. Risiko: Welches Risiko besteht, wenn ein Ereignis zu diesem Use Case im SIEM auftritt? Dieser Abschnitt verhilft dem Analysten dazu, die Situation besser priorisieren und beurteilen zu können. Reaktion: Was muss konkret getan werden, wenn ein Ereignis zu diesem Use Case auftritt? Benötigte Eventquellen: Welche Eventquellen werden zur Implementierung dieses Use Cases benötigt? Für die so deﬁnierten Use Cases kön-nen dann entsprechende Regeln im SIEM angelegt oder gegebenenfalls vom Regelset des SIEM-Herstellers ausgewählt und dem jeweiligen Use Case zugeordnet werden.

– ADVERTORIAL – WARUM BANKEN JETZT EINE UMFASSENDE INTERCONNECTION STRATEGIE BRAUCHEN Die Art, wie sich Finanzakteure untereinander und mit ihren Kunden verbinden, wird für den Erfolg ihrer Services in Zukunft entscheidend sein. Dr. Thomas King, CTO von DE-CIX zeigt, welche Technologien hier eine Rolle spielen. Verbindung langwierig. Den heutigen Anforderungen komplexer Partne- rökosysteme wird dieser Ansatz damit nicht mehr gerecht. Als Alternative existiert mit sogenannten Closed User Groups (CUG) ein Konzept, das die sichere, flexible und performante Zusammenschaltung mehrerer Partner netzwerke ermöglicht. Vereinfacht gesagt, stellt die CUG ein privates und hochsicheres MiniInternet dar, das speziell auf die Anforderungen des jeweiligen Anwendungsfalls zugeschnitten ist. Die Regeln für den Daten austausch legt dabei die Bank als „Eigentümerin“ der CUG fest und hat so Kontrolle über Datenströme sowie die Einhaltung von Datenschutzbe stimmungen. Umfassende Konnektivitätslösung Eine optimale und sehr sichere EndezuEndeKommunikation zwischen Verbrauchern und einzelnen Diensten erreichen Banken durch die Kom bination von direktem Peering und CUGs. Durch das direkte Peering mit den Netzwerken von Internet Service Providern werden Verbraucher auf schnellstem Weg an das Netz ihrer Bank angebunden. Dieses wiederum ist durch die CUG mit allen relevanten Partnern direkt verbunden. Bei die sem Ansatz werden die Schnittstellen und Wege in der Datenkommunika tion auf ein Minimum reduziert, was sowohl der Performance als auch der Sicherheit zugutekommt. n Weitere Informationen unter: www.de-cix.net Kontakt: sales@de-cix.net Banken stehen heute in einem immensen Wettbewerb un tereinander, aber auch mit neuen, innovativen FinTechs. Wenn die etablierten Institute mithalten wollen, führt für sie kein Weg an einer umfassenden Digitalisierung ihrer Prozesse und Dienstleistungen vorbei. Gleichzeitig ist der moderne Finanzsektor in ho hem Maße durch Partnerschaften verschiedener Akteure geprägt. Durch die Öffnung von Schnittstellen im Zuge der Zahlungsdiensterichtlinie PSD2 wurde dieser Trend begünstigt. Daraus ergeben sich Potenziale für neue Dienstleistungen und optimierte Nutzererfahrung – Stichwort: Alles aus einer Hand. Doch die neuen Verflechtungen im Finanzsektor erzeugen auch mehr Komplexität auf der Infrastrukturebene und erfordern sichere Verbindungen zwischen den Anbietern und zum Kunden. Sicher und zuverlässig verbunden Eine Alternative zur Vernetzung über das öffentliche Internet bietet die Interconnection, also die Zusammenschaltung unabhängiger Netzwerke. Die direkte Verbindung von Netzwerken speziell im Internet wird auch als Peering bezeichnet und ﬁndet an Internetknoten wie dem DE-CIX statt. Peeren können dort nicht nur Internet-Provider mit ihren großen Trans- portnetzen, sondern auch Unternehmen wie Banken. Das hat den großen Vorteil, dass eine Direktverbindung mit dem Gegenüber hergestellt wird, was bedeutet, dass das öffentliche Internet umgangen wird. Dadurch ergeben sich wesentlich weniger potenzielle Angriffspunkte für die über- tragenen Daten. Finanztransaktionen sind in der Regel immer auch zeitkritisch. Das heißt, die Latenzen, also die Verzögerungen beim Datenaustausch, müssen möglichst gering bleiben. Auch hier haben direkte Interconnections einen entscheidenden Vorteil: Durch die Umgehung des öffentlichen Internets wird der Weg der Daten erheblich verkürzt, was sich direkt positiv auf die Latenzzeit auswirkt. Geschlossene Gesellschaft Bisher verbinden sich Banken zumeist mit Multiprotocol Label Switching (MPLS) Netzwerken direkt mit ihren Partnern. Diese haben jedoch zwei entscheidende Nachteile: Der Betrieb ist teuer und das Aufsetzen einer 62 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT ©TechSolution - stock.adobe.com

HiScout BCM Mehr Sicherheit für hochregulierte Unternehmen im Finanzsektor GRC Software für Business Continuity Management nach ISO 22301:2019 und BSI-Standard 200-4 Das HiScout BCM verbindet die schnelle Einführung von BSI- und Branchenstandards mit komfor- tablen Werkzeugen, um die individuellen Prozesse Ihres Unternehmens abzubilden. Es kann nahtlos in die bestehende Toollandschaft eingebunden werden oder mit weiteren Modulen der HiScout GRC Suite zu einem übergreifenden Managementsystem für verschiedene Bereiche der Informationssicherheit ausgebaut werden. Automatisierte Fragebögen für alle Arbeitsschritte erleichtern die Zuarbeit der Fachbereiche. Der neue BSI-Standard 200-4 ist vollständig kompatibel mit einer Zertiﬁzierung nach ISO 22301 und bietet Ihnen eine zuverlässige Vorgehensweise, um schnell ein Notfallmanagement zu etablieren: Mit der Business-Impact-Analyse kritische Prozesse erkennen und bewerten Risikoanalyse durchführen, Maßnahmen ableiten, Ressourcen absichern Notfall- und Geschäftsfortführungspläne erstellen und bereithalten Übungen und Tests planen, durchführen und dokumentieren Eigene Berichte für Risikoanalyse und Maßnahmenkataloge auf Knopfdruck erstellen Kostenfreies Webinar am 31.05.22 www.hiscout.com/webinar

– FIRMENPROFIL – Keine Frage des ‚Ob‘, sondern ‚Wann‘ ein Ransomware-Angriff stattfindet Mit einer Backup-Strategie gut vorbereitet sein Seit dem Ausbruch des Krieges in der Ukraine verorten Beobachter und IT-sicherheitstechnische Studien derzeit neu, wo angesichts eines weiteren Angriffspunkts auf die allgemeine Sicherheit nebst noch anhaltender Pandemie die kritische Infrastruktur (KRITIS) heu- te steht. Dicht gefolgt vom Gesundheitssektor, sind Banken und Finanzdienstleister derzeit an der Spitze der Cyberangriffe zu ver- zeichnen. Die Bedeutung des Finanzsektors für gesamte Volkswirt- schaften macht das Thema IT-Security besonders interessant für Angreifer, wie es derzeit in der europäischen Nachbarschaft drama- tisch zu beobachten ist. Rangfolge der Branchen mit den meisten Spam-Phishing- und Credential-Phishing- Versuchen im Jahr 2021 Quelle: Trend Micro Cloud App Security Finanzsektor – Herzschlag der Wirtschaft ist Angriffspunkt für Cybercrime Mit Beginn der Corona-Pandemie und nun mit Zuspitzung durch den Ukraine-Krieg sind Banken und Finanzdienstleister, die mit beson- ders sensiblen Daten wie Kundendaten oder Kreditkarteninformatio- nen arbeiten, Zielscheibe für Cyberangriffe. Payment-Anbieter sowie Banken und Sparkassen – aber auch andere Dienstleister – stehen laut der Trend Micro-Studie in Krisenzeiten unter starkem Druck, sich erpressen zu lassen. Die Öffnung eines Marktes für Ransomwa- re-Angreifer durch „Ransomware-as-a-Service (RaaS)“ bildet zudem ab, wie einfach und skalierbar es durch Geschäftsmodelle dieser Art geworden ist, mittels spezialisierter Angriffstechniken gezielt zuzugreifen. Fehlkonfigurierte Systeme in Cloud-Infrastrukturen, schlechtes Patch-Management sowie Arbeiten unter Bedingungen im Homeoffice werden hier insbesondere als aktuelle Schwachstel- len identifiziert. Das Bundesamt für Sicherheit in der Informations- technik (BSI) informiert derzeit fast täglich zum Thema in Bezug auf die Umsetzung der BSI-KRITIS-Verordnung von 2016 Unternehmen in dem Anliegen, ihre Sicherheitsanforderungen für diesen Bereich deutlich nachzuziehen. Heute stellt sich nicht mehr die Frage, ob ein Cyberangriff stattfin- det, sondern wann – und wie Unternehmen und Organisationen darauf vorbereitet sind. Wir werden bei Ransomware-Angriffen im- mer wieder von Kunden herangezogen, um ihre wichtigen Assets, kritische Daten und damit Kronjuwelen ein jeder Organisation wie- derherzustellen. Vor diesem Erfahrungshintergrund bevorzugen wir den Ansatz, Kunden durch modernere Technologien und Security by Design in der Datensicherungsumgebung bereits vor einem An- griff so weitgehend zu schützen, dass ihre Daten im Notfall einfa- cher, schneller und mit so geringen Verlusten wie möglich wieder- hergestellt werden können. Angesichts des gestiegenen Angriffsniveaus wirft die Frage nach einer stärkeren Cyber Resilience ein Schlaglicht auf das Thema Di- gitalisierung: Das Maß an neuen Herausforderungen führt das BSI in seiner Studie „Die Lage der IT-Sicherheit in Deutschland 2021“ auf viele aus der Not entwickelten Digitalisierungsprojekte zurück. (BSI 2021:87) Wird also die Informationssicherheit zugunsten von Funkti- onalität und Entwicklungstempo vernachlässigt, entstehen sensib- le Angriffspunkte für ganze Unternehmensnetzwerke. Angesichts des hohen Drucks unter Corona konnten sich Cyber- kriminelle am häufigsten durch Ransomware Zugriff auf sensible Daten verschaffen – wie auch im Finanzsektor bereits geschehen. Der Ausbruch des Krieges in der Ukraine verschärft die Lage zusätz- lich im Hinblick auf Hacker-Aktivitäten. Ransomware ermöglicht es Cyberkriminellen, den Zugang zu unternehmenseigenen Daten zu verwehren, um Lösegeld zu fordern. Je besser Daten zum Zeitpunkt des Geschehens bereits abgesichert sind, desto weniger erpress- bar ist die Organisation. Dies schwächt nicht allein Cyberkriminalität an ihren Angriffspunkten, sondern stärkt insbesondere die betroffe- 64 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT

– FIRMENPROFIL – Empalis Consulting – auf einen Blick Seit 1989 hat die Empalis Consulting ihre Geschäftsbereiche Beratung, Training und Managed Service zu kompakten Leis- tungspaketen entwickelt. Effiziente Beratung, hervorragende Qualität und zukunftsorientierte Partnerschaften sind unse- re zentralen Leitplanken. Jahrzehntelange Praxiserfahrung im Bereich Data Protection sind unsere Mehrwerte, um Sie zu unterstützen mit: modernen Datensicherungskonzepten, Ransomware-Vorsorge, Disaster Recovery, Snapshot-Technologien, Cloud-Storage und Backup as a Service. Mit Empalis Service Plus bekommen unsere Kunden ganz- heitliche Lösungen und auf ihre Ansprüche angepasste Leistungen, bestehend aus Software, Hardware, Konzep- ten, Schulung und Betrieb. Um eine Investitionssicherheit zu garantieren, integrieren wir auf Wunsch vorhandene Be- standteile in unsere Managed Services, je nach SLA flexibel wählbar von Monitoring only bis full managed. Mit einem optionalen 24x7-Support und -Betrieb können sich unsere Kunden jederzeit und gerade in kritischen Situationen auf uns verlassen. Sind Sie sicher, dass Ihr Backup nicht mit Ransomware infiziert ist? Jede Backup-Lösung braucht ein Monitoring. Diskutieren Sie mit und stellen Sie uns Ihre Fragen! Eine Stunde am Mittag zum Thema in unserem Empalis Live Experten Talk: Wie geht’s meiner Backup Umgebung? Best Practices für Monitoring von Datensicherungsumgebungen 10. Mai 2022, 14.00 bis 15.00 Uhr Online | Ohne Voranmeldung | Eintritt frei https://www.empalis.de/event/wie-gehts-meiner- monitoring-umgebung-best-practices-fuer-monitoring- von-datensicherungsumgebungen/ SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 65 Ihre Ansprechpartnerin: Alina Mot, CEO Empalis Consulting GmbH ne Organisation, die sich unter solch einer Drucksituation unabhän-giger bewegen kann, indem sie ihre Daten selbst wiederherstellt.Vor dem Krisenfall Vorsorge treffen: Backup-Strategie und Disaster Recovery-Plan Verteidigungsstrategien, um Sicherheitslücken zu vermeiden oder zu schließen, sind unbestritten eine Königsdisziplin in der Daten-sicherheit. Unwiederbringlich jedoch ist es, wenn das Backup im Notfall beschädigt oder von Ransomware befallen ist. Unsere Arbeit beginnt daher schon lange vor dem Krisenfall. Auf Basis einer Backup-Strategie und einem Disaster-Recovery-Plan ist eine Organisation auf jede Notfallsituation organisatorisch, personell, aber insbesondere hinsichtlich des Schutzes ihrer Daten vorbereitet. Wir fragen unsere Kunden: Haben Sie einen Notfallplan? Wie lange und welche Daten können Sie wiederherstellen? Haben Sie den Plan schon einmal getestet?Diese Vorbereitung kann, sobald ein Angriff erfolgt ist, nicht mehr nachgeholt werden. Daher sind speziell für die kritische Infrastruk-tur, allem voran Banken und Finanzdienstleister, äußerst stabile Produkte und eine bewährte Strategie von Bedeutung, um sensible Kunden- und Unternehmensdaten zuverlässig zu schützen.Cloud?? – Passende Technologien zur schnellen ErkennungFür das Thema Cyber Resilience als ganzheitliche Unternehmens-strategie gegenüber Cyberangriffen ist die Cloud tatsächlich ein kritischer Faktor. Ob und welche Cloud-Strategie in Verbindung mit modernen Technologien– oder auch in einer Hybridlösung – gewählt wird, muss hier gut überlegt sein. Bei der Entscheidung helfen unse-re Berater mit Know-how und jahrzehntelanger Erfahrung weiter. Wir arbeiten mit Technologie-Marktführern wie IBM, Predatar, Veeam, Rubrik oder Cohesity. Dies macht unsere Backup-Konzepte pragma-tisch, sicher und einfach umsetzbar – auch in krisengeschüttelten Infrastrukturen in unbeständigen Zeiten von Krieg und Pandemie.Auf eine Ransomware-Attacke vorbereitet zu sein, bedeutet eine durchdachte und validierte Cyber-Resilience-Strategie zu haben. Die Implementierung wird regelmäßig getestet und angepasst, denn die Anforderungen ändern sich über die Zeit. Zugleich trainieren Sie damit Ihre Mitarbeiter, effektiv auf den Ernstfall reagieren zu können.

– ADVERTORIAL – E-Mail im Visier der Cyberkriminellen Brennpunkte für die ITSicherheit der Banken Seit einigen Jahren durchläuft der Banken und Finanzsek tor eine enorme Wandlung seines Geschäftsmodells. Der Sektor steht unter enormem Druck, seine internen Prozes se und Kundendienste zu modernisieren und zu digitalisieren, Kosten zu senken und mit Fintechs mitzuhalten. „Heutzutage besteht das wichtigste Vermögen der Banken nicht nur in Geld, sondern auch in persönlichen Daten. Das bedeutet, dass sowohl Kunden als auch Institutionen hohe Erwartungen an ihre Vertrauenswür digkeit stellen. Gleichzeitig macht es sie aber zu einem besonders attrak tiven Ziel für Hacker und vor allem für Ransomware.“, erklärt Dr. Thomas Bruse, Senior Vice President bei GBS Europa GmbH, einem deutschen Technologieunternehmen mit fast 30 Jahren Kompetenz im Bereich EMailSicherheit. Dr. Bruse und sein Team arbeiten seit rund einem Jahr zehnt eng mit Kunden aus dem Banken und Finanzsektor zusammen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) berichtet von täglichen Cyberangriffen auf deutsche Banken, die nicht nur zahlreicher, sondern auch gezielter und rafﬁnierter werden. Die strenge aufsichtsrecht- liche Kontrolle verlangt, dass Banken über Mechanismen zum Schutz vor Cyberangriffen und dem Verlust wichtiger Geschäfts- und Privatkundenda- 66 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT ten verfügen. Diese ständige Überwachung und Prüfung zwingt die Banken dazu, ihre Sicherheitsmaßnahmen jederzeit transparent und überprüfbar zu machen und detaillierte Berichte über den aktuellen Stand vorzulegen.Die kritischsten Sicherheitsmechanismen gegen Cyberbedrohungen über E-Mail für jede BankAnti-Malware für eingehende E-MailsAls nach wie vor wichtigster Kommunikationskanal bleibt die E-Mail lo-gischerweise auch das Hauptziel von Cyberangriffen. Dabei müssen Ban-ken sowohl ihre eingehende als auch ihre ausgehende Kommunikation schützen.Zu den wichtigen Attacken gehören Ransomware, Phishing, Banking-Tro-janer, DDoS sowie alle üblichen Malware- und Virenangriffe. Für Banken stellen aber Ransomware- und Phishing-Angriffe eine besondere Gefahr dar, da sie sich auf Social Engineering stützen, um das menschliche Ver-halten auszunutzen. Dr. Bruse veranschaulicht die Mechanismen solcher Angriffe an einem Beispiel aus seiner Praxis.

– ADVERTORIAL – Kontaktinformationen: GBS Europa GmbH Zur Giesserei 19-27B 76227 Karlsruhe Deutschland Tel.: +49 721 4901-0 E-Mail: info@gbs.com Internet: https://www.gbs.com SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 67 Verband den Überblick verloren. Um dieses Problem zu überwinden, haben sie mithilfe der iQ.Suite alle ComplianceRegeln zentral implementiert und automatisiert und so die volle Kontrolle über ihre ausgehenden Daten gewonnen.“, kommentiert der Sicherheitsexperte.Kommen wir auf das Beispiel mit der Lieferantenrechnung zurück. Was hätte getan werden können, um die Fälschung zu verhindern? Wäre die vom Lieferanten gesendete EMail verschlüsselt und mit einem S/MIMEZertiﬁkat signiert worden, dann wäre dies nicht passiert. Die Verschlüsselung und technische Signierung ausgehender E-Mails ist für jede Bank unerlässlich, nicht nur um mögliche Manipulationen zu ver-hindern, sondern auch um zu authentiﬁzieren, dass diese E-Mail tatsäch-lich von der Bank selbst stammt. Die serverbasierte Verschlüsselung der iQ.Suite ermöglicht eine automatisierte und zentrale Verschlüsselung al-ler Mails, ohne dass die Mitarbeiter dies manuell tun müssen. Für den Fall, dass der Partner keine eigene Verschlüsselungssoftware hat, geht die iQ.Suite keine Kompromisse beim Schutz ein und bietet die Möglich-keit, die E-Mail auf Basis von PDF zu verschlüsseln und den Schlüssel an den Partner zusenden. n„Zur Steigerung ihrer Erfolgsquote sammeln die Angreifer Informationen über ihre Opfer im Internet und in sozialen Medien, um deren Verhalten und Gewohnheiten zu analysieren. Die Finanzabteilung einer Bank erhält eine Lieferantenrechnung, die sie bereits erwartete. Unternehmen, Da-tum und Artikel stimmten vollständig überein. Das einzig Falsche war die Kontonummer, die zu einem betrügerischen Konto führte. Offensichtlich haben die Kriminellen die echte Rechnung abgefangen und die Kontonum-mer geändert. Kontonummern werden häuﬁg gefälscht, deshalb ist es für Banken empfehlenswert, in ihrer E-Mail-Sicherheitssoftware eine Funk-tion zur Kontrolle von IBANs einzubauen. Unsere Lösung iQ.Suite für um-fassenden E-Mail-Schutz vergleicht automatisch alle in E-Mails vorkom-menden IBANs mit einer zuvor erstellten IBAN-Whitelist. Sollte es keine Übereinstimmung geben, wird der Empfänger vor einer möglichen Gefahr gewarnt.“, so der Experte von GBS.Stark personalisierte oder zielgerichtete Angriffe sind sehr schwer zu er-kennen. Zur Diversiﬁzierung des Risikos setzen die Banken daher einen Mix aus verschiedenen Anti-Malware-Technologien ein, um sicherzustel-len, dass alles, was die eine durchdringt, von der anderen erfasst wer-den kann. Um die Auseinandersetzung mit verschiedenen Anbietern zu vermeiden, kombiniert iQ.Suite bis zu vier der führenden Anti-Malware-Scanner, die einzeln oder parallel verwendet werden können. Alle inﬁzier-ten Dateien werden unter Quarantäne gestellt, und detaillierte Berichte ermöglichen die Überwachung und Identiﬁzierung größerer Schwach-stellen in der gesamten Bank. Für ein Höchstmaß an Sicherheit kann die iQ.Suite alle eingehenden E-Mail-Anhänge in das PDF-Format konvertie-ren, um jeglichen bösartigen Code zu entschärfen.Schutz vor Datenverlust und Verschlüsselung für ausgehende E-MailsDie Sicherstellung, dass keine unautorisierten E-Mails mit privaten und kritischen Geschäftsdaten die Bank verlassen, sollte oberste Priorität ha-ben. Und dies gilt sowohl für die unbeabsichtigte Weitergabe als auch für den mutwilligen Datendiebstahl. Dr. Bruse verweist auf einen Fall, in dem deutsche Steuersünder ihr Geld bei einer Schweizer Bank versteck-ten. Mitarbeiter der Bank verkauften die Informationen an das deutsche Finanzamt und schickten ihnen heimlich E-Mails mit Beweisen. Solche Fälle, in denen Mitarbeiter sensible Informationen weitergeben, können zu schwerwiegenden Strafen und Rufschädigung für die Bank führen.Aus diesem Grund setzen viele Banken das Vier-Augen-Prinzip ein, nach dem jede E-Mail, die die Bank verlässt, zuvor von einer zweiten Person auf sensible Informationen überprüft werden sollte. Dieses Prinzip wird beispielsweise von Volksbanken verwendet, die zur Verschlüsselung ihrer E-Mail-Kommunikation verpﬂichtet sind, strenge Richtlinien zur Verhin-derung von Datenlecks befolgen und Qualitätskontrolle gewährleisten. Die iQ.Suite automatisiert diese Aufgabe und erkennt nicht nur sensible Daten in E-Mails, sondern analysiert auch Verhaltensanomalien (zum Bei-spiel sprunghafter Anstieg des E-Mail-Volumens oder Versand zu großer E-Mails). Der Versand entsprechender E-Mails wird gestoppt, wenn die Per-son nicht berechtigt ist, mit derartigen Informationen zu arbeiten.Der Schutz vor Datenverlust gehört zu den wichtigsten Aspekten der Compliance, insbesondere für stark regulierte Unternehmen wie Ban-ken. „Ein Verband mit 40.000 Mitgliedern war eher bereit, eine wichtige E-Mail zurückzuhalten, als sie nicht vorschriftsmäßig zu versenden. Da die meisten seiner Compliance-Regeln lokal umgesetzt wurden, hatte der Bilder: iStock.com/shayes17 (links), iStock.com/pixelfit

– ADVERTORIAL – Auslagerung von Banken-IT stellt besondere Anforderungen an Dienstleister HOHE HÜRDEN FÜR RECHENZENTREN Die Auslagerung von IT-Services und Daten an externe Rechenzentrumsanbieter gestaltet sich für Unternehmen aus der Finanzindustrie heikel. Regularien wie die Bankaufsichtlichen Anforderungen an die IT (BAIT) setzen voraus, dass auch der Dienstleister die Vorgaben erfüllen muss – ohne Wenn und Aber. Und das können nur wenige. Geht es um die Auslagerung von BankenIT, so schlagen manche Verantwortliche von Rechenzentrumsdienstleis tern oft die Hände über dem Kopf zusammen: Die tech nischen Infrastrukturen in der Finanzindustrie, vor allem aber die vielen gesetzlichen Bestimmungen und Regularien, stellen auch für Datacenter eine besondere Herausforderung dar. BAIT: Regularien (fast) ohne Ende Dazu zählen in erster Linie die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT): Sie fordert von Banken unter anderem eine nachhaltige ITStra tegie inklusive konkreter Ziele und Umsetzungsmaßnahmen. Die strate gische Entwicklung der ITArchitektur und der ITAbläufe, Zuständigkeiten in der Organisation, Auskünfte über Standards und das ITNotfallmanage ment, sogar die im Betrieb verwendeten Komponenten – alles muss detailliert dokumentiert werden. Aber auch das Risikomanagement ist ein wichtiger Bestandteil der BAIT. Es umfasst die Implementierung von Überwachungs und Steuerungsprozessen, wie dies bereits übergreifend in der MaRisk (Mindestanforderungen an das Risikomanagement) ein gefordert wird. Ziel ist es, die Anforderungen an Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von verarbeiteten Daten zu gewähr leisten. Um den Schutzbedarf regelmäßig ermitteln zu können, müssen Finanzinstitute einen permanenten Überblick über alle Bestandteile ihres Informationsverbunds gewährleisten – inklusive der Einbindung mögli cher Unterauftragnehmer. 68 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT Bild: ©Pixels-Hunter/Shutterstock.com

– ADVERTORIAL – gesamten IT-Betrieb und hält dann trotz der Einschränkung weiterhin Hochverfügbarkeitsstrukturen für die weitere Ausfallsicherheit bereit. SIEM im SOC: Sorglos sicher Besonders für Organisationen aus dem Finanzwesen hat sich mit Secu- rity Information and Event Management (SIEM) in Form eines Security Operations Centers (SOC) eine weitere wichtige Strategie in hochverfüg- baren Rechenzentren etabliert. SIEM umfasst eine Security-Management- System-Plattform, die volle Sichtbarkeit und Transparenz zu Aktivitäten innerhalb des kompletten Informationsverbunds bietet. Banken erhalten damit die Möglichkeit, in Echtzeit auf Bedrohungen zu reagieren. SIEM im SOC hat für Unternehmen aus der Finanzdienstleistungsbranche gleich mehrere Vorteile. Hohe Anfangsinvestitionen für die Implementierung und Folgekosten für die Administration entfallen, die Herausforderun- gen von heute und morgen werden von versierten Spezialisten von noris network gelöst. Zu den weiteren Vorteilen gehören schnelle Inbetrieb- nahme wohldeﬁnierter, sogenannter „Baseline“-Einstellungen, die bei den bekannten Services entsprechende Antennen aufspannen können und bereits vielfältige Bedrohungsszenarien beherrschbar machen, we- niger Fehlerrisiken und ein kritischer Blick von außerhalb der Bank durch spezialisierte Security-Experten, sogenannte „Analysten“ (bzw. „Analy- tiker“, wie man in der öffentlichen Hand häuﬁg noch sagt). Das SOC von noris network umfasst ein Expertenteam, das Cybersicherheits-Incidents 365 Tage im Jahr und rund um die Uhr überwacht, erkennt, analysiert und behebt. Der Aufgabenbereich des SOC beschränkt sich dabei nicht nur auf die Erkennung von Bedrohungen, sondern erstreckt sich zudem auf deren Analyse, die Untersuchung der Quelle, die Berichterstellung über aufgedeckte Schwachstellen und das Verhindern ähnlicher Vorfälle in der Zukunft. Damit rechnet sich SIEM im SOC nicht erst, wenn Angriffe ab- gewehrt und Folgekosten sowie existenzielle Risiken minimiert werden konnten. Es umfasst eine übergreifende und kontinuierliche Prozessop- timierung über die häuﬁg längere Vertragslaufzeit des Servicemanage- ments über drei bis fünf Jahre. n Kontakt: noris network AG Thomas-Mann-Straße 16–20 90471 Nürnberg Tel.: +49 911 9352-0 Fax: +49 911 9352-100 E-Mail: vertrieb@noris.de Homepage: www.noris.de Und es geht weiter: Auch ganz konkrete technische Maßnahmen, um die Absicherung digitaler Arbeitsabläufe zu gewährleisten, fallen in den Wirkungsbereich der BAIT. Dazu zählen: Schwachstellenmanagement, Perimeterschutz, Netzwerksegmentierung, Penetrationstests, simulierte Angriffe und Verschlüsselung von Daten. Um relevante Sicherheitsvorfälle zu erkennen, sind entsprechende Kriterien zu deﬁnieren, etwa ein Anstieg nicht autorisierter Zugangsversuche. Nicht weniger relevant für externe Rechenzentrumsdienstleister ist zudem der BAIT-Punkt „Fremdbezug von IT-Dienstleistungen“. Er deﬁniert Anforderungen an den Umgang mit ex- terner Software und Services wie Cloud-Diensten oder Backup-Lösungen. Bei der Auslagerung ist im Vorfeld eine Risikobewertung durchzuführen und auf die Einhaltung des Risikomanagements zu achten. Verantwortli- che für Informationssicherheit und Notfallmanagement müssen ebenso in die Auslagerung eingebunden werden, außerdem sind entsprechen- de Bewertungen regelmäßig zu überprüfen und zu erneuern. Schließ- lich sorgt der Aspekt Notfallmanagement innerhalb der BAIT dafür, dass sowohl die Wiederherstellbarkeit der vollen Funktion als auch die Ge- schäftsfortführung während Notfällen abgedeckt sein muss. Dazu wird zunächst erfasst, welche Abhängigkeiten es in den IT-Systemen und bezüglich externer Dienstleister gibt, und welche Ressourcen notwendig sind, um eine eingeschränkte Fortführung zeitkritischer Geschäftsprozes- se sicherzustellen. Die entsprechenden Themenfelder werden dann mit regelmäßigen Reviews und Notfall- beziehungsweise Katastrophenfall- Übungen überwacht. Rechenzentrumsdienstleister in der Pflicht Regularien sind für IT-Verantwortliche in Banken und Sparkassen mit hohen ﬁnanziellen und personellen Aufwänden verbunden. Und Gründe, weshalb ein Outsourcing dennoch im Trend ist, wie eine Studie von PwC vom September 2021 zeigt. Knapp zwei Drittel der befragten Finanzunter- nehmen (62 Prozent) wollen demnach innerhalb der nächsten ein bis zwei Jahre weitere Outsourcing-Vorhaben umsetzen. Angesichts des zu erwar- tenden Anstiegs an Auslagerungen und den erhöhten regulatorischen Anforderungen rechnen 93 Prozent der Institute mit einem wachsenden Steuerungsaufwand. Doch damit stehen natürlich auch die Rechenzentrumsdienstleister in der Pflicht, die Vorgaben aus der BAIT oder die Mindestanforderungen an das Risikomanagement (MaRisk) umsetzen zu müssen. Unabhängig davon, ob es um Colocation, Managed Services oder CloudInfrastrukturen geht, ist hier schon aus Datenschutzgründen der Standort Deutschland eine sehr vorteilhafte Maßgabe. Aber auch ein bestätigtes ITSicherheitsniveau durch Zertiﬁzierungsinstanzen wie dem BSI (Bundesamt für Sicherheit in der Informationstechnik) oder TÜV geben Gewissheit darüber, dass Betreiber von Hochverfügbarkeitsrechenzentren wissen, wovon sie spre- chen. Dazu gehören neben der internationalen Cyber-Security-Zertiﬁzie- rung ISO-27001 für Informationssicherheitsmanagementsysteme (ISMS) etwa die Zertiﬁzierung nach TÜV „Trusted Site Infrastructure“ (TSI) mit dem höchstmöglichen Level 4 wie bei noris network. Um auch für den Ka- tastrophenfall eine Verfügbarkeit und Absicherung garantieren zu können, sollten Datacenter-Anbieter die sogenannte Georedundanz zur Verfügung stellen können. Dabei handelt es sich um ein Verfahren – und ein Krite- rium des BSI – das speziell für Unternehmen mit hohen oder sehr hohen Anforderungen an die Verfügbarkeit entwickelt wurde. Um die Auswir- kungen von beispielsweise Naturkatastrophen möglichst gering halten zu können, sollten Rechenzentrum für die Einhaltung der Georedundanz mindestens 100 bis 200 Kilometer voneinander entfernt stehen. Damit übernimmt das zweite Datacenter bei einem Totalausfall des ersten den SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 69

– ADVERTORIAL – Cybersecurity im Finanzwesen „BANKEN MÜSSEN HACKER IN DIE DIGITALE QUARANTÄNE SCHICKEN“ Wo liegen die größten Angriffsﬂächen für Hacker in einer Bank? Das sind z.B. Laptops, Smartphones oder Tablets, aber auch Desktoprech ner. Solche Endgeräte sind heute in der Regel mit dem Internet verbun den – was sie zu einem klassischen Einfallstor für Angreifer macht. Seit Ausbruch der CoronaPandemie arbeiten viele Mitarbeitende zu Hause. Homeofﬁce und „Bring your own device“ (BYOD) vergrößern die Flexibi- lität für Banken, aber auch die Zugangsmöglichkeiten für Angreifer. Ver- schaffen diese sich Zugriff auf ein Gerät, können sie in das gesamte Un- ternehmensnetzwerk eindringen und sensible Daten für eine Erpressung verschlüsseln oder abgreifen. Welches sind die gefährlichsten Angriffsarten? Das sind Ransomware-Attacken. Das BSI warnte in seinem Lagebericht 2021 eindringlich vor dieser Angriffsmethode. Dabei gelangt die Schad- software meist über Phishing-E-Mails mit einem Link, mit Bildern oder anderen ausführbaren Dateien im Anhang, auf den Computer und in das System. Die Hacker verschlüsseln Daten und fordern anschließend ein Lösegeld für die Freigabe. Das BSI rät davon ab, diesen Lösegeldfor- derungen nachzukommen, da es keine Garantie gibt, dass die Täter die Daten tatsächlich wieder entschlüsseln. Ransomware ist derzeit auch deshalb auf dem Vormarsch, weil „Emotet“ zurück ist. Der Trojaner galt lange als gefährlichste Software der Welt. Anfang 2021 gelang es Polizei- behörden und Staatsanwaltschaften, in mehreren Ländern die Infra- struktur von „Emotet“ zu zerschlagen. Nun ist die Malware aber wieder aktiv – und dient als Türöffner für Ransomware-Attacken. Vor allem kleinere Finanzhäuser sind ein beliebtes Ziel für Ransomware-Angriffe. Anders als Großbanken verfügen sie häuﬁg nicht über ausreichende Cybersecurity-Maßnahmen. 70 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT Bild: ©Thaut Images - stock.adobe.comWie kann sich eine Bank vor Ransomware schützen?Der wichtigste Schutz ist die Absicherung des Internetzugangs, denn das Internet ist für Angreifer das Einfallstor Nummer eins. Möglich ist das mit einem virtuellen Browser. Der „R&S®Browser in the Box“ von Rohde & Schwarz Cybersecurity schließt die Sicherheitslücke „Internet“ über eine „digitale“ Quarantäne für Hackerangriffe: Die Ransomware-Software wird isoliert, bevor sie ausgeführt werden kann. Betriebssystem und Brow-ser sowie Internet und lokales Netzwerk sind beim „R&S®Browser in the Box“ komplett voneinander getrennt. Eindringende Schadsoftware bleibt dadurch in der virtuellen Umgebung eingeschlossen und kann sich nicht auf dem Rechner und im lokalen Netzwerk verbreiten. Dieser Mechanismus schützt auch vor Angriffen via E-Mail-Anhänge. Ebenso wird die Verwendung von Webkonferenzen mit Mikrofonnutzung und Webcam-Unterstützung vor schadhaften Einsätzen geschützt. Der Schutz des „R&S®Browser in the Box“ wirkt in beide Richtungen: Es kann keine Schadsoftware über das Internet auf den Rechner gelangen – aber selbst wenn Malware auf einem anderen Weg auf den PC gelangt, ist es nicht möglich, Daten über das Internet abzugreifen. Wir sprechen hier von einer Data Leakage Prevention.Was ist mit Daten-Backups? Ist das eine hilfreiche Maßnahme ge-gen Erpressungen?Bisher war das eine Strategie. Mit dem Hackernetzwerk „Hive“ erreichen solche Erpresserangriffe aber eine neue Dimension. Seit Mitte 2021 ver-sendet die Gruppe massiv Phishing-E-Mails an Unternehmen. Das Gefähr-liche daran: Die Hacker verschlüsseln nicht nur Daten, sondern ziehen sie auch von den Servern der Opfer ab. Dann drohen sie damit, sensible Daten online zu veröffentlichen. Ein Daten-Backup hilft dann nicht mehr weiter.Kein anderes Ziel ist für Cyberkriminelle lukrativer als Banken, denn in keiner anderen Branche können Cyberkriminelle höhere Lösegelder erpressen und mehr sensible Daten abgreifen. Ein Gespräch mit Daniel Heck von Rohde & Schwarz Cybersecurity über eine digitale Quarantäne für Hacker, die Bedrohung durch das Betriebssystem und die Grenzen von Mitarbeiterschulungen.

– ADVERTORIAL – Der „R&S®Browser in the Box“ schließt die Sicherheitslücke „Internet“ über eine „digitale“ Quarantäne für Hackerangriffe Kontakt: Rohde & Schwarz Cybersecurity Mühldorfstraße 15 81671 München pr-cybersecurity@rohde-schwarz.com www.rohde-schwarz.com/cybersecurity SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 71 Client ein sicheres Netzwerk erkennt – beispielsweise im Büro – deaktiviert er sich von selbst. Eine solche „friendly network detection“ ermöglicht dem User, in verschiedenen Netzwerkumgebungen sicher mobil zu arbeiten. Ein solcher VPNClient schützt auch vor Angriffen aus dem Betriebssystem, denn ITSicherheitsprodukte müssen heutzutage nicht nur in der Lage sein, Gefahren von außen abzuwehren. Um wirkliche Sicherheit zu erlangen, brauchen Unternehmen auch einen Schutz vor potenziell unsicheren Komponenten im Betriebssystem. Spezielle „ZeroTrustProdukte“ arbeiten daher unabhängig vom WindowsBetriebssystem. Gibt es weitere Maßnahmen, zu denen Sie raten?Ja, eine Festplattenverschlüsselung, denn mobile Endgeräte können unterwegs gestohlen werden oder verloren gehen. Eine Verschlüsslung der Festplatte verhindert, dass unautorisierte Personen Daten von den Geräten abgreifen können. Mit einem solchen mehrstuﬁgen Endpoint-Schutz für Internet, VPN-Verbindung und Festplatte sind Finanzunternehmen sehr gut gegen einen Cyberangriff gewappnet. nPhishing-E-Mails zielen auf die Mitarbeitenden ab. Hilft es, diese besser zu schulen?Ein Hinweis auf das Nicht-Öffnen von Anhängen ist ein völlig unzurei-chender Schutz vor Cyberangriffen. Der Mensch macht Fehler, und solche Fehler können gravierende Folgen haben. Das ist vor allem bei kriti-schen Infrastrukturen (KRITIS) – wie Banken es sind – der Fall. Das hat eine Umfrage des Research- und Analystenhauses techconsult ergeben. Knapp die Hälfte der befragten Unternehmen setzt bei der Abwehr gegen schädliche Links und Anhänge in E-Mails auf die Vorsicht der Mitarbeiten-den. Gleichzeitig sind laut der Studie die häuﬁgsten Angriffe auf KRITIS-Unternehmen Phishing-Attacken (56 Prozent) – also eine Angriffsart, die Mitarbeitende dazu verleiten sollen, inﬁzierte Anhänge oder Links zu öff-nen. Jedes dritte Unternehmen gab an, dass das Anklicken einer solchen E-Mail bereits zu einem Sicherheitsvorfall geführt habe. In den Sekto-ren Gesundheit, Finanz- und Versicherungswesen sowie Medien- und Kulturinstitutionen war das sogar bei sieben von zehn der Befragten der Fall. Um sich vor schädlichen Anhängen oder Links in E-Mails zu schützen, sollten diese Unternehmen dringend geeignete technische Mittel wie den „R&S®Browser in the Box“ einsetzen.Welche weiteren Schutzmaßnahmen sind wichtig?Die Absicherung von Remote-Arbeitsplätzen. Nutzen die Mitarbeitenden unterwegs oder im Homeofﬁce das Internet über private oder öffentliche WiFi-Netzwerke oder andere ungesicherte Netze, können ihre Endgeräte inﬁziert oder kompromittiert werden. Wenn sie dann später mit dem-selben Gerät auf Unternehmens- oder Behördennetzwerke zugreifen, verbreitet sich diese Infektion. Verhindern lässt sich das mit einer hochsi-cheren VPN-Verbindung wie dem R&S®Trusted VPN Client. Der VPN Client schafft eine sichere und verschlüsselte Verbindung über unsichere Netze, wie zum Beispiel das Internet. Entscheidend ist, dass ein solcher VPN-Client unabhängig vom Betriebssystem arbeitet.Was sind die Vorteile eines VPN-Clients?Sobald eine Netzwerkverbindung am Remote-Gerät aufgebaut wird, ist der VPN-Tunnel an. Man bezeichnet das als „Always-on“. Gleichzeitig ist ohne eine VPN-Verbindung Windows ofﬂine. Einzig im Fall, dass der VPN-

– ADVERTORIAL – Der Mensch im Mittelpunkt – so stärken Banken ihre digitale Abwehr Zeit ist Geld – im Finanzsektor hat dieses Sprichwort zuletzt eine neue Auslegung erhalten. Banken und Institute müssen auf steigende Gefahren aus dem Netz reagieren. Wer nicht rechtzeitig handelt und sich proaktiv schützt, zahlt für die Folgen kostspieliger Cyberangriffe. Ein Blick auf die Sicherheitsstrategien vieler Banken zeigt: Hier stand zu lange Compliance statt Mensch im Mittelpunkt. Die Cyberbedrohungslage zwingt zum Umdenken Digitalisierung, hybride Arbeitsweisen und gesellschaftliche Krisen ha ben vor allem für eines gesorgt: einen beispiellosen Anstieg an Cyber angriffen auf den Finanzsektor. Die kritische Funktion von Banken für Bürgerinnen und Bürger machen sie zu einem beliebten Ziel von Cyber kriminellen, insbesondere für Erpressungsangriffe. Die durchschnittli chen Kosten einer Datenpanne betragen so im Finanzsektor laut IBM unglaubliche 5,72 Millionen USDollar. Der Handel mit Wertpapieren und die Verarbeitung von sensiblen Daten könnten ohne Regulierungen nicht funktionieren. Deshalb ist es nicht verwunderlich, dass der Finanzsektor sich im Bereich Informationssi cherheit lange darauf fokussiert hat: Die Einhaltung von Vorgaben und Leitfäden wie dem ITSicherheitsgesetz 2.0 oder der Bankaufsichtlichen Anforderungen an die ITSicherheit (BAIT). Mit den letzten Neuerungen der Regularien reagieren die Aufsichten auf die verschärfte Cyberbe drohungslage. Sie halten nicht nur fest, dass, sondern auch wie Banken sich absichern sollten. Die Empfehlung lautet, sich technisch umfassend abzusichern. Aber auch: Mitarbeitende zu trainieren, zu testen und die Erfolge der AwarenessMaßnahmen nachzuweisen. Compliance erfüllt, aber auch wirklich abgesichert? Mit den stets wandelnden Ansprüchen an die Informationssicherheit in Banken lohnt ein Blick auf die bisherige CyberSecurityStrategie: Neun von zehn Cyberangriffen beginnen mit dem Faktor Mensch. Letztlich kommt es also vor allem darauf an, dass Mitarbeitende sich im Falle eines Cyberangriffs richtig verhalten – und möglichst schnell reagieren. Gerade im Bankwesen ist Zeit Geld, wenn es zu einem Vorfall kommt. Finanzinstitute sollten deshalb auf umfassende AwarenessMaßnahmen setzen, die nicht nur alle ComplianceForderungen erfüllen, sondern effektiv und nachhaltig sicheres Verhalten trainieren. Der Human Risk Review 2022 zeigt, dass durch ein solches systematisches Training der Mitarbeitenden Cyberrisiken um bis zu 90 Prozent minimiert werden. Sicherheitskultur mit SoSafe proaktiv gestalten Die AwarenessPlattform von SoSafe unterstützt Banken dabei, nachhal tig ihre Sicherheitskultur zu stärken. Über personalisierte Lerninhalte und intelligente Angriffssimulationen lernen Mitarbeitende, wie sie sich vor OnlineBedrohungen schützen. Für Ihre Bank ist das denkbar einfach: Nahtlos integriert und sofort startklar: Die Plattform ist einfach im plementier und skalierbar. Der SoSafe PhishingMeldebutton kann direkt in Ihr internes Mailprogramm integriert werden und verringert die Reaktionszeit im Fall eines Angriffs maßgeblich. Dank kurzweiliger MicroModule lassen sich die Lerneinheiten einfach in den Arbeitsalltag integrieren. DS-GVO-konform: SoSafe lebt Privacy by Design und setzt damit auf volle Datensicherheit. Der rechtliche Sitz von SoSafe sowie die Sitze aller unserer Rechtsträger liegen in der EU. Somit erfüllen Sie jederzeit alle rechtlichen Vorgaben. Nachweislich effektiv: Über ein ReportingDashboard können Sie Fortschritt und Erfolg der Sensibilisierungsmaßnahmen anhand ver schiedener KPIs überprüfen. Im Fall verschärfter Risiken können Sie so frühzeitig entsprechende Zusatzmaßnahmen einleiten. Die Daten aus dem strategischen Reporting dienen außerdem als Nachweis bei Auditierungen. Sie wollen Ihre Bank digital absichern? Jetzt mehr zur SoSafe Awareness-Plattform erfahren: https://sosafe.de 72 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT

– ADVERTORIAL – Use Case Oldenburgische Landesbank: KOMPROMISSLOSER DATENSCHUTZ DANK SICHERER DATENRÄUME Geschäfte mit Aktien, Wertpapieren und Krediten beinhalten viele sensible und somit schützenswerte Daten von Geschäftspartnern und Kunden. Für die Kommunikation und für den Austausch von Dokumenten benötigen Banken und Finanzdienstleister eine sichere Lösung – eine hochsichere Banking Cloud. Die Oldenburgische Landesbank AG hat sich bei der Suche nach einer geeigneten Kollaborationslösung für die Cloud-Collaboration- Lösung idgard® entschieden. Damit kann die Bank in der Kommunikation mit Kunden und Partnern den Schutz selbst hochsensibler Daten gewährleisten. Der Kunde Die Oldenburgische Landesbank ist ein modernes, in Norddeutschland verankertes Finanzinstitut, das seine Kunden unter den beiden Marken OLB Bank und Bankhaus Neelmeyer deutschlandweit betreut. Zu den Geschäftsfeldern gehören das Privatkundengeschäft inklusive Private Banking und Wealth Management, das Firmen und Unternehmens kundengeschäft sowie Spezialﬁnanzierungen, zum Beispiel im Bereich der gewerblichen Immobilien- oder Akquisitionsﬁnanzierung. Auch die Vermittlung von Immobilien, Bausparverträgen und Versicherungen zählt zum Kerngeschäft. Die Herausforderung Die Oldenburgische Landesbank war auf der Suche nach einer zukunfts- fähigen „Secure Content Collaboration“-Lösung – einer Kollaborationslö- sung, die beim Austausch von Unterlagen und Informationen zwischen ihren Mitarbeitern und Partnern den bestmöglichen Datenschutz bietet, ohne dabei auf die Vorzüge der digitalen Zusammenarbeit zu verzichten. Als Unternehmen aus einer rechtlich stark regulierten Branche unterliegt die Bank beim Schutz von Daten höchsten Sicherheitsbestimmungen; die Anforderungen an den Datenschutz gehen weit über die der DS-GVO hin- aus. Aus diesem Grund ist der absolut sichere Datenaustausch alternativ- los, und zwar durchgängig von der Speicherung und Übertragung bis hin zur Verarbeitung der Daten. Für Dienstleister, die einen entsprechenden Web-Dienst anbieten, ist es zwingend notwendig, diesen Datenschutz nachweislich zu erbringen. Zudem war es der OLB wichtig, dass sich die Lösung komfortabel bedienen und individualisieren lässt. Die Lösung In einem mehrstuﬁgen Auswahlprozess hat sich die OLB für die Cloud- Lösung idgard® der TÜV SÜD-Tochter uniscon GmbH entschieden, die auf der Sealed-Cloud-Technologie basiert. Diese folgt dem Conﬁdential-Com- puting-Ansatz und sorgt dafür, dass Betreiber und Administratoren keinen Zugriff auf die Daten in der Cloud erhalten. Darüber hinaus sind die Daten auch während der vulnerablen Phase, also der Verarbeitung im Klartext, geschützt. „Filesharing-Dienste allein reichen für unsere Bedürfnisse nicht aus“, erklärt Jörn Winzen, IT-Projektleiter bei der Oldenburgische Landes- bank. „Die vertraulichen Daten, mit denen wir arbeiten, erhalten den not- wendigen Schutz nur in hochsicheren Datenräumen.“ Diese bieten nicht nur Funktionen wie Zugangsbeschränkungen, Verbreitungsschutz und Protokolle, sondern machen den sicheren Austausch und die gemeinsa- me Nutzung sensibler Dokumente möglich. In den idgard®-Datenräumen tauschen OLB-Mitarbeiter mit Partnern Dokumente und Unterlagen rechtskonform aus. idgard® lässt sich im Browser einfach bedienen. Deshalb waren Schu- lungen nicht nötig. Unterstützung bietet auch der virtuelle Assistent Userlane, der Anwender Schritt für Schritt durch alle Einstellungen und Funktionen führt. Alle weiteren Fragen konnten die Administratoren aus 74 SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT Bild: ©kras99 - stock.adobe.com

– ADVERTORIAL – Die Funktionen von idgard® im Überblick: Daten und Dokumente einfach und sicher versenden Dokumente im Datenraum vor unerwünschter Weiterverbreitung schützen: ▫ Dateien nur zur Ansicht im Browser ▫ Dynamisches Wasserzeichen ▫ Revisionssicheres Journal ▫ Alarmfunktion bei Massendownload Optional: Erhöhte Sicherheit bei der Anmeldung durch Zwei-Faktor-Authentifizierung Kombinieren mehrerer PDF-Dateien zu einem einzigen Meeting-Paket Vorteile für Sie und Ihre Kunden: Höchste Sicherheit bei der Zusammenarbeit an Dokumenten Weltweiter Zugriff per Internet-Browser und Mobile-App Revisionssichere Protokollierung aller Aktionen Große Dateien versenden, um Posteingänge zu „schonen“ Erfüllung der Anforderungen des Bundesdatenschutzgesetzes Erfüllung der IT-Governance und Compliance-Vorgaben idgard® ist die ideale Cloud für sicheren Datenaustausch in der Finanzbranche. Hier steht der Schutz Ihrer Daten an erster Stelle. Weitere Informationen speziell für Banken und Finanzdienstleister mit Anwendungsbeispielen und Referenzen sowie unser kostenloses Test angebot ﬁnden Sie hier: www.idgard.de/cloud-loesungen/cloud-banken/ der IT und Organisationsabteilung beantworten. Für den mobilen Zugriff stehen Apps für Android und iOS bereit. Die OLB nutzt für idgard® eine eigene LoginSeite, die sich nach den eige nen DesignVorgaben richtet. Die optische und funktionale Anpassung im Look and Feel der Bank schafft Vertrauen und Akzeptanz bei den Nutzern. Zudem fügt sie sich perfekt in die ToolLandschaft der Oldenburgischen Landesbank ein. Jörn Winzen ergänzt: „Die Anpassungsmöglichkeiten der Oberfläche, die individuelle LoginSeite und der hohe Nutzungskomfort signalisieren unseren Partnern ein professionelles Bild unseres Hauses.“ Fazit Mit idgard® verwendet die Oldenburgische Landesbank eine sichere und intuitiv bedienbare CloudCollaborationLösung, deren Nutzung sich in allen Bereichen, in denen es um efﬁzienten und sicheren Austausch von Dokumenten geht, schnell etabliert hat. Von besonderer Bedeutung ist die Conﬁdential-Computing-Technologie, die unbefugte Zugriffe auf die gesicherten Datenräume durch Außenstehenden und den Cloud-Betrei- ber selbst zu jeder Zeit ausschließt. Dafür sorgt eine Kombination aus wirksamer Verschlüsselung und Versiegelung sowie mehreren ineinander verzahnten technischen Schutzmaßnahmen. Jörn Winzen betont: „Die Vorzüge des Conﬁdential Computing haben uns überzeugt. Da nur wir den Schlüssel zu den Daten besitzen, können wir so die sehr strengen Daten- schutzregularien einhalten.“ n SPECIAL_2/2022 IT-SICHERHEIT IN DER BANKEN- UND FINANZWELT 75

. m o c . e b o d a k c o t s - f f o k n e d o r o G © IT-Verantwortliche direkt erreichen ▪ Newsletter ▪ Content- Marketing ▪ Webinare & Webkonferenzen Schreiben Sie uns: wolfgang.scharf@datakontext.com www.itsicherheit-online.com

CYBERSICHERHEIT Risiken der Operational Technology durch OT-Monitoring senken INDUSTRIELLE IT BRAUCHT INNERE SICHERHEIT Industrielle Geräte und Anwendungen sind traditionell auf Funktionalität und nicht auf Cybersicherheit ausgelegt. Umso wichtiger ist es, mittels Monitoring mit Ano- malie erkennung Sichtbarkeit in der industriellen IT herzustellen und Abweichungen vom zu erwartenden Verhalten in Echtzeit zu erkennen. Industrieunternehmen wie auch Kritische Infrastrukturen können so früh zeitig auch professionelle und komplexe Cyberangriffe abwehren. B etriebstechnologie beziehungs weise Operational Technology (OT) und IoT stehen vor zwei grundlegenden Sicherheitsproblemen. Ers tens verfügen industrielle Geräte und Syste me kaum über Sicherheitsmaßnahmen. Sie sind „insecure by design“. Und selbst wenn so etwas wie Verschlüsselung von Protokollen verfügbar ist – wie die in der Norm IEC 623514 deﬁnierten Maßnahmen für MMS-Protokolle – wird sie aufgrund von Konflikten mit der Pro zessstabilität und NetzwerkTaktung kaum implementiert. Das zweite Problem ist die mangelnde Transpa renz der OT. Für die meisten Sicherheitsverant wortlichen ist die OT eine Blackbox: Sie wissen nicht, was drin ist. Sie wissen auch nicht, was dort vor sich geht. Und ganz sicher kennen sie weder die Risiken noch die Sicherheitslücken. Ergebnisse aus OTRisiko und Schwachstellen analysen sowie kontinuierlichem OTMonitoring mit Anomalieerkennung verdeutlichen diesen toten Winkel der unternehmerischen Cybersi cherheit. In der Regel erhalten die Sicherheits verantwortlichen mit diesen Maßnahmen das erste Mal wirklich Einblick in ihre OT. SICHERHEITSRISIKEN GIBT’S IMMER Die Anzahl der Anomalien, die etwa Rhebo in OT Netzwerken Kritischer Infrastrukturen und In IT-SICHERHEIT_2/2022 77 Bild: ©Gorodenkoff - stock.adobe.com

CYBERSICHERHEIT dustrieunternehmen festgestellt hat, schwankt zwischen 10 und 43. Sie hängt stark von der Sicherheitsreife des Unternehmens sowie von der Komplexität und Größe der OT ab. Im Durch schnitt waren innerhalb der ersten 14 Tage des OTMonitorings 24 Anomalien identifizierbar. Zirka zwei Drittel der Anomalien fielen unter „Si cherheitsrisiken“ (Tabelle), während ein Drittel technische Fehlerzustände im Netzwerk und in OTGeräten betraf. WER KÜMMERT SICH UM DIE INNERE SICHERHEIT? Cybersicherheit in modernen, stark interaktiven Netzwerken funktioniert wie das Konzept der Home Security in einem modernen Staat oder einer mittelalterlichen Festung. Firewalls, Au thentifizierungsmaßnahmen, Sicherheitsrichtli nien und Datendioden bilden die Stadtmauer und Torwächter. Sie sind die Grenzkontrolle, die das Eindringen leicht identifizierbarer und definier ter Feinde verhindert. Einbrüche sind jedoch in jeder Festung möglich, sei es durch geschickte Verschleierung (zum Beispiel Identitätsdiebstahl über PhishingKampagnen), gewaltsames Ein dringen (Brute Force), Bestechung (Innentäter), geheime Passagen (Hintertüren und Software schwachstellen) oder die (meist unbewusste) Hil fe Dritter (Kompromittierung der Lieferkette). Aus diesem Grund gibt es in jedem Staat eine Polizei und einen Geheimdienst für die Innere Sicherheit. Sicherheitsanomalie Risiko Unnötige Protokolle Fehlende oder schlechte Sicherheitsmechanismen können von Angreifenden ausgenutzt werden. Mögliche Schadsoftware Angreifende könnten bereits die Kontrolle über Teile des Netzes haben. Unsichere Authentiﬁzie- rungsmethoden Angreifende im Netzwerk können Anmeldedaten mitlesen und ausnutzen. Anfällige (meiste veraltete) Software oder Betriebssys- teme Vergrößerung der Angriffsﬂäche für Penetration und laterale Bewegung. Sehr wahrscheinlich, dass Sicherheitslücken bestehen, die über gängige Exploits ausgenutzt werden können. (Häuﬁg aufgrund von Werks einstellungen statt- ﬁndende) Internet-Kom- munikation Verbindungen vom und zum Internet öffnen ei- nen potenziellen Angriffsvektor und ermöglichen in vielen Fällen überhaupt erst einen Angriff. Top 5 der Sicherheitsanomalien, die während OT Risiko- und Schwachstellenanalysen sowie OT-Monitoring mit Anomalieerkennung in industriellen Infrastrukturen identifiziert wurden. (Quelle: Rhebo) Insbesondere das Risiko, dass Angriffe über die Lieferkette erfolgen (Supply Chain Compromi se), nimmt aufgrund der starken Vernetzung und Integration von Systemen und Services zu. Die OT (und gleichermaßen die IT) ist erstaun lich komplex geworden. Der Fall SolarWinds im Jahr 2020 war eine erste Warnung diesbezüg lich. Log4Shell hat Millionen von Unternehmen über Nacht angreifbar gemacht. Die Störung der Viasat Satelliteninfrastruktur KASAT am 24. Fe bruar 2022 (vermutlich im Rahmen der russi schen Invasion in der Ukraine) beeinträchtigte nicht nur das ukrainische Militär, das die KASAT Infrastruktur nutzt. Unter anderem wurde der deutsche Hersteller von Windenergieanlagen Enercon zum Kollateralschaden. Das Unterneh Defense-In-Depth berücksichtigt neben der Grenzsicherung auch die Innere Sicherheit des Netzwerks (Quelle: Rhebo) 78 IT-SICHERHEIT_2/2022

CYBERSICHERHEIT Das OT-Monitoring schafft ein tagesaktuelles Abbild der OT mit allen Geräten, Systemen, Verbindungen und Aktivitäten. Eine integrierte Anomalie erkennung meldet in Echtzeit Abweichungen vom zu erwartenden Verhalten. (Quelle: Rhebo) men nutzt die Dienste von Viasat zur Steuerung und Fernwartung seiner Windparks. Nach dem Angriff verlor Enercon die Kontrolle über meh rere tausend Windkraftanlagen. Plötzlich hatte Russlands Krieg auch die deutsche Energiever sorgung erreicht. Dass es in den meisten OTNetzwerken bislang noch ruhig ist, muss dabei nicht heißen, dass ein Unternehmen verschont geblieben ist. Vergan gene professionelle Cyberangriffe, vor allem auf Kritische Infrastrukturen, haben gezeigt, dass sich die Angreifenden in der Regel bereits Mona te bis Jahre vorher in den Netzwerken eingenis tet hatten. Insbesondere staatlich gestützte Ak teure bauen ihre Ressourcen und ihre Position in kompromittierten Netzwerken über einen lan gen Zeitraum auf (Advanced Persistent Threats). Die Cyber Kill Chain und das Mitre Att&ck Frame work verdeutlichen die Komplexität und oftmals langfristige Durchführung auf Disruption ausge richteter Cyberattacken. DEFENSE-IN-DEPTH FÜR INNERE SICHERHEIT Ziel einer durchgängigen Cybersicherheitsstra tegie sollte deshalb DefenseInDepth sein. Das Konzept umschreibt den Ansatz einer mehr stuﬁgen Cybersicherheit, die den Fall einer er- folgreichen Netzwerkpenetration einschließt. Bekannte Sicherheitswerkzeuge, wie Firewalls, SIEM, Sicherheitsrichtlinien, Schulungen und Segmentierung, bilden hierbei die erste Vertei digungslinie. Sie bilden sinnbildlich Stadtmauer, Torwächter und Grundgesetz einer Festung und verhindern damit vor allem Angriffe, die bekann ten Pfaden folgen. Da diese Werkzeuge jedoch nicht garantieren können, alle Angriffe zu ver hindern, müssen Cybersicherheitsverantwortli che darüber hinaus befähigt werden, das Treiben der Angreifenden in den Netzwerken so schnell wie möglich zu erkennen. In der OT wird diese zweite Verteidigungslinie durch ein OTMonito ring mit Anomalieerkennung (Threat & Intrusion Detection) aufgebaut. Das System behält das Innere der Festung im Auge und untersucht kontinuierlich das Ver halten aller Geräte und Systeme innerhalb der Stadtmauern auf unregelmäßiges oder ver dächtiges Verhalten. Auf diese Weise werden Anomalien innerhalb der OT erkannt, doku mentiert und in Echtzeit an die Verantwortli chen gemeldet. Dabei spielt es keine Rolle, ob dieses anomale Verhalten von einem „Fremden“ (einem Angreifenden) oder einem regulären Bewohner der Festung (beispielsweise einem Administrator) ausgeht. Verdeckte Operatio nen, neuartige Angriffstechniken und komplexe Ablenkungsmanöver werden so direkt erkannt und können frühzeitig abgewehrt werden. Sie können darüber hinaus mithilfe eines SIEM mit den Informationen aus der IT korreliert werden. Dadurch erhalten Sicherheitsverantwortliche nicht nur ein vollständiges Bild der Risikoexpo sition des Unternehmens und der industriellen Prozesse – auch die Innere Sicherheit der OT wird gewahrt. n KLAUS MOCHALSKI, Gründer und CEO von Rhebo IT-SICHERHEIT_2/2022 79

CYBERSICHERHEIT Cyberattacken mit Hypothesen auf die Spur kommen THREAT HUNTING: DIE PROAKTIVE SUCHE NACH ANGREIFERN Sie umgehen Erkennungs- und Überwachungssysteme, nisten sich im ganzen Netzwerk mit lateralen Bewegungen ein und ziehen systematisch Daten und Infor- mationen ab: Gezielt gesteuerte, komplexe und oft effektive Advanced-Persistent- Threat-(APT-)Angriffe haben ein hohes Schadenspotenzial. Threat Hunting stellt eine proaktive Möglichkeit dar, Angreifer im System auch ohne initiale Trigger auf- zuspüren und die Zeit bis zur Entdeckung zu reduzieren. Durch Erkenntnisgewinn erlaubt Threat Hunting eine stetige Verbesserung der Cybersecurity. V ulnerability Management, Secu rity Information und Event Ma nagement (SIEM) oder Advanced Persistent Threat Scanner: Unternehmen über wachen ihre ITInfrastruktur mit verschiedenen Tools und Schwerpunkten. Threat Hunting stellt dabei eine sinnvolle Ergänzung dar: die proak tive Suche nach AngreiferAktivität im System ohne das Wissen, ob sich tatsächlich ein Ein dringling im Netz beﬁndet. Es erfolgt also meist ohne initialen Trigger. Das Vorgehen gleicht dem einer Polizeistreife: Die Polizei wartet nicht nur auf die Meldung von Vorfällen, auf die sie reagiert, sondern patrouilliert immer wieder ak- tiv in ihrem Zuständigkeitsgebiet. Wer mit der Cyber Defense beauftragt ist, sollte deswegen ebenfalls nicht bloß auf einen Alarm warten, 80 IT-SICHERHEIT_2/2022 sondern aktiv und kontinuierlich nach Angriffs- spuren Ausschau halten. griffe kann mit Threat Hunting entdeckt und ihre Einfallstore können geschlossen werden. Gerade APT-Angreifer legen es darauf an, mög- lichst lange unentdeckt zu bleiben. Sie umgehen Abwehrmechanismen, inﬁltrieren das Netz- werk und greifen unerkannt Wissen und Daten ab. Mit Lateral Movement gelingt es ihnen, sich Zugriff auf immer mehr Systeme zu verschaffen. Gerade bei aufwendigen Attacken sind Angreifer oft sogenannte Nation State Actors – Geheim- dienste oder andere staatliche Akteure. Nicht das Erpressen von Geld über Ransomware ist ihr Ziel, sondern Wirtschaftsspionage: Bei einer Fir- ma in Skandinavien suchte eine APT-Gruppe im Netzwerk zum Beispiel nach Verbindungen zum US-Verteidigungsministerium. Diese Art der An- DIE VORAUSSETZUNGEN FÜR THREAT HUNTING Der Mensch und seine Kompetenz spielen im Threat Hunting die Schlüsselrolle: Die Jäger be- nötigen einen umfassenden Erfahrungsschatz. Sie müssen sich in potenzielle Angreifer hinein- versetzen, ihre Angriffsvektoren und Taktiken kennen beziehungsweise nachvollziehen kön- nen. Wichtig ist ebenso das Wissen über aktuelle Bedrohungslagen, auch branchenspeziﬁsch – also wer konkret angreift und wie die typische Vorgehensweise aussieht. Hilfreich ist auch, Vor- gehensweisen und Taktiken von vergangenen

CYBERSICHERHEIT LEON HORMEL, Cyber Defense Consultant, Secuinfra Falcon Team MAXIMILIAN ZAHN, Cyber Defense Analyst, Secuinfra Falcon Team IT-SICHERHEIT_2/2022 81 Eine Hypothese kann lauten, dass sich ein schadhaftes Programm als legitime WindowsSystemdatei svchost.exe tarnt. Ein Beweis könnte darin bestehen, dass die Datei in ungewöhnlichen Ordnern liegt. Ein anderer Verdacht kann Anomalien in einem Netzbereich nahelegen – etwa, wenn sich ein Client neuerdings zu ungewöhnlichen Zeiten anmeldet oder wenn LoginVersuche aus atypischen Regionen erfolgen. Threat Hunter suchen also keine Indicators of Compromise (IoC), also Merkmale, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen, sondern Indicators of Attacks (IoA) – Angriffsmerkmale.Steht die Hypothese, wird in der Folge nach den erwarteten Beweisen gesucht und die Hypothese entweder validiert, nachgeschärft und weiterentwickelt oder widerlegt. Dabei werden Schwachstellen der Sicherheitsinfrastruktur aufgedeckt, LogGaps oder TechGaps (Lücken in Ereignisprotokollen oder in der technischen Abwehr) erkannt und festgestellt, ob die Erkennungsmechanismen gut genug sind, oder wo die Grenzen des EndpointSchutzes liegen. Die Ergebnisse können rückgespiegelt und die Cybersecurity mit dem neuen Wissen verbessert werden. Dies wiederum verbessert den Reifegrad der Systeme, etwa der LogSammlung. In einem weiteren Schritt können die Ergebnisse des Threat Hunting in die Automatisierung weiterer Erkennung und Prävention einfließen, sodass Angreifer automatisiert erkannt werden und keine aufwendige manuelle Suche mehr notwendig ist. Damit ermöglicht Threat Hunting die Optimierung der Prävention und die Erhöhung des Automatisierungsgrads. Werden Zugriffe entdeckt oder bösartige Dateien im System erkannt, stößt es zudem den IncidentResponseProzess an.Insgesamt reduziert Threat Hunting die Zeit, die Angreifer ungestört im System verbringen, also jenen Zeitraum zwischen Eindringen und Entdeckung. Gerade in der initialen Phase ist ein Angriff meist schwer zu erkennen – er kann mit Threat Hunting detektiert werden.DIE DREI ANSÄTZE IM THREAT HUNTINGEs gibt drei ThreatHuntingAnsätze: Analysegesteuert (AnalyticsDriven), Situationsgesteuert (SituationalAwareness Driven) und Intelligencegesteuert (IntelligenceDriven). Im ersten Fall kommen Tools wie Maschinelles Lernen und UEBA zum Einsatz, um die vorliegenden Daten zu durchsuchen und Anomalien zu erkennen. Auf de-ren Ergebnisse bauen die Jäger ihre Hypothesen auf. Beim Situational-Awareness-Driven-Ansatz geht man von den Kronjuwelen der Infrastruk-tur aus: Man deﬁniert, welche Assets und Daten für Angreifer besonders interessant und damit schützenswert sind, was sie genau zur Verfügung stellen und leitet daraus Angriffspfade ab. Der Intelligence-Driven-Ansatz basiert nicht nur auf der zur Verfügung stehenden Threat Intelligence. Auch das Know-how um IoCs und TTPs sowie das Wissen, welche Angriffe aktuell durchgeführt werden und welche Gruppen in Frage kommen, spielen dabei eine gewichtige Rolle. Diese Hunt-Trigger sind zum Beispiel Meldungen des eigenen Threat-Intelligence-Reports oder ein Cyberbrief des Verfassungsschutzes zu Angriffskampagnen gegen deutsche Unternehmen. Darauf kann eine aktive Suche mit einer entsprechenden Hypothe-se aufbauen: Angreifergruppen greifen oft auf ähnliche Vorgehensweisen zurück.FAZITThreat Hunting stellt für Unternehmen eine produktive Methode dar, die Cybersicherheit zu erhöhen und ergänzt Erkennungs- und Über-wachungssysteme wie Compromise Assess-ment oder Vulnerability Management. Es kann Angriffe bereits in einer frühen Phase erkennen und Sicherheitslücken im System offenlegen. Auf Basis der daraus gewonnenen Erkenntnisse ist eine Optimierung und Automatisierung der Cybersecurity möglich. nAngriffen und deren Urhebern zu untersuchen und sie auf die aktuelle Situation anzuwenden.Gleichzeitig müssen sich Threat Hunter mit Sys-tem, Netzwerk und Infrastruktur auskennen: Threat Hunting erfolgt auf Basis eines SIEM-Sys-tems, mit welchem Meldungen und Logﬁles der Systeme gebündelt und ausgewertet werden – es ermöglicht einen ganzheitlichen Blick auf die Cybersecurity. Deswegen muss im Unternehmen eine entsprechende Datenbasis durch SIEM- und Log-Management geschaffen worden sein: Sind nicht alle Informationen eingebunden, können nicht alle Taktiken im Threat Hunting ange-wandt werden. Es ist also eine reife Architektur erforderlich – sie ist meist in Firmen ab einer ge-wissen Größe gegeben, welche die Grundlagen für Cybersecurity geschaffen haben: Incident-Response-Prozesse wurden zum Beispiel bereits etabliert und werden gelebt.Threat Hunting ist im Security Operation Center (SOC) angesiedelt. Liegen keine Alarme und Er-eignismeldungen im System vor und muss kei-nem Angriff aktiv nachgegangen werden, kann in den Leerlaufzeiten Threat Hunting betrieben werden. Der Einsatz von Cybersecurity-Perso-nal in Vollzeit ist genauso denkbar wie der von Dienstleistern: Der Trend geht dahin, die Dienst-leistung als Managed Service einzukaufen. Gera-de große Konzerne greifen darauf zurück.DER PROZESS DES THREAT HUNTINGIm Prozess des Threat Hunting wird zunächst eine Hypothese formuliert und dann deﬁniert, welche Beweise es geben müsste, wenn sie kor-rekt ist. Die Jäger haben also keinen konkreten Use Case, sondern starten in der Regel frei. Auf Basis der vorhandenen Daten wird nach Takti-ken, Techniken und Verfahren (TTP) der poten-ziellen Angreifer gesucht.Tools wie UEBA (User and Entity Behavior Ana-lytics) oder die MITRE-ATT&CK-Matrix unterstüt-zen Threat Hunter dabei, die möglichen Varianten im Blick zu behalten; bekannte Angreifergruppen werden von Institutionen mit Eigennamen verse-hen und kategorisiert; Firmen und Dienstleister, etwa Entwickler von Antiviren-Software, stellen das Wissen weltweit öffentlich zur Verfügung. So kann zum Beispiel die MITRE-ATT&CK-Matrix dazu genutzt werden, Hypothesen auf verschie-dene Taktiken für die unterschiedlichen Phasen des Angriffs einzugrenzen.

Management von Cyberrisiken im industriellen Umfeld WAS FÜR DIE SICHER HEIT KONVERGENTER IT/OT INFRASTRUKTUREN NÖTIG IST 82 IT-SICHERHEIT_2/2022 SECURITY MANAGEMENTMit dem rasanten Wachstum der Digitalisierung in industriellen Umgebungen kommt es zu einer zunehmenden Konvergenz von Operational Technology (OT), die sich in erster Linie auf Technologien im Zusammenhang mit der Industrieproduktion kon-zentriert, und Information Technology (IT), die sich in erster Linie auf die Back-Office-Technologieinfrastruktur konzentriert. Unternehmen müssen in diesen Netzwerken ein Höchstmaß an Cybersicherheit und Datenschutz gewährleisten. Da beide Netz-werke besondere Anforderungen stellen, müssen diese bei der Implementierung von Sicherheitsanforderungen in diesen Netzwerken berücksichtigt werden.

In industriellen Umgebungen ist die zuneh- mende Konnektivität zwischen Maschinen und Systemen ein Schlüsselfaktor, der den Wandel zur datengesteuerten Industrie 4.0 vo- rantreibt. Die Vorteile dieser zunehmenden Ver- netzung sind vielfältig: Sie ermöglicht nicht nur einen schnellen und umfassenden Informations- ﬂuss und damit ein höheres Maß an Transpa- renz, sondern auch eine schnellere Reaktion auf Ereignisse, was zu einer höheren Efﬁzienz führt. CYBER-RISIKOBEWERTUN- GEN FÜR MEHR SICHER- HEIT UND SCHUTZ Sicherheitsmaßnahmen in Produktionsumge- bungen werden oft zu stark vereinfacht, und das volle Risiko, das von Cyberangriffen aus- geht, wird in der Regel nicht berücksichtigt. Die Maßnahmen beschränken sich oft auf grundle- gende Cybersicherheitskontrollen für funkti- onale Sicherheitskomponenten oder einfache Ergänzungen zu bereits bestehenden Protokol- len, die die negativen Folgen eines Cyberangriffs nicht erkennen und bewältigen können. Um die Cyberrisiken in diesem Bereich vollständig zu verstehen, müssen die Motive der Cyberangriffe berücksichtigt werden, zu denen die Gefährdung der industriellen Sicherheit, Datendiebstahl, die Beeinträchtigung der Produktsicherheit und betriebliche Produktivitätsverluste gehören können. Es ist wichtig, sich darüber im Klaren zu sein, dass ein Cyberangriff nicht nur die Gesamt- prozesse eines Unternehmens gefährden kann, sondern auch seinen Wettbewerbsvorteil, indem er Mitarbeitende, Kunden und Industrieprodukte in Gefahr bringt. Daher müssen Unternehmen regelmäßige und umfassende Cyber-Risikobewertungen durch- führen, vorzugsweise durch neutrale Dritte, wel- che die Umgebung prüfen können, ohne einem bestimmten Hersteller oder einer bestimmten Lösung gegenüber voreingenommen zu sein. Solche Risikobewertungen könnten eine Ana- lyse der in solchen Umgebungen bestehenden Gefahren und Schwachstellen umfassen, die die Sicherheit und die Sicherheitsaspekte gefährden könnten. Darüber hinaus ist eine Risikobewer- tung einschließlich der Festlegung von Schutz- maßnahmen und einer klaren Dokumentation erforderlich, um ein hohes Maß an Sicherheit in solchen Umgebungen zu gewährleisten. ÜBERWACHUNG VON CYBERRISIKEN FÜR DAS INDUSTRIELLE IOT Da immer mehr „Dinge“ in der Industrie mit dem Internet verbunden werden, hat sich der Begriff Industrial Internet of Things (IIoT) durchgesetzt. Dazu gehören Komponenten wie Sensoren, die den Gehalt an Chemikalien, die Temperatur oder die Nähe in Industrieumgebungen überwachen können und für verschiedene Anwendungsfäl- le eingesetzt werden. Eine Manipulation dieser Geräte oder eine Änderung der Werte, die diese IIoT-Komponenten liefern, könnte fatale Aus- wirkungen haben. Daher ist eine kontinuierliche Überwachung dieser Geräte erforderlich, um si- cherzustellen, dass es keine Anomalien gibt und dass sie wie erforderlich funktionieren. Diese IIoT-Geräte müssen nicht nur regelmäßig überwacht werden, auch Software-Updates soll- ten regelmäßig eingespielt werden. Da es sich um eine Vielzahl von Geräten handelt, die Daten erzeugen, sammeln, speichern und übertragen, müssen die Daten in diesen Fällen während des Transports und im Ruhezustand verschlüsselt werden, um sie vor jeglicher Art von Diebstahl oder Manipulation zu schützen. Darüber hinaus ist es wichtig, zu beachten, dass einige dieser Komponenten und Produkte auch Teil des Öko- systems der kritischen Infrastrukturen (KRITIS) sind. Daher ist die Gewährleistung eines Höchst- maßes an Sicherheit und Datenschutz entschei- dend, um sowohl Menschen als auch Infrastruk- turen vor fatalen Zwischenfällen zu schützen. CYBERSCHULUNGEN IM INDUSTRIELLEN UMFELD ENTSCHEIDENDER FAKTOR Ein weiterer wichtiger Aspekt in solchen indus- triellen Fertigungsumgebungen ist die Sen- sibilisierung der Mitarbeiter, von der Unter- nehmensspitze bis hin zu den Mitarbeitern in den Werkstätten. Es muss eine solide Grund- lage für die Cyberhygiene geschaffen wer- den, einschließlich regelmäßiger Schulungen für die Mitarbeiter in der Fertigung, die neben der funktionalen Sicherheit auch die Cybersi- cherheit umfassen, um zu erreichen, dass die Cyberrisiken gemindert werden können. Es ist sehr wichtig, dass die Mitarbeitenden regelmä- ßig Schulungen erhalten, um sicherzustellen, SECURITY MANAGEMENT dass die Risiken in einer solchen MultiTool und MultiDomainUmgebung gemildert werden können. Dazu könnten einfache Maßnahmen die erforderliche Awareness schaffen, zum Beispiel über Gamiﬁcation-Ansätze. So werden Mitarbeitende für grundlegende Cybersicher- heitsanforderungen sensibilisiert, wie zum Beispiel die standardmäßige Deaktivierung von nicht verwendeten Funktionen oder das Verbot, fremde USB-Sticks anzuschließen. Die so ent- standene „menschliche Firewall“ kann maßgeb- lich dazu beitragen, die Erfolgswahrscheinlich- keit von Cyberangriffen, die an Mitarbeitende adressiert sind, deutlich zu senken. ZERTIFIZIERUNG ZUR EIN- FÜHRUNG EINER GRUND- LEGENDEN CYBERHYGIENE Um Cyberrisiken im industriellen Umfeld zu minimieren und die Sicherheit von Entwick- lungsprozessen zu gewährleisten, gibt es in diesem Ökosystem verschiedene ISO- und IEC- Zertiﬁzierungen. Diese sind zwar kein Sorgen- freipaket für mehr Cybersicherheit. Zertiﬁzie- rungen wie die IEC 62443 tragen jedoch dazu bei, eine grundlegende Cybersicherheit im in- dustriellen Umfeld zu schaffen, ganz nach dem Prinzip „Security by Default“. Dabei ist Cybersi- cherheit als „Voreinstellung“ im Produkt immer berücksichtigt. Wenn Prozesse und Produkte von einer unabhängigen dritten Organisation zertiﬁziert sind, steigt das Vertrauen in die Nut- zung dieser Produkte in industriellen Netzwer- ken. Andererseits sorgen Zertiﬁzierungen auch dafür, dass ein Mindestmaß an Standardsicher- heit weltweit und branchenübergreifend ein- heitlich festgelegt wird. n SUDHIR ETHIRAJ, Global Head of Cybersecurity Office (CSO) bei TÜV SÜD IT-SICHERHEIT_2/2022 83 Bild: ©Blue Planet Studio - stock.adobe.com

ENDPOINT | MOBILE SECURITY Tipps für mobile Sicherheit bei kritischen Anwendungen UNTERNEHMENSSTEUERUNG PER SMARTPHONE Das Smartphone ist zu einem alltäglichen Begleiter geworden. Dabei ist der Markt für Apps mittlerweile so weit gediehen, dass die Digitalisierung in weiten Teilen über Handy-Anwen- dungen laufen kann. Auch für die nahezu vollständige Steuerung eines Unternehmens verfügen die handlichen Geräte über hohes Potenzial. Allerdings sollten solche kritischen Funktionen nicht ohne solide Vorbereitung genutzt werden. Gerade Smartphones verleiten durch ihr einfaches Handling zu Nachlässigkeiten bei der Sicherheit. Zudem geraten mobi- le Geräte derzeit auch immer stärker ins Visier von Cyberkriminellen. Vier Tipps helfen, eine effiziente und sichere Unternehmenssteuerung per Smartphone einzurichten. Bild: ©Feodora - stock.adobe.com84IT-SICHERHEIT_2/2022Es klingt verlockend: Mit dem Smartphone jederzeit und überall das eigene Unternehmen im Griff haben und selbst kritischste Vorgänge mit einem Wisch auslösen. Aber damit das efﬁzient und ohne bö-ses Erwachen funktioniert, sind einige Dinge zu beachten.1. ANBIETERAUSWAHL: BREITES SOFTWARE-FRAMEWORK SOWOHL MIT SMARTPHONE-APPS ALS AUCH DESKTOP- UND WEB-ANWENDUNGENHeutzutage gibt es eine Vielzahl von CRM- (Customer Relationship Management), ERP- (Enterprise Resource Planning), CMS- (Content Management System) oder PMS-Systemen (Property Management System), die nicht nur für den Desktop, sondern auch als App zur Ver-fügung stehen. Die großen Platzhirsche wie SAP für mittelständische Unternehmen oder auch ZoHo, die besser für kleine Unternehmen passt, haben diese Option beispielsweise längst im Programm. Diese Frameworks ermöglichen viele Lösungen, die speziell auf die Bedürfnis-se von Unternehmen zugeschnitten sind. Von vornherein ist der Ansatz der Frameworks so an-passungsfähig, dass die Programmierung nicht jedes Mal von Neuem beginnen muss. Wenn die Basis erst einmal steht, ist es damit möglich, alle gängigen Geschäftsbereiche darin aufzunehmen und jederzeit auf alles zugreifen zu können.Durch Smartphone-Apps und Desktop- sowie Web-Applikationen ist für die nötige Flexibili-tät gesorgt. Dabei sollte allerdings auf Lösungen von einzelnen Firmen verzichtet werden, um die Gefahr eines Vendor lock-ins zu vermeiden. Bei einer guten Framework-Lösung besteht diese Problematik nicht. Sie sorgt dafür, dass die Soft-ware sich ständig weiterentwickelt und die Kom-patibilität steigt, denn die Zahl der Partnerﬁrmen, die sich mit der Umsetzung beschäftigen, steigt stetig. Ein ausgeprägtes Software-Framework garantiert also Nachhaltigkeit und Efﬁzienz.2. INFORMATIONSFLUSS DES WORKFLOWS IN ECHTZEITDer Informationsﬂuss per Smartphone erlaubt es, jederzeit, von überall aus in die Unterneh-mensprozesse eingreifen und auch jeden Mitar-beiter darüber informieren zu können.

MICHAEL SCHWEIGER (links), Senior Consultant und CHRISTIAN MIKOLASCH, Business-Consultant und Gründer von Banges Consulting 85IT-SICHERHEIT_2/2022Beim Smartphone selbst ist es aus Sicherheitsgründen dringend ratsam, darauf zu achten, dass es sich remote ein und ausschalten beziehungsweise blockieren lässt. Die meisten Hersteller bieten diese Option mittlerweile an, weil sie wissen, dass viele Unternehmer ihr Smartphone bereits zum Zweck der Unternehmenssteuerung einsetzen. Das regelmäßige Installieren von Sicherheitsupdates ist ebenfalls ein wichtiger Punkt zur sicheren Handhabung der Endgeräte. Dies betrifft nicht nur die Anwendungen zur Unternehmenssteuerung, sondern auch solche, die das Betriebssystem des Smartphones updaten. Auch beim Austausch von Handys und Tablets sollte unbedingt darauf geachtet werden, die alten Endgeräte von sensiblen Daten zu befreien und sie bestenfalls auf den Werkszustand zurücksetzen. Genauso empﬁehlt es sich, dafür zu sorgen, dass ehemalige Mitarbeiter nach dem Ausscheiden keinen Zugriff mehr auf die Steuersoftware erhalten.Auch bei der Wahl des Netzwerks, aus dem heraus eine Verbindung zum Unternehmen aufgebaut wird, ist Vorsicht geboten. Wenn es geht, sollten offene Netzwerke von WiFi-Spots etwa an Bahnhöfen oder Hotels vermieden oder nur in Verbindung mit einer VPN-Lösung (Virtual Private Network) genutzt werden. In solchen Situationen muss klar zwischen privater und beruflicher Kommunikation beziehungsweise Einsatzzweck getrennt werden.Natürlich ersetzen diese Tipps nicht eine umfassende Beratung, die vor dem Einsatz unternehmenskritischer Anwendungen auf dem Smartphone dringend zu empfehlen ist. Aber sie geben schon mal einen guten Überblick, worauf es in diesen Fällen wirklich ankommt. nSmartphone laufen beim Manager alle Fäden zusammen. Er hat immer die Möglichkeit, sofort zu reagieren, ganz gleich, wo er sich aufhält. Ob im Betrieb, im Urlaub oder beim Sport. Er wählt selbst aus, wer über welche Problemlösungen, Veränderungen oder sonstige Entscheidungen benachrichtigt wird – etwa ob die entsprechen-den Infos an einen oder alle Mitarbeiter geht, nur an bestimmte Abteilungen oder an be-stimmte Teams.4. SICHERHEITS ASPEKTE BEI SMARTPHONE, LÖSUNGSARCHITEKTUR UND NETZWERKBevor sich ein Chef auf die Unternehmens-steuerung via Smartphone einlässt, sollte er ausführlich erwägen, wie gut seine Lösung vor Cyber angriffen geschützt ist. Eine zentrale Frage in diesem Zusammenhang ist, ob es besser ist, die Lösung über einen Cloud-Anbieter bereitzu-stellen oder einer On-Premises-Lösung den Vor-zug zu geben, bei der eigene IT-Experten damit beauftragt werden, das System zu hosten. Was von beidem die sicherere Variante ist, lässt sich pauschal nicht beantworten, sondern muss im Einzelfall beurteilt werden. Beim Cloud-Anbieter ist der Ort des Hostings ein wichtiger Punkt, hängen doch von ihm etwa Fragen der Gerichts-barkeit ab.Ein anderer Punkt betrifft die Endgeräte selbst, denn schließlich soll ja vermieden werden, dass ein Fremder die Kontrolle über den Betrieb be-kommt, wenn das Handy verloren geht oder gestohlen wird. Hier gilt es, sich vorher mit den Sicherheitsstandards des Herstellers zu beschäf-tigen. Wie ist das Smartphone gegen äußere Angriffe geschützt? Fingerabdrucksensoren ge-hören heutzutage beispielsweise zum Standard eines guten Geräts. Banking-Apps fragen den Fingerabdruck meist noch einmal je Vorgang explizit ab und bieten überdies die Möglichkeit der Zwei-Faktor-Authentiﬁzierung, etwa über eine SMS. Ähnliche Sicherheitsmechanismen stellen auch die Apps zur Verfügung, die für die Unternehmenssteuerung entwickelt wurden. Die Sicherheitsabfragen dienen der Vermeidung, dass jemand Unbefugtes Zugriff auf sensible Daten erhält oder gar die Steuerung der Pro-zesse übernimmt. In vielen Anwendungen sind auch Warnhinweise implementiert, die einen verdächtigen Zugriff beispielsweise an einen IT-Systemadministrator melden, der dann notfalls sofort eingreifen kann.ENDPOINT | MOBILE SECURITYDies geschieht im Grunde in Echtzeit, und zwar mit demselben Komfort, der vielleicht bereits von zu Hause durch die Smart-Home-Techno-logie bekannt ist. Das Smartphone informiert laufend über alle Vorgänge. Es empﬁehlt sich allerdings, genau festzulegen, welche Nachrich-ten zu welchem Zeitpunkt übermittelt werden sollen. Die Priorisierung der Aufgaben ist ein wichtiger Punkt, denn schließlich ist auch nicht alles immer zu gleicher Zeit wichtig.Diesen Punkt gilt es auch insofern zu beden-ken, als die Entscheidungen im Geschäftsleben heutzutage meist innerhalb kurzer Zeitspannen getroffen werden. Dies gilt für Geschäftsinhaber aber genauso gut auch für deren Kunden. Daher kann es auch nur von Vorteil und manchmal gar absolut notwendig sein, schnelle Entscheidun-gen von überall aus treffen zu können.3. SCHNELL AGIEREN UND REAGIEREN Das Smartphone erlaubt die Unternehmenssteu-erung unabhängig von Ort und Zeit. Theore-tisch ließe sich tatsächlich so ziemlich alles vom Smartphone aus erledigen: Vertriebsleitung, HR-Management, Marketingmanagement, Kun-denservice, IT etc. – und das in Echtzeit.Jederzeit auf dem Laufenden bleiben, dazu gehört natürlich auch die Lösung von Problem-fällen. Dank der Unternehmenssteuerung per

DATENSCHUTZ | BACKUP | ARCHIVIERUNG Altes Prinzip zeitgemäß umsetzen BACKUP – ABER RICHTIG! I n Zeiten von Ransomware handelt es sich bei den „Kronjuwelen“ um alle Daten des Unternehmens. Es sind im Ernstfall nicht nur die aktuellen „kritischen Daten“, sondern alles, was benötigt wird, um den Geschäfts- betrieb nach einem Befall mit Ransomwa- re wieder in normale Bahnen zu lenken. Das bedeutet, dass eine umfassende, zuverlässige und geschützte Datensicherung möglicher- weise die wichtigste aller Sicherheitsmaßnah- men ist. Dafür spricht auch, dass im BSI Grund- schutzkompendium dieses Stichwort 158-mal zu ﬁnden ist. 86 IT-SICHERHEIT_2/2022 3-2-1-PRINZIP Eine bekannte und oft umgesetzte Strategie ist die Datensicherung nach dem 3-2-1-Prin- zip. Neben den produktiven Daten gibt es zwei Kopien. Diese Sicherungen existieren auf zwei verschiedenen Medien, eine davon liegt „außer Haus“, kann also zum Beispiel bei einem Brand nicht verloren gehen. Als besondere Anforde- rung mit Blick auf Ransomware soll eine dieser Sicherungen nicht über elektronische Netz- werke erreichbar (also „ofﬂine“) und auch nicht überschreibbar sein. Diese bislang als ausreichend und praktikabel angesehene Strategie der Datensicherung ver gisst jedoch oftmals ein Problem: Zu einem erfolgreichen RansomwareAngriff gehört, dass Angreifer mit zuvor erlangten Administrations rechten gezielt nach Backups suchen, um auch diese im Einklang mit den Daten der Produk tivsysteme zu verschlüsseln. Wenn nun das „sichere Ofﬂine-Backup“ – egal ob auf einem Bandroboter oder in einer Cloud gespeichert – mit Windows-Mitteln verwaltet wird, muss es als verloren angesehen werden. Bild: ©Tomasz Zajda - stock.adobe.comSchon lange gilt die Erkenntnis, dass absolute Informationssicherheit nicht möglich ist. Schon einzelne Geräte, erst recht komplexe IT-Landschaften lassen sich nicht allumfassend gegen Angriffe schützen. Daher hat sich in der IT inzwischen mehr und mehr ein risikobasierter Security-Ansatz etabliert. Auf dieser Basis mahnt nicht zuletzt auch das BSI (Bundesamt für Sicherheit in der Informationstechnik), die „Kronjuwelen“ seines Unternehmens zu schützen. Eine moderne Backup-Strategie wird dabei als unverzichtbarer Grundbaustein erachtet.

DATENSCHUTZ | BACKUP | ARCHIVIERUNG „ASSUME BREACHED – ASSUME LOST“ Seit Jahren versuchen einschlägige Experten zu vermitteln, dass der Ansatz „in unserem Netz sind die Guten, die Bösen sind draußen (vor unserer Firewall)“ falsch ist. Vielmehr gilt für alle IT-Netze heute: „assume breached“ – gehe davon aus, dass der Einbruch bereits erfolgt ist. Noch eine Stufe schlechter wird die Situation, wenn die administrative Verwaltung des IT- Netzwerks ausschließlich auf Active Directory (Microsofts Verzeichnisdienst und Rechtever- waltung) beruht. In diesem Fall ist die Datensi- cherung in Gänze als „assume lost“ zu betrach- ten, also als unbrauchbar. KEINE WINDOWS- ADMINISTRATION Die Administration des Backups darf also nicht zur Gänze Bestandteil der Windows-Administ- ration sein. Wenn das Backup von einem privile- gierten Benutzer der Windows-Welt gemanagt wird, ist es ebenso leicht kompromittierbar wie eben der Account des entsprechenden privile- gierten Nutzers. Eine Lösung kann nur in einem passenden Spei- chersystem gefunden werden, dass außerhalb der Windows-Welt administriert wird. Passend sind Speichersysteme, die ein Copy-On-Write- Dateisystem (COW) aufweisen. COW-Speicher- systeme wie das von NetApp (www.netapp. com) entwickelte „ONTAP“ oder das als Open Source vorliegende „ZFS“ (openzfs.org) über- schreiben bei Änderungen nichts auf dem Spei- chermedium, sondern schreiben bei Änderun- gen in Daten stets in einen neuen Datenblock. Zudem werden auch alle internen Verwaltungs- informationen aktualisiert. Der Aufwand an Speicherplatz und Rechenzeit steigt bei einem COW-System folglich im Vergleich zu konven- tionellen Dateisystemen wie Microsofts NTFS. Über passende Hardware ist das aber mit ver- tretbarem Aufwand kompensierbar. Vorteil des Copy-On-Write ist, dass der Speicher und damit darauf vorhandene Dateisysteme in sich immer konsistent sind und dass es sehr ein- fach und billig ist, Kopien („Snapshots“) großer Datenmengen bis hin zur Kopie des gesamten Systems anzufertigen. SNAPSHOTS Die unveränderlichen „Schnappschüsse“ von Verzeichnissen oder ganzen Dateisystemen las sen sich mit geringem Aufwand und in hoher Frequenz anfertigen. Damit gibt es ständig ak tuelle Datensicherungen, die konstruktionsbe dingt nicht überschrieben werden können und die im Fall eines Falles in Sekunden die durch Ransomware zerstörten Daten wiederherstel len. Wohlgemerkt ersetzen Snapshots keine weiteren Datensicherungen, denn bei Schäden am Speichermedium oder bei Zerstörung oder Verlust des Geräts ist der Snapshot genauso un benutzbar wie das Original. Nebenbei: Die Eigenschaft eines COWSpei chersystems, nicht zu überschreiben, sondern stets frischen Speicherplatz zu benutzen, kann als Indikator genutzt werden. Wenn ein ganzes Laufwerk oder eine große Datenbank von Ran somware verschlüsselt wird, dann steigt der Platzverbrauch auf dem Speichersystem unty pisch schnell an. Ein erstklassiger Indikator für ein Ereignis, das genauere Betrachtung verdient! ADMINISTRATORSCHUTZ Wichtig ist, dass der Administrator eines sol chen Speichersystems, der nunmehr der einzige Herr über die Snapshots ist, nicht Opfer eines RansomwareBefalls wird. Das lässt sich aber in beruhigender Distanz zur WindowsWelt mit einem exklusiven kleinen Netz, in dem das Spei chersystem per Notebook administriert wird, recht einfach erreichen. Wenn dann noch dem Reﬂex widerstanden wird, für den einfacheren Gebrauch einen SSH-Zugang (Secure Shell – mehr unter https://de.wikipedia.org/wiki/Secu- re_Shell) oder Ähnliches vom „Windows-Netz“ in dieses Sicherheitsnetz hinein zu schaffen, dann ist die nötige Trennung gut gelungen. PRAXISTESTS Bei solchen Überlegungen darf nicht vergessen werden, dass zu einem Backup auch immer die Planung und Vorbereitung der Rücksicherung der Daten und des Wiederanlaufs der wieder- belebten Systeme gehört. Diese Planungen müssen Praxistests unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen. Da die Theorie stets grau ist: Um die Gedanken dieses Beitrags in die prüfende Tat umzusetzen, empﬁehlt der Verfasser TrueNAS-Core (www. truenas.com/) als Speichersystem, bei Bedarf opnsense als Firewall (https://opnsense.org/) und ein minimales Linux oder Freebsd auf einem Administrations-Notebook. n DIPL.-INF. WERNER METTERHAUSEN, Sicherheitsberater bei VON ZUR MÜHLEN’SCHE (VZM) GmbH mit den Spezialgebieten RZ-Zertifizierung, Datenschutz und Informationssi- cherheit (ISO 27001 Lead-Auditor) IT-SICHERHEIT_2/2022 87 ©apinan - stock.adobe.com

AUS FORSCHUNG UND TECHNIK 88 IT-SICHERHEIT_2/2022 Bild: ©Kaspars Grinvalds - stock.adobe.comWas einen Compliance-gerechten Sprachassistenten von „Alexa“ unterscheidetLOKALER BEFEHLSEMPFÄNGERDigitale Sprachassistenten wie Alexa, Google, Siri & Co erfreuen sich auch in Deutschland hoher Beliebtheit – Tendenz steigend. Bei allen genannten und vielen weiteren Systemen handelt es sich um cloudbasierte Architekturen – die gesprochenen Befehle werden in Rechenzentren rund um den Globus übertragen und dort interpretiert. Aus Sicht des Datenschutzes und der Privatsphäre ist das problematisch.[1] Auch die Abhängigkeit zu Cloud-Anbietern kann zu Schwierigkeiten führen, zum Beispiel wenn sich die Sprachassistenten oder Smart-Home-Geräte nicht mehr nutzen lassen, weil der Anbieter seinen Dienst einstellt. Im Rahmen eines internen Forschungsprojekts hat das Institut für Internet-Sicherheit nun einen „dezentralen“ Sprachassistenten entwickelt, der im Offline-Betrieb operiert und die Sprachdaten lokal auf dem Gerät verarbeitet, ohne sie in eine entfernte Cloud übertragen zu müssen.

Bild 1: Workflow und Komponenten des Rhasspy-Sprachassistenten 6) Umwandlung von Text in Sprache: Wenn eine Antwort des Sprachassistenten erforder- lich ist, wird der erzeugte Text, zum Beispiel von „Home Assistant“ zurück an das Rhasspy Framework übermittelt, in Sprache umge- wandelt und 7) Antworten: in der Audioausgabe über die verbundenen Lautsprecher ausgegeben Alle Softwarekomponenten und Optionen des Rhasspy Frameworks sind austauschbar. Es kann zum Beispiel pro Nutzer ein Proﬁl eingerichtet werden, sodass eine Instanz mit der Spracher- kennung basierend auf „Kaldi“ in deutscher Sprache parallel zu einer Instanz basierend auf „DeepSpeech“ in englischer Sprache laufen kann. So ist auch eine separate Weiterentwicklung der Sprachmodelle durch einzelne Nutzer möglich. ARCHITEKTUR DES SMART- HOME-SYSTEMS Die entwickelte Smart-Home-Architektur ba- sierend auf dem dezentralen Sprachassistenten ist in Bild 2 dargestellt. Im internen Forschungs- projekt wurde der Sprachassistent auf einem Notebook realisiert. Die lokalen Systemkompo- nenten (im Bild orange gefärbt) können ofﬂine betrieben werden. Ein Webserver und Home-As- sistant-Server stellen Schnittstellen nach außen, also zu internetbasierten Diensten, bereit. IT-SICHERHEIT_2/2022 89 AUS FORSCHUNG UND TECHNIKDie Komponenten lassen sich mit Rhasspy über „Proﬁle“ konﬁgurieren. Ein Proﬁl setzt sich aus den einzelnen Konﬁgurationen der Komponen-ten des Sprachassistenten zusammen. Die Kom-ponenten spiegeln gleichzeitig den Workflow des Sprachassistenten wider (siehe Bild 1).Die sieben Schritte umfassen folgende Funktionen:1) Audioaufnahme: Aufnahme des Gesprochenen mit dem Linuxbasierten Audioaufnahmetool „arecord“ über ein Mikrofon und Speicherung in einer WAVDatei2) Wake Word Erkennung: Erkennung des Rufwort oder auch „WakeWord“ – zum Beispiel „Alexa“, „OK Google“ oder „Hi Siri“ anhand der WAVDatei3) Spracherkennung beziehungsweise Um-wandlung von Sprache in Text: Erzeugung einer textbasierten Darstellung der WAVDatei mit dem Open Source SpracherkennungsToolkit „Kaldi“ 4) Befehlserkennung: Erkennung des Befehls aus der textbasierten Darstellung mit „Rasa NLU“, ein auf Machine Learning basiertes Toolkit für „Natural Language Understanding“ (NLU)5) Umsetzung der Befehle: Umsetzung der Befehle mit entsprechenden angebundenen Softwarekomponenten, zum Beispiel „Home Assistant“ für die SmartHomeFunktionalitätenSprachassistenten sind IT-Systeme, die mithilfe der natürlichen Spra-chen Dienste für den Nutzer er-bringen. Sie haben in den letzten Jahren immer mehr an Bedeutung gewonnen und kommen in vielen Anwendungsbereichen auf verschiede-nen Endgeräten zum Einsatz. Im Allgemeinen besteht ein Sprachassistent aus verschiedenen Softwarekomponenten, welche die Ausführung von Sprachbefehlen ermöglichen. Beispielswei-se können im Smart-Home-Bereich intelligen-te Geräte verbunden und durch Sprachbefehle gesteuert werden, im Arbeitsumfeld wird durch sprachbasierte Interaktion eine höhere Efﬁzienz erreicht – zum Beispiel, wenn Bedienelemente nicht durch die Hände betätigt werden können. Menschen mit körperlichen Einschränkungen bringt die sprachbasierte Interaktion eine Er-leichterung des Alltags.Die Kehrseite der Medaille: Datenschutzprob-leme und zum Teil auch Sicherheitsrisiken. So wurde beispielsweise ein Fall bekannt, wo sich Fremde über den Sprachassistenten Zutritt zu einem Haus verschafften.[2] Ziel des Projekts war die Entwicklung einer datenschutzfreundlichen Alternative zu cloudbasierten Sprachassistenten im Smart-Home-Umfeld, der die folgenden An-forderungen erfüllt: hohe Privatsphäre und Datenhoheit des Nutzers hohe Qualität der Spracherkennung auch ohne cloudbasierte Verarbeitung der Sprachdaten einwandfreie Funktionalität auch ohne Verbindung zum Internet In den folgenden Abschnitten geht es darum, wie diese Anforderung bei der Entwicklung wdes de-zentralen Sprachassistenten umgesetzt wurden.ARCHITEKTUR DES SPRACHASSISTENTENDer Sprachassistent wurde mit dem Rhasspy Framework entwickelt – ein Rahmensystem, das Schnittstellen für alle notwendigen Soft-warekomponenten eines Sprachassistenten zur Verfügung stellt. Dadurch wird eine einfache und schnelle Implementierung ermöglicht, ohne tiefes Grundwissen über die mathematischen Modelle von Spracherkennungsalgorithmen be-sitzen zu müssen.

Bild 2: Smart-Home-Architektur mit dem dezentralen Sprachassistenten 90 IT-SICHERHEIT_2/2022 Die Sprachbefehle werden von einem Mikrofon aufgenommen und mit dem Rhasspy Framework verarbeitet, wo unter anderem die Komponenten zur Sprach und Befehlserkennung integriert sind. Die erkannten Befehle werden dann an einen Webserver weitergeleitet, welcher sich um die Weiterleitung an die entsprechenden Dienste kümmert, sodass die Befehle ausgeführt werden können. Ein Beispiel ist das An oder Ausschalten einer SmartHomeLampe. Informationen, die von den Diensten bereitgestellt werden (zum Beispiel der Wetter und EMailDienst), gelangen zurück zu Home Assistant, wo aus den Informationen ein Satz für die Sprachausgabe erzeugt wird. Dieser Satz wird zurück an das Rhasspy Framework gesendet, um den Text in eine Audioausgabe umzuwandeln und ihn über die verbundenen Lautsprecher auszugeben.Dieser datenschutzfreundliche Sprachassistent kann auf einem Gerät im lokalen Netzwerk des Nutzers betrieben werden und benötigt keine Internetkonnektivität. Lediglich für internetbasierte Dienste ist eine Internetverbindung erforderlich. Hier kann der Nutzer aber selbstbestimmt entscheiden, welche Dienste er nutzen möchte und welche Daten er dadurch teilt. Diese Entwicklung hat gegenüber cloudbasierten Architekturen wie bei Alexa einige Vorteile: Die Daten und Befehle werden auf dem Gerät lokal verarbeitet und ausgeführt, sodass keine Übertragung durch das Internet zu einer Cloud notwendig ist. Die Privatsphäre und die Datenhoheit des Nutzers bleiben dadurch voll-ständig erhalten. Ebenso können auch Dienste, zum Beispiel für das Steuern von Smart-Home-Geräten über Home Assistant, lokal und ohne Internetkonnektivität betrieben werden. Trotz-dem besitzt der Nutzer mit diesem System die Freiheit und Flexibilität, internetbasierte Dienste nutzen zu können. Durch den Einsatz von Open-Source-Frameworks bleibt der Sprachassistent unabhängig von Service-Anbietern, die mög-licherweise ihre Dienste einstellen oder ihre Konditionen so ändern, dass sie für den Nutzer beispielsweise zu teuer werden.SPRACHERKENNUNG MIT KALDIDie Spracherkennung stellt die wichtigste Kom-ponente des Sprachassistenten dar. Die unter dem Rhasspy Framework empfohlene Spracher-kennungskomponente ist Kaldi – ein Open-Source-Toolkit für Automatic Speech Recognition (ASR), das nach Experimenten im Rahmen wis-senschaftlicher Arbeiten im Vergleich die beste Spracherkennung aufweist.[3] Alternativen sind zum Beispiel die ASR-Komponenten „Pocket-Sphinx“ oder „DeepSpeech“, die Rhasspy eben-falls unterstützt.Im Standard-Modus von Kaldi müssen die Be-fehle, die vom Sprachassistenten erkannt wer-den sollen, in einer Liste deﬁniert werden (in AUS FORSCHUNG UND TECHNIKForm einer Initiierungsdatei namens „sentences.ini“). Für bestimmte Anwendungsfälle ist eine feste Deﬁnition der Sätze und Formulierung nicht möglich, zum Beispiel für freie Notizen. Der Nutzer müsste sich auf vorformulierte Notizen beschränken – für diesen Zweck nicht praktika-bel. Für das notwendige Maß an Flexibilität kann Kaldi im „Open Transcription Modus“ betrieben werden, der durch ein deutlich größeres Sprach-modell eine freie Spracherkennung ermöglicht. Sätze müssen nicht mehr vorab deﬁniert wer-den. So muss sich der Nutzer später auch nicht an eine speziﬁsche Satzformulierung halten, damit der Sprachassistent die Befehle erkennen kann.Während auf dem Raspberry Pi die Spracherken-nung im Standard-Modus problemlos lief, konn-te der Open Transcription Mode aufgrund man-gelnder Rechenleistung dort nicht überzeugen. Nach dem Sprechen eines Befehls und dem da-rauffolgenden Beginn der Spracherkennung mit Open Transcription wurde der Raspberry Pi so stark ausgelastet, dass keine Interaktion mehr möglich war. Auf einem Rechner (Notebook) mit dem Intel i7-Prozessor ist die Spracherkennung im Open Transcription Modus hingegen prob-lemlos möglich.HOHE QUALITÄT DER SPRACHERKENNUNGZur Bewertung der Qualität der Spracherken-nung muss diese gemessen werden können. Die allgemeine Methodik zur Evaluation der Spracherkennung ist die Berechnung der Word Error Rate (WER), also des Anteils nicht erkann-ter Wörter in einem Satz. Die Spracherkennung wird hierbei auf Audiodateien mit hoher pho-netischer Variabilität angewendet, zum Beispiel verschiedene Stimmen, Aussprachen und Dia-lekte, die in einem Sprachkorpora bereitgestellt werden (zum Beispiel „TIMIT Corpus”: 2342 Sät-ze, 630 Sprecher, 8 Dialekte).EVALUIERUNG DES STANDARDMODUSZur Evaluierung der Qualität der Spracherken-nung mit Kaldi wurde die WER im Standard-modus und im Open-Transcription-Modus er-mittelt und verglichen. Hierzu wurden dreizehn WAV-Dateien mit Befehlen (aus sentences.ini) aufgenommen und in Rhasspy zur Verarbeitung hochgeladen. Tabelle 1 zeigt die Ergebnisse des Standardmodus.

Nr. Erwarteter Satz Stelle meinen wecker auf elf uhr neunundfünfzig Spiele das Lied Sonne von Rammstein Ergebnis stelle meinen wecker auf elf uhr neunundfünfzig spiele das lied sonne von rammstein 1 2 3 4 5 6 Ich möchte das Lied Hamma von Culcha Candela hören Abweichung: Culcha Candela und Hamma sind nicht als Slot-Werte deﬁniert ich möchte das lied sonne von kalt schalte sunshine live hören Ich möchte das Lied 99 Luftballons von Nena hören Abweichung: Nena und 99 Luftballons sind nicht als Slot-Werte deﬁniert Ich möchte 1 Live hören Ich möchte das Radio 1 Live hören Abweichung: „Ich möchte <radiosender> hören“ – „das Radio“ ist nicht im Template der sentences.ini deﬁniert ich möchte das lied neun- undneunzig lied sonne von live hören ich möchte eins live hören ich möchte das radio eins live hören 7 Wie viele Mails habe ich wie viele mails hab ich Abweichung: „Wie viele Mails hab ich“ ist im Template der sentences.ini deﬁniert 8 Wie viele neue Mails hab ich 9 Wie wird das Wetter morgen 10 Wie wird das Wetter in 3 Tagen Abweichung: „in 3 Tagen“ ist nicht in einem Slot deﬁniert 11 Wie spät ist es 12 Wie kalt ist es 13 Schalte die Wohnzimmer Lampe ein wie viele neue mails hab ich wie wird das wetter morgen wie wird das wetter im dreizehn wir wie spät ist es wie kalt ist es schalte die wohnzimmer lampe ein WER 0 0 0.56 0.33 0 0 0 0 0 0.43 0 0 0 Tabelle 1: Ergebnisse der Spracherkennung im Standardmodus ERGEBNIS 0.10 Nr. Erwarteter Satz Ergebnis 1 2 3 4 5 6 stelle meinen wecker auf elf uhr neun- undfünfzig stelle meinen wecker auf elf uhr neun- undfünfzig Spiele das Lied Sonne von Rammstein spiele das lied sonne von ramstein Ich möchte das Lied Hamma von Culcha Candela hören ich möchte das lied hammer von kahl- schlag mandela hören Ich möchte das Lied 99 Luftballons von Nena hören ich möchte das lied neunundneunzig luft balance von nina hören Ich möchte 1 Live hören ich möchte das radio eins live fördern Ich möchte das Radio 1 Live hören ich möchte eins live hören 7 Wie viele Mails habe ich wie viele mails hab ich 8 Wie viele neue Mails hab ich wie viele neue mails habe ich 9 Wie wird das Wetter morgen wie wird das wetter morgen WER 0 0 0.56 0.33 0 0 0 0 0 10 Wie wird das Wetter in 3 Tagen wie wird das wetter in drei tagen 0.43 11 Wie spät ist es 12 Wie kalt ist es wie spät ist es wie kalt ist es 13 Schalte die Wohnzimmer Lampe ein schalte die wohnzimmer lampe ein 0 0 0 ERGEBNIS 0.10 Tabelle 2: Ergebnisse der Spracherkennung mit Open Transcription IT-SICHERHEIT_2/2022 91 Für die Befehle Nummer 2 bis 4 wurden Slots (variable Bereiche für Worte in einem Satz) für Interpreten und Musiktitel deﬁniert, welche die Werte „Rammstein“ und „Sonne“ enthalten. Dies erklärt, wieso nur Befehl Nr. 2 im Gegensatz zu Nr. 3 und 4 korrekt erkannt wird. Die Interpre-ten „Culcha Candela“ und „Nena“ sind nicht als Werte in den Slots hinterlegt und werden nicht erkannt. Interessant ist, dass Rhasspy versucht, anhand bekannter Wörter aus der sentences.ini das Gesprochene zu transkribieren: Culcha Candela wird mit „kalt schalte sunshine live“ transkribiert, eine Mischung aus den Sätzen „wie kalt ist es“, dem Slot „radiosender“ mit dem Wert „sunshine live“ und „schalte <radiosender> an“. Anstelle des Musiktitels „Hamma“ wird der bekannte Wert „Sonne“ transkribiert, ein Wert des Slots „song“.Befehle Nr. 3, 4, 6, 7 und 10 (grau markiert) ent-halten minimale Abweichungen von den deﬁ-nierten Befehlen in der sentences.ini, die in der Tabelle in kursiv unter dem erwarteten Satz be-schrieben sind. Nr. 6 und Nr. 7 werden korrekt er-kannt, wobei auffällig ist, dass es sich bei diesen um Sätze mit minimal abweichenden Wörtern handelt. Nr. 3, 4 und 10 enthalten unbekannte Werte für Slots, die nicht erkannt werden.Aus den Ergebnissen lässt sich schließen, dass Rhasspy die in der sentences.ini deﬁnierten Sät-ze ohne Open Transcription sehr gut erkennen kann und auch mit minimal abweichenden Wör-tern umgehen kann. Bei unbekannten Wörtern wie „Hammer“, „Luftballons“ und „in 3 Tagen“ aus den Befehlen Nr. 3, 4 und 10 wird das Unbe-kannte versucht, mit bekannten Wörtern aus der sentences.ini und den Werten der Slots zu tran-skribieren, was zu einer hohen WER führt. EVALUIERUNG DES OPEN-TRANSCRIPTION-MODUSDie Ergebnisse der freien Spracherkennung im Open-Transcription-Modus sind in Tabelle 2 dargestellt.Die Ergebnisse zeigen, dass die Spracherken-nung mit Open Transcription basierend auf den gesprochenen Testbefehlen eine bessere Sprach erkennung mit einer Gesamt-WER von nur 3 Prozent liefert. Nur Befehl Nr. 3 und 4 weisen eine WER von 22 Prozent auf, die jedoch im Vergleich zu den Ergebnissen des Standard-Modus (56 Prozent und 33 Prozent) deutlich niedriger ist.AUS FORSCHUNG UND TECHNIK

Des Weiteren ähnelt der Klang des Ergebnisses von Befehl Nr. 3 im Open-Transcription-Modus („ich möchte das lied hammer von kahlschlag mandela hören“) dem erwarteten Satz („Ich möchte das Lied Hamma von Culcha Candela hören“) mehr, als das Ergebnis des Standardmo- dus („ich möchte das lied sonne von kalt schalte sunshine live hören“). Auch die WER zeigt im Open-Transcription-Modus eine deutliche Ver- besserung, was anhand der Graﬁk zum Befehl Nr. 4 sichtbar wird (Bild 3). Bild 3: Verbesserung der Qualität der Spracherken- nung durch Open Transcription Zusammenfassend zeigt die Spracherkennung mit Open Transcription sehr gute Ergebnisse und ermöglicht durch die Erkennung von unbekann- ten Worten eine deutlich höhere Flexibilität, als im Standardmodus. Hierdurch wird die Anfor- derung (3) einer einwandfreien Funktionalität zum Teil erfüllt. Durch die Evaluierung konnte herausgefunden werden, dass der Betrieb von Kaldi im Open Transcription bessere Ergebnisse liefert und weniger Aufwand produziert als der Standardmodus. Zur Erkennung englischer Musiktitel und Kunst- wörter (zum Beispiel „Culcha Candela“) muss das Sprachmodell von Rhasspy erweitert werden. Für eine alltägliche deutsche Sprache reicht die Spracherkennung jedoch aus. Zur weiteren Op- timierung der Open-Transcription-Spracherken- nung können folgende Maßnahmen vorgenom- men werden: Konﬁguration der Kaldi Parameter Sprachmodell verbessern (zum Beispiel durch Audioaufnahme optimieren (zum Beispiel durch ein besseres Mikrofon) EINWANDFREIE FUNKTIONALITÄT Für eine einwandfreie Funktionalität muss der Sprachassistent die Befehle problemlos ausfüh- ren können. Das bedeutet, der lokale Sprachas- sistent muss in der Lage sein, die Befehle fehler- frei zu erkennen und umzusetzen. Der Aufwand zur Gewährleistung einer einwandfreien Funkti- onalität sollte verhältnismäßig sein. Die Erkennung der Befehle hängt von der Ge- nauigkeit der Spracherkennungs-Komponente und der verwendeten Software ab. In Rhasspy kann die Software „Fsticuffs“ zur Befehlser- kennung verwendet werden, welche die Bi- bliothek rhasspy-nlu nutzt und nur die Be- fehle erkennen kann, auf die Rhasspy mit der sentences.ini trainiert wurde. Eine Alternative hierfür ist „ RasaNLU“, ein Tool, das auf Machi ne Learning basiert und anhand von trainierten Mustern Befehle erkennen kann. Im Gegensatz zu Fsticuffs müssen für RasaNLU ein eigener Server aufgesetzt sowie Muster deﬁniert und trainiert werden. Dadurch steigt zwar der Auf- wand, aber auch die Befehlserkennung erlangt ein größeres Maß an Freiheit, die Sätze und Slots müssen also nicht fest deﬁniert sein, da durch die Mustererkennung auch aus unbekannten Sätzen Befehle und Slots extrahiert werden können. Tabelle 3 zeigt die Ergebnisse der Befehlserken- nung mit Fsticuffs, basierend auf der Spracher- kennung im Standardmodus. Insgesamt wur- den in 9 von 13 Fällen die Befehle erkannt. Die Befehle und Slots ohne Abweichungen wurden in 8 von 8 Fällen erkannt. In den 5 Fällen mit minimalen Abweichungen von den deﬁnier- ten Sätzen kam es jedoch zu Problemen bei der Nr. Umgewandelter Text Befehl erkannt Erkannte Slots 1 2 3 4 5 6 7 8 9 stelle meinen wecker auf elf uhr neun- undfünfzig Spiele das Lied Sonne von Rammstein Ja Ja 2/2 (elf, neunundfünzig) 2/2 (Sonne, Rammstein) Ich möchte das Lied Hamma von Culcha Candela hören Ich möchte das Lied 99 Luftballons von Nena hören Nein 0/2 (Hamma, Culcha Candela) Nein 0/2 (99 Luftballons, Nena) Ich möchte 1 Live hören Ich möchte das Radio 1 Live hören Ja Ja Wie viele Mails habe ich Nein 1/1 (1 Live) 0/1 (1 Live) „das Radio“ statt “1 Live“ wurde als Slot „radiosender“ erkannt, was auf die Satzstellung zurückzuführen ist, in dem Template folgt nach „ich möchte“ der Radiosender Keine Abweichung: „hab“ statt „habe“ deﬁniert Wie viele neue Mails hab ich Wie wird das Wetter morgen Ja Ja Keine 1/1 (morgen) 10 Wie wird das Wetter in 3 Tagen Nein 0/1 (in 3 Tagen) 11 12 13 Wie spät ist es Wie kalt ist es Schalte die Wohnzimmer Lampe ein Ja Ja Ja Keine Keine 2/2 (Wohnzimmer Lampe, ein) ERGEBNIS 9/13 8/13 Anpassung des Aussprache-Wörterbuchs) Tabelle 3: Ergebnisse der Befehlserkennung mit Fsticuffs 92 IT-SICHERHEIT_2/2022 AUS FORSCHUNG UND TECHNIK

Erkennung: In nur einem Fall konnte der Befehl erkannt werden, aus den Slots hingegen wur de kein einziger Wert erkannt. Bei Befehl Nr. 6 wurde der Ergebnisslot mit dem falschen Wert gefüllt, was sich auf die Satzstellung in der sen tences.ini zurückführen lässt. Tabelle 4 zeigt die Ergebnisse der Testversuche mit RasaNLU mit den gleichen Befehlen, die für Fsticuffs verwendet wurden. Die Befehle wurden mit RasaNLU in 13 von 13 Fällen korrekt erkannt und auch die Slots wurden immer richtig befüllt. Die Interpreten „Culcha Candela“ und „Nena“ wurden zwar nicht korrekt transkribiert, im Ge gensatz zu Fsticuffs konnte RasaNLU aber genau die Wörter, welche die Interpreten bestimmen, dem entsprechenden Slot zuordnen (siehe Be fehl Nr. 3 und 4). Auch die Befehle Nr. 6 und 7 konnte RasaNLU im Gegensatz zu Fsticuffs korrekt erkennen und „1 Live“ dem Slot „radiosender“ zuordnen. Befehl Nr. 1, 9 und 10 zeigen die Vorteile von „Pipelines“, eine erweiterte Funktionalität von RasaNLU: Die „Duckling Pipeline“ ermöglicht die Extrahierung von Daten, Zeiten und Zeitdauern. In dem Satz „Regnet es morgen“ erkennt diese beispielswei se das Stichwort „morgen“ und stellt über den Slot „day“ das entsprechende Datum in Form eines Zeitstempels bereit, die zum Beispiel für Anfragen gegen eine WetterAPI (Programmier schnittstelle) verwendet werden können. Zusammenfassend lässt sich durch die Evalu ierung sagen, dass die Befehlserkennung mit RasaNLU zusammen mit der Spracherken nung im Open Transcription Mode sehr gute Ergebnisse liefert und die Anforderung einer Nr. Umgewandelter Text Befehl erkannt Erkannte Slots 1 2 3 4 5 6 7 8 9 stelle meinen wecker auf elf uhr neun undfünfzig Spiele das Lied Sonne von Rammstein Ich möchte das Lied Hamma von Culcha Candela hören Ich möchte das Lied 99 Luftballons von Nena hören Ich möchte 1 Live hören Ich möchte das Radio 1 Live hören Wie viele Mails habe ich Wie viele neue Mails hab ich Wie wird das Wetter morgen 10 Wie wird das Wetter in 3 Tagen 11 12 13 Wie spät ist es Wie kalt ist es Schalte die Wohnzimmer Lampe ein Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja 1/1 Richtiger Timestamp wurde extra- hiert mit der Duckling Pipeline 2/2 (Sonne, Rammstein) 2/2 (Hamma, Culcha Candela) Es wurde „hammer“ in den Slot „song“ und „kahlschlag mandela“ in den Slot „interpret“ gefüllt 2/2 (99 Luftballons, Nena) Es wurde „neunundneunzig luft balance“ in den Slot „song“ und „nina“ in den Slot „interpret“ gefüllt 1/1 (1 Live) 1/1 (1 Live) Keine Keine 1/1 (morgen) Richtiger Timestamp wurde extra- hiert mit der Duckling Pipeline 1/1 (in 3 Tagen) Richtiger Timestamp wurde extra- hiert mit der Duckling Pipeline Keine Keine 2/2 (Wohnzimmer Lampe, ein) Tabelle 4: Ergebnisse der Befehlserkennung mit RasaNLU ERGEBNIS 13/13 13/13 hohen Qualität und einwandfreien Funktio nalität auch ohne Internetkonnektivität und cloudbasierte Spracherkennung erfüllt. Für die Umsetzung der Befehle müssen entsprechende Softwarekomponenten an den Sprachassisten ten angebunden werden. Die Integration von SmartHomeFunktionalitäten wurde mit dem „Home Assistant“Framework realisiert, wel ches Schnittstellen für viele SmartHomeGe räte und Dienste zur Verfügung stellt. Zudem erkennt Home Assistant Sensoren und Kom munikationsprotokolle im Umfeld und bindet sie automatisch ein. Des Weiteren lassen sich über Rhasspy auch beliebige andere Dienste an den Sprachassistenten anbinden. Dies wurde in dem internen Forschungsprojekt anhand eines Wetter, EMail und MusikstreamingDienst gezeigt, auf die im nachfolgenden Abschnitt ge nauer eingegangen wird. HOHE PRIVATSPHÄRE UND DATENSCHUTZ Der dezentrale Sprachassistent schützt die Privatsphäre, da er keine Daten zur Spracher kennung an einen externen Server oder in eine Cloud sendet. Daher wird auch die Spracher kennung auf dem Gerät lokal durchgeführt. Die Integration von SmartHomeGeräten benötigt ebenfalls keine Cloudanbindung – sie funktio niert im lokalen Netzwerk des Betreibers. Kom munikation ﬁndet nur innerhalb des Netzwerks im Home statt. Weiterhin ist für eine hohe Privatsphäre wich- tig, nur Smart-Home-Geräte zu integrieren, die ohne Internetkonnektivität betrieben werden können.[4] Die Nutzung internetbasierter Dienste ist somit die einzige Schnittstelle, über die Daten nach außen gelangen können. Hierzu müssen die Dienste vor der Anbindung hinsichtlich der Datennutzung analysiert und verglichen werden, um die datenschutzfreundlichste Alternative zu wählen. Des Weiteren müssen Dritte aus der An- bindung ausgeschlossen werden, was besonders bei der zentralen Authentiﬁzierung mithilfe von ID-Providern eine wichtige Rolle spielt. Um dem Nutzer einen schnellen Zugriff auf einen Dienst mit möglichst geringem Aufwand zu ermögli- chen, wird häuﬁg eine Anmeldung über ID-Pro- vider wie Google oder Facebook angeboten. Um das hohe Maß an Privatsphäre des lokalen Sprachassistenten aufrecht zu erhalten, sollte diese Möglichkeit jedoch vermieden werden (Bild 4). Drittanbieter können „mitlesen“ und IT-SICHERHEIT_2/2022 93 AUS FORSCHUNG UND TECHNIK

Um die Qualität der Spracherkennung mit Open Transcription zu verbessern, kann das zugrunde liegende Sprachmodell erweitert und ange passt werden. Für kleinere Anwendungsfälle, bei denen eine feste Deﬁnition der Formulierun- gen von Befehlen ausreicht, eignet sich auch die Spracherkennung im Standardmodus. Um die Funktionalität des zu erweitern, müssen in einer weiterführenden Arbeit Anwendungs- fälle untersucht werden. Es gilt herauszuﬁn- den, welche Dienste und Geräte die Nutzer in einzelnen Anwendungsgebieten benötigen. Der Aufwand zur Implementierung ist abhängig von den jeweiligen Diensten. Da der Prototyp aber bereits als Grundgerüst verwendet werden kann, deﬁniert sich der Aufwand lediglich durch die Zeit zur Implementierung oder datenschutz- freundlichen Anbindung der Dienste an den lo- kalen Sprachassistenten. n TATJANA HÜSCH studiert im Master Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und beschäftigt sich im Rahmen des Studiums mit dezentralen Sprachassistenten. NORBERT POHLMANN, Informatikprofessor für Cybersicher- heit und Leiter des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsen- kirchen sowie Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes – eco. Bild 4: Datenfluss bei lokalen und cloudbasierten Sprachassistenten erhalten durch den Authentiﬁzierungsdienst Informationen über die vom Nutzer verwende- ten Dienste und damit auf die Interessen des Nutzers. Außerdem wird der Drittanbieter durch jede Authentiﬁzierung informiert, wann und wie oft der Nutzer einen Service nutzt. Möglicher- weise erhält dieser sogar das Recht, Anfragen mitzulesen und Details über den Nutzer und sein Verhalten zu erlangen. Aus diesem Grund ist es wichtig, dass für eine hohe Privatsphäre keine Drittanbieter-Authentiﬁzierung genutzt wird und für jeden Dienst ein eigener Account ver- wendet wird. So werden die von den Diensten gesammelten Daten abgekapselt und nur für den jeweiligen Zweck des Dienstes verwendet. Um zu zeigen, wie internetbasierte Dienste mit einer hohen Privatsphäre angebunden werden können, wurden im Forschungsprojekt drei internetbasierte Dienste an den dezentralen Sprachassistenten angebunden: Datenschutzfreundlicher Dienst: Wetterdienst ohne Nutzerauthentiﬁzierung und -tracking, Datenschutzfreundliche Anbindung: Anbin- dung eines E-Mail-Dienstes über das IMAP- Protokoll, statt Mail-APIs (zum Beispiel Google Mail), um keine Dritten in die Mailabfrage zu involvieren. Datenschutzfreundliche Implementierung: Implementierung eines datenschutzfreund- lichen Musikstreaming-Dienstes mit „You- Tube-dl“, ein Open Source Projekt, das ohne Nutzerauthentiﬁzierung und -tracking Videos anhand der URL abspielen kann und über die Kommandozeile durch den Sprachassistenten aufgerufen wird. Eine eigene lokale Implementierung der Funk- tionen bietet sich an, insofern sich der Dienst ohne großen Verlust an Funktionalität nach- bauen lässt. Anhand der eigenen Implemen- tierung des Musikstreamings lassen sich die Differenzen im Vergleich zu internetbasierten Diensten wie Spotify leicht erklären. Spotify kann durch die Speicherung der Daten des Nut- zers einen komfortableren Dienst mit vielen verschiedenen Funktionalitäten ermöglichen, zum Beispiel das Favorisieren von Musiktiteln, die Erstellung von Playlists und Musikvorschlä- ge. Hingegen kann der lokale Dienst lediglich einen Musiktitel suchen und abspielen. Der Aufwand, eine gleichwertige lokale Alternative zu implementieren, ist sehr hoch, weshalb hier zwischen dem Maß an Funktionalität und dem gewünschten Datenschutzniveau abgewogen werden muss. FAZIT Der entwickelte dezentrale Sprachassistent er- möglicht eine hohe Privatsphäre des Nutzers, eine einwandfreie Funktionalität und eine hohe Qualität der Spracherkennung. Literatur [1] J.-H. Frintrop, N. Pohlmann: „Alexa, wie sicher bist du? – Intelligente Sprachsteuerung unter der Lupe“, IT-Sicherheit – Fachmagazin für Informationssicherheit und Compliance, DATAKONTEXT-Fachverlag, 6/2017 [2] N. Pohlmann: „Cybersicherheit - Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cybersicherheitssystemen in der Digitalisierung“ 2. Auﬂage, Springer Vieweg Verlag, Wiesbaden 2022 [3] D. Gaida, P. Lange, R. Petrick, P. Proba, A. Malatawy, D. Suendermann-Oeft: „Comparing Open-Source Speech Recognition Toolkits“, 11th International Workshop on Natural Language Processing and Cognitive Science, 2014 [4] N. Pohlmann: „Chancen und Risiken von Smart Home“, DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation, Vieweg Verlag, 2/2021 94 IT-SICHERHEIT_2/2022 AUS FORSCHUNG UND TECHNIK

k c o t S e b o d A , a v o k h s e p : o t o F Der einfache Weg zum organisierten Datenschutz! Datenschutz Manager Der Experte an Ihrer Seite! ✓ webbasiert, On Premise oder PC-/Laptop Installation ✓ professionelle Schritt-für-Schritt Anleitung mit vielen Vorlagen ✓ einfaches Erfassen und Dokumentieren aller Datenschutzmaßnahmen ✓ effektive Zusammenarbeit aller verantwortlichen Stellen ✓ besonders für externe DSBs geeignet: Alle Mandanten in einem System Jetzt informieren: www.DataAgenda.de/datenschutzmanager powered by

IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT Pflichten aus den neuen Standardvertragsklauseln bei der Übermittlung von personenbezogenen Daten in Nicht-EU-Staaten DAS TRANSFER IMPACT ASSESSMENT (TIA) D ie Anforderungen aus den SCC sind an- spruchsvoll und setzen eine sorgfältige Prü- fung voraus. Insbesondere wird von den Ver- tragsparteien der SCC die Durchführung eines Transfer Impact Assessments verlangt. Im Folgenden zeigen wir, worauf es bei der Durchführung eines TIA ankommt. VORAUSSETZUNGEN FÜR RECHTMÄSSIGE DRITTLAND- ÜBERMITTLUNGEN Die rechtlichen Voraussetzungen für Drittlandübermitt- lungen von personenbezogenen Daten finden sich in Art. 44 ff. DS-GVO. Übermittlung meint dabei jede Of- fenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationa- len Organisation. Unter Offenlegung kann insbesondere die physische Übermittlung, aber auch bereits das Zu- gänglichmachen der Daten zugunsten Dritter verstan- den werden. Für Letzteres reicht dann beispielsweise der Zugriff auf einen Server aus. Falls kein Angemessenheits- beschluss nach Art. 45 DS-GVO vorliegt, können perso- nenbezogene Daten an ein Drittland übermittelt werden, sofern der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den be- troffenen Personen durchsetzbare Rechte und wirksa- me Rechtsbehelfe zur Verfügung stehen. Die SCC gemäß Art. 46 Abs. 2 lit. c DS-GVO stellen unter anderem eine 96 IT-SICHERHEIT_2/2022 Datentransfers in Drittländer stellen die Realität der arbeitsteiligen digitalen Welt dar. Viele europäische Unternehmen greifen daher auf US-Dienstleister wie Google & Co. und deren angebotenen Dienste zurück. Bis zum Schrems II-Urteil des EuGH im Juli 2020 ermöglichte das EU-US-Privacy Shield, als Angemessenheitsbeschluss, die rechtmäßige Datenüber mitt-lung von der Europäischen Union an zertifizierte Unternehmen in den USA. Nachdem das Privacy Shield vom EuGH für ungültig erklärt wurde, sah sich die Europäische Kommission gehalten, neue Standardvertragsklauseln (SCC) zu verabschieden, die ebenfalls eine Datenübermittlung in Drittländer, also auch in die USA, absichern sollen. Die neuen SCC berücksichtigen das Schrems II-Urteil und erlegen den Beteiligten deshalb über den bloßen Vertragsschluss hinaus weitere Pflichten auf, wie etwa die Durchführung eines Transfer Impact Assessments (TIA).

solche geeignete Garantie dar. Durch wirksame Imple- mentierung der SCC zwischen den Beteiligten beim in- ternationalen Datentransfer wird sichergestellt, dass das für Daten innerhalb der Europäischen Union geltende Schutzniveau nicht unterlaufen wird. Weitere geeignete Garantien finden sich in Art. 46 DS-GVO. Wenige Aus- nahmen, die eine Übermittlung auch ohne Angemessen- heitsbeschluss oder geeignete Garantien erlauben, sind in Art. 49 DS-GVO normiert. DIE DURCHFÜHRUNG DES TIA Die Durchführung eines TIA ist in Klausel 14 der neuen SCC vorgeschrieben. Die Parteien sichern zu, die Pflich- ten aus den SCC erfüllen zu können (vgl. Klausel 14.1 der SCC). Die SCC können jedoch nicht eingehalten werden, wenn die Rechtsvorschriften und Gepflogenheiten des Drittstaats die Grundrechte der europäischen Grund- rechte-Charta und Grundfreiheiten der europäischen Verträge missachten und über Maßnahmen hinausge- hen, die in einer demokratischen Gesellschaft notwen- dig und verhältnismäßig sind, um eines der in Art. 23 Abs. 1 DS-GVO aufgeführten Ziele sicherzustellen. Daher haben die Parteien vorab die Rechtsvorschriften und Gepflogenheiten im Drittland zu prüfen. Im Kern geht es darum, zu prüfen, ob im Drittstaat angemessene Verfah- rensgrundsätze bestehen, die den behördlichen Zugriff auf die Daten regeln. Um feststellen zu können, ob die Parteien einen Grund zur Annahme haben, dass Daten- importeure geltenden Rechtsvorschriften und Gepflo- genheiten im Bestimmungsdrittland unterliegen, die mit den übrigen SCC nicht vereinbar sind, wird eine Risiko- überprüfung des Datenschutzniveaus für die konkret zu übertragenden Daten in ein Drittland vorgenommen. Wer muss ein TIA durchführen? Die Pflicht ein TIA durchzuführen, trifft grundsätzlich alle Vertragsparteien der SCC. Die SCC wurden von der Kommission in vier Varianten, sog. Modulen, veröffent- licht. Diese vier Module decken die Konstellationen ab, dass Verantwortliche oder Auftragsverarbeiter jeweils mit Sitz in der EU Daten an Verantwortliche oder Auf- tragsverarbeiter mit Sitz in einem Drittland übermitteln. Als Unternehmen ist man im Sinne der DS-GVO Verant- wortlicher, wenn man allein oder gemeinsam mit an- deren über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Unternehmen gelten als Auftragsverarbeiter, wenn sie personenbezo- gene Daten im Auftrag des oder der Verantwortlichen verarbeiten. Darüber hinaus sind die Begrifflichkeiten der Daten- exporteur und der Datenimporteur von Bedeutung. In Klausel 1 lit. b der SCC finden sich Legaldefinitionen zu diesen Begriffen. Datenexporteur ist demnach jede in Klausel 1 lit. b, Ziffer i der SCC aufgeführte Einrich- IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT Die Pflicht ein TIA durch- zuführen, trifft grund sätz- lich alle Vertrags parteien der SCC. Die SCC wurden von der Kommission in vier Varianten, sogenannten Modulen, veröffentlicht. tung, die die personenbezogenen Daten übermittelt. Datenimporteur ist jede aufgeführte Einrichtung in ei- nem Drittland, die die personenbezogenen Daten direkt oder indirekt von einer Partei der SCC erhält. Ein TIA muss grundsätzlich bei allen vier Modulen durchgeführt werden. Einzig in der Konstellation, dass ein Auftrags- verarbeitender mit Sitz in der EU an einen Verantwort- lichen mit Sitz im Drittland übermitteln möchte (SCC Modul IV), braucht es ein TIA nur, „wenn der in der EU ansässige Auftragsverarbeiter die von dem im Drittland ansässigen Verantwortlichen erhaltenen personenbezoge- nen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden.“ RECHTLICHE GRUNDLAGE FÜR DAS TIA Die Aspekte, die bei einem TIA berücksichtigt werden müssen, finden sich in nicht abschließender Auflistung in Klausel 14 lit. b der SCC. Demnach sichern die Partei- en zu, dass keine Rechtsvorschriften oder Gepflogenhei- ten im jeweiligen Drittland im Widerspruch zu den SCC stehen und dass insbesondere die folgenden Aspekte gebührend berücksichtigt wurden: i) die besonderen Umstände der Übermittlung, ein- schließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwende- ten Übertragungskanäle, beabsichtigte Datenwei- terleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten, ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (ein- schließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zu- gang von Behörden zu diesen Daten gestatten) so- wie die geltenden Beschränkungen und Garantien, IT-SICHERHEIT_2/2022 97

IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT 98 IT-SICHERHEIT_2/2022 Es ist zudem dringend zu empfehlen, dass Daten exporteur und -importeur zusammen- arbeiten, um das TIA durchzuführen. Leistungsumfang: Es sollte zum Beispiel das Produkt oder die Dienstleis- tung angegeben werden. Das könnten auch verwendete Funktionen eines Tools sein. Damit soll der Grund der Datenübermittlung umschrieben werden. Neubewertung: Das TIA sollte regelmäßig, nach einem angemessenen Zeitraum, überprüft werden. Sinnvoll erscheint eine zu- mindest jährliche Überprüfung. Eine unverzügliche Wie- derbewertung muss erfolgen, wenn Datenimporteure Grund zur Annahme haben, dass für sie Rechtsvorschrif- ten oder Gepflogenheiten gelten, die im Widerspruch zu den SCC stehen oder wenn sich die Aspekte, welche die Grundlage der Bewertung bildeten, ändern. Dann be- steht akuter Handlungsbedarf, um sicherzustellen, dass das Ergebnis des TIA den aktuellen Zustand wiedergibt. 2. Klausel 14 lit. b Ziffer i der SCC: die besonderen Umstände der Übermittlung Art der Datenübertragung: Zur Betrachtung der Datenübertragung gehört zum einen die Bestimmung der Art des Empfängers. Hier müsste die datenempfangende Einheit, also zum Bei- spiel eine Marketingagentur, ein Cloud-Anbieter, eine IT-Agentur oder ein Online-Shop, genannt werden. Zum anderen sollte auch der Wirtschaftszweig, in dem die Übertragung erfolgt, also zum Beispiel der Finanzsektor oder der Telekommunikationszweig, angegeben werden. Schließlich sollte der Zweck der Verarbeitung möglichst detailliert angegeben werden. Dieser könnte beispielhaft in der Planung und Durchführung von E-Mail-Newslet- ter-Kampagnen bestehen oder in der Durchführung von Videokonferenzen mit Screensharing-Aufzeichnungs- funktionen. Die konkreten Zwecke sollten so genau wie möglich angegeben werden und mit konkreten Beispie- len untermauert sein. Kategorien und Format der personenbezogenen Daten: Es ist sinnvoll, alle Kategorien der von der Übermitt- lung betroffenen personenbezogenen Daten in einer iii) alle relevanten vertraglichen, technischen oder or-ganisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wur-den, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personen-bezogener Daten im Bestimmungsland angewandt werden.DIE PRAKTISCHE DURCHFÜHRUNG EINES TIAFür die genauere Betrachtung, worauf es bei den einzel-nen Aspekten ankommt, können und sollten die Emp-fehlungen des European Data Protection Board (EDPB) 1/2020 herangezogen werden. Ein TIA kann beispiels-weise in Form eines Fragebogens, der alle relevanten Aspekte abfragt, durchgeführt werden. Zu dessen Be-antwortung schreibt Klausel 14 lit. c der SCC vor, dass der Datenimporteur sich nach besten Kräften bemüht, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen. Es ist zudem dringend zu empfeh-len, dass Datenexporteur und -importeur zusammen-arbeiten, um das TIA durchzuführen. Für den Aufbau eines TIA gibt es unterschiedliche Herangehensweisen. In strukturierter Form sollten die einzelnen Aspekte des TIA abgefragt werden. Dafür bietet sich folgender Auf-bau an.In einem allgemeinen Teil sollte die Datenverarbeitung beschrieben werden. Im Anschluss sollten die besonde-ren Umstände der Übermittlung dargestellt werden. Da-nach bietet es sich an, die relevanten Rechtsvorschriften und Gepflogenheiten im Drittland abzufragen. Außer-dem sollten die zusätzlichen Garantien und schließlich das Ergebnis abgebildet werden.1. Beschreibung der DatenverarbeitungDie genaue Benennung von Datenexporteur und -importeur:Zunächst sollten detaillierte Angaben zu den Akteuren gemacht werden. Dazu zählen zum Beispiel die Fir-mierung und Rechtsform sowie die Differenzierung, ob Akteure als Auftragsdatenverarbeiter oder Verantwortli-cher auftreten.Grundlage für den Datentransfer nach Art. 44 ff. DS-GVO:Weiterhin sollten die rechtlichen Voraussetzungen für die Datenübermittlung gemäß Art. 44 ff. DS-GVO ange-geben werden. Das können die SCC nach dem Beschluss 2021/914 sein. Soweit die SCC rechtliche Grundlage für die Übermittlung sind, sollte auch das jeweilige ein-schlägige Modul angegeben werden. Das TIA gehört als Dokumentation zu einem bestimmten abgeschlossenen Modul.

IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT Liste festzuhalten. Dabei sollten einerseits die Arten der betroffenen Personen, also zum Beispiel Mitarbeiter, Kunden oder Dritte qualifiziert werden. Andererseits sollten die Arten der übermittelten Daten festgehalten werden, also zum Beispiel E-Mail-Adressen, IP-Adressen, Namen oder sonstige Daten. Ebenso sollte für die Bewer- tung festgelegt werden, in welchem Format die perso- nenbezogenen Daten übermittelt werden und ob dies anonymisiert oder pseudonymisiert oder verschlüsselt geschieht (einschließlich der Art der Verschlüsselung). Soweit sensible Daten, zum Beispiel Gesundheitsdaten oder Daten, aus denen die rassische oder ethische Her- kunft hervorgeht, transferiert werden sollen, sollten sie als solche bezeichnet werden. Übertragungskanäle, Verarbeitungskette und Speicherort: Das TIA sollte außerdem die Übertragungskanäle, die im Rahmen der Datenübermittlung genutzt werden, beschreiben. Darunter fällt zum Beispiel die Art der Ver- schlüsselung aller Daten während der Übertragung. Für die Darstellung von Dienstleisterketten ist es sinnvoll, eine Liste aller beteiligten Akteure und Parteien ins TIA aufzunehmen. Davon umfasst werden sollten dann auch Absichten von Datenimporteuren, die Daten an Unter- auftragsverarbeiter oder ähnliche nachgelagerte Emp- fänger weiterzuleiten. Zu berücksichtigen ist ebenfalls die Frage nach dem Speicherort. Dabei geht es regel- mäßig darum, ob die Daten in einem Rechenzentrum außerhalb der EU oder des Europäischen Wirtschafts- raumes (EWR) gespeichert werden. Sollte außerhalb der EU oder des EWR gespeichert werden, ist es angebracht, die Länder, in denen die Daten gespeichert werden, zu nennen. Es sollte genau differenziert werden, ob von ei- nem Drittland aus nur auf die in der EU bzw. dem EWR gespeicherten Daten zugegriffen wird, oder ob Datenim- porteure die Daten in dem Drittland verarbeiten. Kommt es zu einem bloßen Zugriff, sollte das technische Mittel dafür im TIA angegeben werden. 3. Klausel 14 lit. b Ziffer ii der SCC: die relevanten Rechtsvorschriften und Ge pflo- gen heiten des Bestimmungsdrittlandes Es müssen die Gesetze und Gepflogenheiten untersucht werden, denen Datenimporteure unterliegen und die auf die spezifische Art der übermittelten personenbe- zogenen Daten anwendbar sind. Dafür ist es sinnvoll, eine Liste zu erstellen, die alle Gesetze und Praktiken enthält, die relevant sein könnten. In dieser Liste sollten dann insbesondere solche Gesetze und Gepflogenhei- ten aufgenommen werden, die die Offenlegung von oder den Zugang zu Daten gegenüber Behörden erfordern könnten. Beispielhaft wäre in Bezug auf die USA der US CLOUD Act oder der Foreign Intelligence Surveillance Act zu nennen. In diesem Zusammenhang sollten auch IT-SICHERHEIT_2/2022 99 m o e.c b o d k.a c r - sto e u ra © H. B

100

IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT 100 IT-SICHERHEIT_2/2022 einem gesicherten Rahmen zu gewährleisten. Fällt das Ergebnis negativ aus, sind die Defizite, die zu dieser Ein- schätzung führen, zu beheben oder der Datentransfer einzustellen. FAZIT Datenexporteure und Datenimporteure sollten das TIA gemeinsam durchführen und dokumentieren. Soweit gesetzlich vorgesehen, bietet es sich an, gegebenenfalls parallel eine Datenschutz-Folgenabschätzung durchzu- führen. Beim TIA kommt es stets auf eine individuelle Betrachtung der konkreten zu verarbeiteten Daten und den damit verbundenen Risiken für die betroffenen Per- sonen an. Standardisierte Prozesse können für gleichge- lagerte Fälle angelegt werden. n SIMONE ROSENTHAL ist Rechtsanwältin und Partnerin bei der Technologiekanzlei Schürmann Rosenthal Dreyer und auf das IT-, Datenschutz- sowie Vertragsrecht spezialisiert. Sie ist Expertin für IT-Verträge und führt ihre Mandanten erfolgreich in Vertragsverhandlungen und -abschlüssen auf nationaler und internationaler Ebene zum Ziel. Zu ihren Kernkompetenzen gehört die professionelle Betreuung von komplexen Digitalprojekten in der Querschnittsmaterie des IT- und Datenschutzrechts sowie die qualifizierte Beratung von Unternehmen zu SaaS, ASP, Bereitstellungsverträgen, Software-Herstellung oder agiler Programmierung. Vor allem Technologie- und Medienunternehmen, Unternehmen der Digitalwirtschaft und der Gesundheitsbranche, Energieversorger sowie öffentliche Institutionen vertrauen auf ihre langjährige Berufserfahrung und Sachkompetenz. ILAN LEONARD SELZ ist Rechtsanwalt bei der Technologie- kanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und spezialisiert auf das Datenschutz- und Telekommunikations- recht sowie zu Wettbewerb, Marketing und Vertrieb. Ein besonderer Schwerpunkt seiner Tätigkeit liegt in den Themen Cloud- Computing, künstliche Intelligenz und Blockchain-Anwendungen. www.srd-rechtsanwaelte.de Foto: Kanzlei SRDFoto: Kanzlei SRDdie konkreten Regierungsstellen und öffentlichen Behör-den genannt werden, denen durch die Vorschriften der Zugang gewährt würde (in den USA also zum Beispiel FBI, NSA etc.). Für eine umfassende Betrachtung ist es empfehlenswert, ebenfalls festzuhalten, ob Datenimpor-teure Anordnungen zur Offenlegung oder ein Zugangs-ersuchen einer öffentlichen Behörde anfechten würden. Um das Risiko hinsichtlich des Zugriffs oder der Offen-legung der Daten besser einschätzen zu können, ist es ebenfalls von Bedeutung, ob bereits in der Vergangenheit eine Offenlegung oder ein Zugang durch eine Behör-de verlangt wurde. Wenn dies der Fall war, sollte genau betrachtet werden, wie oft und welche Datenkategorien abgefragt wurden. Abschließend ist wesentliche Schlüs-selfrage, ob die genannten Gesetze und Praktiken den Datenimporteur daran hindern würden, seine Verpflich-tungen aus den SCC zu erfüllen.4. Klausel 14 lit. b Ziffer iii der SCC: zusätzliche GarantienEs sollten alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der SCC eingerichtet wurden, einschließlich der Maß-nahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestim-mungsland angewandt werden, benannt werden. Das meint alle implementierten oder geplanten vertrag-lichen Schutzmaßnahmen. Hinsichtlich technischer Maßnahmen wären die Verschlüsselung, Überwachung oder Protokollierung zu nennen sowie die genaue Art und Phase der jeweiligen Maßnahmen zu skizzieren. Die organisatorischen Sicherheitsvorkehrungen könnten ein Site-Access-Konzept oder die Datenminimierung darstellen. Bestenfalls werden sie im TIA aufgelistet und mit einer Beschreibung versehen. Schließlich sollte eine Liste mit allen Zertifikaten, Audits und Berichten über Sicherheitsmaßnahmen angefertigt werden, die im TIA ausgefüllt wird.5. SchlussfolgerungenSchließlich müssen die Schlussfolgerungen, die aus der „Transfer-Risiko-Abschätzung“ resultieren, angegeben und näher erläutert werden. Dieses Gesamtergebnis sollte eine Aussage darüber treffen, ob die Parteien einen Grund zur Annahme haben, dass die Gesetze und Ge-pflogenheiten im Bestimmungsdrittland, den Datenim-porteur daran hindern, seine Verpflichtungen aus den SCC zu erfüllen, oder nicht. Sollten Datenimporteure Grund zur Annahme haben, dass sie den ihnen auferleg-ten Verpflichtungen aus den SCC nicht mehr nachkom-men können, müssen geeignete Garantien, zum Beispiel technische und organisatorische Maßnahmen zur Ge-währleistung der Sicherheit und Vertraulichkeit, ergrif-fen und angenommen werden, um die Übermittlung in

101

WEBPORTAL Das Webportal von IT-SICHERHEIT IM WEB GEHT'S WEITER! Sie haben die ITSICHERHEIT schon durchgelesen? Unter www.itsicherheit-online.com ﬁnden Sie parallel zu den Print ausgaben der IT-SICHERHEIT tagesaktuelle Informationen rund um das Thema IT-Sicher heit. Neben Fachartikeln, Studien- ergebnissen, White papers und Meldungen zu Unternehmen und Produkten können Abonnenten hier ab sofort auch in unserem neuen Zeitschriften-Archiv stöbern. Schauen Sie am besten gleich jetzt und regelmäßig bei uns rein! Weitere FACHINFORMATIONEN zum THEMA ITSICHERHEIT Kritische Infrastrukturen im Kontext von Cyberangriffen SCHUTZMASSNAHMEN IM EINKLANG MIT DEM NEUEN IT-SICHERHEITSGESETZ 2.0 Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte. www.itsicherheit-online.com/Radar-2022-02 Ali Carl Gülerman, CEO und General Manager, Radar Cyber Security (Foto: Radar Cyber Security) Warum die Wirkung von Backups oft überschätzt wird DER RANSOMWARE-SUPER-GAU Unternehmen, die ihre Systeme nach einem Ransomware-Angriff schnell wiederherstellen können, nehmen den Angreifern den Wind aus den Segeln. In der Realität ist die schnelle Wiederherstellung in vielen Unternehmen jedoch nicht so einfach. Der Hauptgrund hierfür ist, dass Unternehmen für ihre kritischen Anwendungen auf veraltete Backup-Technologien setzen. www.itsicherheit-online.com/Zerto-2022-02 Reinhard Zimmer, Regional Sales Manger bei Zerto und Spezialist für die Absicherung virtueller Infrastrukturen (Foto: Zerto) Wie sich IT-Teams wirkungsvoll stärken lassen MIT XDR MEHR SCHUTZ VOR CYBERBEDROHUNGEN Neue Anwendungen und Services lassen die IT-Landschaft von Unternehmen immer weiter wachsen. Das kann für Sicherheitsteams zur Herkules-Aufgabe werden. Zusätzlich erschweren die sich immer weiter entwickelnden Cyberbedrohungen den Job des IT-Teams. Dass in Sachen Cybersicherheit an allen System-, Netzwerk- und Geräte-Fronten der Überblick verloren gehen kann, ist daher nicht gerade verwunderlich. Extended Detection and Response (XDR) kann helfen, die Herausforderungen zu meistern. www.itsicherheit-online.com/Trellix-2022-02 Tanja Hofmann, Lead Security Engineer bei Trellix (Foto: Trellix) IT-SICHERHEIT_2/2022 101

102

VORSCHAU Ausgabe 3|22 JUNI/ JULII SPECIAL: IT-SICHERHEIT IN DER ÖFFENTLICHEN VERWALTUNG Der Cyberangriff auf die Kreisverwaltung Anhalt-Bitterfeld zeigte letztes Jahr sehr deutlich: Weltweit nimmt die Gefahr von Ransomware-Attacken in digital agierenden Unternehmen und öffentlichen Institutionen ein beunruhigendes Ausmaß an. Im Fall Bitterfeld wurde im Juli eine den kritischen Infrastrukturen (KRITIS) zuzurechnende Organisation der Öffentlichen Verwaltung tagelang komplett lahmgelegt. Was haben Behörden in Sachen Cyberangriffe in nächster Zeit zu erwarten? Wo liegen die besonderen Herausforderungen für die IT-Sicherheit? Was können öffentliche Verwaltungen tun, um auch bei verschärften Angriffen handlungsfähig zu bleiben? Dies sind einige der Fragen, welchen wir in der nächsten Ausgabe der IT-SICHERHEIT nachgehen werden. QUANTENSICHERE MESSENGER-DIENSTE Auch wenn Apple inzwischen einen Patch für die Pegasus-Lücke bereitgestellt hat, bleiben beliebte Messenger-Dienste ein Risiko für die Gerätesicherheit – einfach weil sie sich auf fast jedem Mobiltelefon beﬁnden. Blockchain-basierte Messenger sollen hier in Zukunft noch stärker dazu beitragen, die Privatsphäre der Nutzer zu schützen. Wie genau, erklären wir in der nächsten Ausgabe. Weitere geplante Themen: ISMS: Nachhaltiger IT-Schutz erfordert strukturierte Security-Prozesse Drucker: Albtraum für die IT-Sicherheit und wie es besser geht Phishing-Kits: Todesstoß für die Zwei-Faktor-Authentiﬁzierung? … und vieles mehr. IN UNSEREM VERLAG ERSCHEINEN AUSSERDEM NOCH FOLGENDE ZEITSCHRIFTEN 102 IT-SICHERHEIT_2/2022 Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 9d · 50226 Frechen www.datakontext.com Chefredaktion: Stefan Mutschler (S.M.) EMail: stefanmutschler@tonline.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz Leitung Online herz@datakontext.com +49 2234 9894980 Lisa Bieder Chiara Schönbrunn Silvia Klüglich Kristina Ivlev Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. DirkM. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. JanPeter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Graﬁk/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 EMail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 9894960 EMail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 27 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 9894999 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 104, inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die PrintAusgabe sowie eine Lizenz für das OnlineArchiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des OnlineArchivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 837110 Druck: Graﬁsches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Beilagen: DATAKONTEXT GmbH, Frechen Titelbild: ecco stock.adobe.com; secomba Fotos: Firmenbilder; DATAKONTEXT; ©(apinan, H. Brauer, Andrey Popov, ArtemisDiana, Bacho Foto, Blue Planet Studio, ecco, Feodora, Gorodenkoff , Gorodenkoff, James Thew, jozefmicic, Kaspars Grinvalds, tippapatt, Tomasz Zajda, vegefox.com, Jürgen Fälchle, skypicsstudio, zaurrahimov) stock.adobe.com 28. Jahrgang 2022 · ISSN: 1868-5757

103

Der neue Themenguide IT-Sicherheit www.itsicherheit-online.com/themen Wir bedanken uns bei unseren Partnern: Makro Asset Management Group ttootteemmoo securing data in securing data in motionmotion Jetzt mitmachen und Firmenpartner werden: wolfgang.scharf@datakontext.com IT-SICHERHEIT_2/2022 103