2023-01_kes_Special Security-Awareness

Special Alternative Denkansätze: Mitarbeiter sind keine Schwach- stellen S. 8 Automatisierte Awareness: Trainieren gegen das Vergessen S. 14 Verlagsbeilage, Februar 2023 Die Zeitschrift für Informations-Sicherheit m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t Security- Awareness

Mitherausgeber Inhalt Phishing bleibt eines der Haupteinfallstore für Cyberkriminelle Welche Security-Maßnahmen sind wirklich effektiv? Awareness darf nicht auf der Strecke bleiben Neue Denkansätze als Basis für eine Verhaltens- änderung Mitarbeiter sind keine Schwachstellen Seite 4 Seite 6 Seite 8 „Hilfe, ich habe mein Passwort vergessen!“ Angriffsvektor IT-Helpdesk und Benutzerpasswörter Seite 10 Warum produktive Arbeit heute Sicherheitsbewusstsein erfordert Gezieltes Training für ein höheres Sicherheitsbewusst- sein News und Produkte Seite 12 Seite 14 Seite 17 Impressum Bankverbindung: UniCredit Bank AG, München, IBAN: DE34 7002 0270 0015 7644 54 Media-Daten: Unsere Media-Daten ﬁ nden Sie online auf www.kes.info/media/. GmbH Augustinusstraße 11 A, 50226 Frechen (DE) Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Alle Rechte vorbehalten, auch die des aus- zugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikroﬁ lm und andere Ver- fahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. Zurzeit gültige Anzeigenpreisliste: Nr. 41 vom 01. Januar 2023 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Herstellungsleitung und Vertrieb: Dieter Schulz, dieter.schulz@datakontext.com, Tel.: +49 2334 98949-99 Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover Titelbild: janews094 - stock.adobe.com © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023 3

Management und Wissen Phishing bleibt eines der Haupteinfallstore für Cyberkriminelle Welche Security-Maßnahmen sind wirklich effektiv? Nach wie vor zählen Phishing-Mails zu den häufigsten initialen Angriffsvektoren für Cyber- kriminelle. Um das Risiko eines erfolgreichen Angriffs drastisch zu reduzieren, sind Phishing- simulationen und Schulungen für Mitarbeitende unverzichtbar. Doch Security-Awareness ist keine Einmalaktion. Von Frederik Kaiser, 8com GmbH & Co. KG Im Grunde sind Phishing-Angriffe so alt wie die E-Mail selbst. Seit wir elektronische Nachrichten ver- senden, nutzen auch Cyberkriminelle das Medium, um Nutzer zur Eingabe von Passwörtern oder zum Download von Schadsoftware zu verleiten. Aber warum ist Phishing für Cyberkriminelle so attraktiv? Das liegt vor allem daran, dass der Aufwand in Relation zum potenziellen Erfolg sehr gering ist. Denn beim Phishing handelt es sich in der Regel um Massenangriffe, die in den Postfächern der unterschiedlichsten Empfänger landen. Natürlich sind Opfer in Unternehmen und Behör- den für Cyberkriminelle wesentlich lohnender als Privat- personen, schließlich fallen die drohenden Konsequenzen dort in der Regel ungleich drastischer aus. Schon ein fal- scher Klick kann reichen, um ein komplettes Netzwerk zu kompromittieren und den laufenden Betrieb lahmzulegen. Zunehmende Professionalisierung Dass die Bedrohung durch Phishing immer noch weiter zunimmt, sehen wir bei 8com auch an der Zahl der verursachten Schadensfälle, die wir bearbeiten. Neben der Ausnutzung von technischen Schwachstellen zählt Phishing nach wie vor zu den Haupteinfallstoren für Cyberkriminelle. Abb. 1: Reaktions- raten aus rund 200 von 8com durchgeführten Phishing-Tests Hinzu kommt, dass die Qualität der Phishing- Mails kontinuierlich zunimmt. Ganz gleich, ob es Cyber- kriminelle auf wertvolle Zugangsdaten zum Unterneh- mensnetzwerk abgesehen haben oder Mitarbeiter mittels Social-Engineering zur Überweisung ungerechtfertigter Zahlungen veranlassen wollen: Wo das Geschäft aussichts- reich erscheint, geben sich die Angreifer entsprechend viel Mühe. Während die betrügerischen, schlecht übersetzten E-Mails früher noch vor Rechtschreibfehlern strotzten, kommen sie heute in ﬂüssigem Deutsch und überzeu- gendem Design daher. Phishing-Mails, die an bestehende Kommunikationsverläufe und Kontexte anknüpfen – vor einigen Jahren noch eher die Ausnahme – sind heute keine Seltenheit mehr und nur für geschulte Augen als Fälschung zu entlarven. Der Mensch als Sicherheitsbarriere Der Einsatz technischer Schutzmaßnahmen zur Erkennung und Abwehr von Cyberangriffen ist und bleibt unerlässlich. Trotzdem ist der Mitarbeiter bei vielen Angrif- fen die entscheidende Sicherheitsbarriere und wird damit gerade im Bereich Phishing zum wichtigsten Schutzschild für die Cybersicherheit eines Unternehmens. Nur eine Kombination aus technischer Sicherheit und Security- Awareness kann zur nachhaltigen Senkung des Risikos durch Phishing-Mails führen. Aber wie stellt man fest, wie gut die menschliche Firewall funktioniert? Wie gut sind die Mitarbeitenden darin, Phishing-Mails zu erkennen? Awareness messen: Phishing-Tests Eine wirksame Möglichkeit ist es, selbst Phi- shing-Mails an die eigene Belegschaft zu versenden und auszuwerten, wie die Reaktionen auf dieses Experiment ausfallen. Bei einem Phishing-Test machen wir bei 8com im Auftrag unserer Kunden genau das: Wir verschicken manipulierte E-Mails an alle Mitarbeitenden und messen 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023

die Reaktionsraten. Wie viele Empfänger klicken auf einen dubiosen Hyperlink? Wie viele Downloads werden auf gefälschten Webseiten getätigt? Und wie viele Mitarbeiter geben sogar ihre internen Benutzerdaten auf externen Webseiten ein? Solche Phishing-Tests werden in der Regel in mehreren Wellen durchgeführt, die sich hinsichtlich ihrer Rafﬁnesse unterscheiden. Während die erste Phi- shing-Mail bereits mit geringem Vorwissen als solche zu erkennen ist, wird den Mitarbeitenden später sukzessive mehr Kenntnis und Sorgfalt abverlangt. Schlussendlich können aber alle E-Mails von aufmerksamen Nutzern als Fälschung erkannt werden. Durch die Erfassung der Reaktionsraten wird schließlich sichtbar, wie ein Unternehmen in Sachen Security-Awareness aufgestellt ist. Wurden im Unterneh- men bislang keinerlei Sensibilisierungs- oder Schulungs- maßnahmen durchgeführt, sind die Ergebnisse häuﬁg ein Schock. Abb. 2: Reaktions- raten eines 8com- Kunden über einen Zeitraum von fünf Jahren nach der Kosten-Nutzen-Relation. Live-Hacking-Vorträge oder Trainings vor Ort haben zwar in jedem Fall ihre Be- rechtigung, um bei Mitarbeitenden überhaupt ein initiales Bewusstsein für Gefahren im Netz zu wecken. Allerdings sind sie auch an hohe Kosten, Personalressourcen und organisatorischen Aufwand geknüpft. Eine zusätzliche Herausforderung besteht darin, alle Kollegen zu erreichen, darunter auch neue Mitarbeitende, und auch wirklich alle relevanten Themen abzuhandeln – gerade für große Unternehmen eine Herkulesaufgabe. Security-Awareness als Prozess begreifen 8com Academy: spielerisch zu mehr Cybersicherheit Den meisten Verantwortlichen ist mittlerweile bewusst, dass es unerlässlich ist, das Kollegium zum sicherheitsbewussten Umgang mit Gefahren aus dem Netz zu schulen. Dennoch verkennen viele, dass Secu- rity-Awareness keine Einmalaktion ist. Awareness ist ein fortlaufender Prozess und erfordert, dass das Wissen und die Fähigkeit zum sicheren Umgang mit der Technik und den damit einhergehenden Gefahren kontinuierlich auf- gefrischt und ausgebaut werden. Nur mit einer langfristigen Strategie in der Hand lässt sich eine menschliche Firewall etablieren. Dass das tatsächlich funktioniert, zeigen die Ergebnisse zahlreicher 8com-Kunden, die bereits seit mehreren Jahren Phis- hing-Tests mit uns durchführen. Die Wiederholung von Phishing Tests hat einen entscheidenden Vorteil: Sichtbar wird nicht nur das aktu- elle Awareness-Niveau, sondern auch der Erfolg zwischen- zeitlich durchgeführter Schulungsmaßnahmen. So zeigt sich bei langjährigen Kunden mit einer abgestimmten Security-Awareness-Strategie über die Jahre eine erhebliche Verbesserung der Ergebnisse. Durch die anonyme Messung etabliert sich zudem eine positive Fehlerkultur, die nicht durch Angst und Finger-Pointing, sondern durch Reﬂexion und Überwindung der eigenen Schwächen geprägt ist. Herausforderungen bei der Mitarbeiterschulung Bei der Auswahl von Awareness-Maßnahmen stellt sich für Verantwortliche zwangsläuﬁg auch die Frage Immer häuﬁger setzen Verantwortliche im Unter- nehmenskontext daher auf webbasierte Lernplattformen. 8com bietet seinen Kunden mit der 8com Academy eine solche Schulungsplattform. In einem abwechslungsrei- chen Medienmix ﬁnden Mitarbeitende dort alle Infor- mationen rund um sichere Passwörter, E-Mail-Sicherheit, Social-Engineering, Datenschutz & Co. Die Inhalte orien- tieren sich dabei sowohl an der Arbeitspraxis als auch an der privaten Lebensrealität der Lernenden. Das erhöht die Akzeptanz der Nutzer und steigert die Bereitschaft zum Mitmachen. Eigentlich trockene Themen wie das Prüfen von Hyperlinks werden hier in lockeren Story-Videos anschau- lich zusammen mit Handlungsanweisungen vermittelt. In kleinen Transferaufgaben können die Nutzer ihr neu erworbenes Wissen dann spielerisch unter Beweis stellen. Mit Nutzung der 8com Academy erfüllen Verantwortliche ganz nebenbei auch gesetzlich vorgeschriebene Schu- lungspﬂichten. Vor allem im Vergleich zu Frontalschulungen bietet eine Lernplattform wie die 8com Academy eine besonders efﬁziente und kostengünstige Möglichkeit, Mit- arbeitende in kurzen Lerneinheiten zu schulen, und zwar immer wieder. Mit dem Blended-Learning-Ansatz können Live-Hacking-Vorträge oder themenbezogene Trainings außerdem nahtlos in ein Online-Lernkonzept integriert werden. Belohnt werden Unternehmen mit einem erheb- lich geringeren Risiko, zum Phishing-Opfer zu werden – einem der Haupteinfallstore für Cyberkriminelle. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023 5

Management und Wissen Awareness darf nicht auf der Strecke bleiben Mit Next-Generation-Firewalls, SIEM, EDR-Clients, Transfer-PCs, Mobile-Device- Management, Sandbox-Systeme und vielem mehr versuchen IT-Abteilungen landaus, landein den Bedrohungen durch Online-Kri- minelle, Industriespionage oder Zufallsan- griffen etwas entgegenzusetzen. Dennoch bleibt bei all dieser Technik-Aufrüstung ein wichtiger Aspekt unberücksichtigt: der Fak- tor Mensch. Von Dennis Uckel, DU Consult Ein großer Teil der Phishing-Angriffe mag es nicht durch die E-Mail-Gateways schaffen, doch eine perfekte E-Mail reicht aus, um Martina aus der Buchhaltung oder Sven aus dem Innendienst dazu zu bewegen, auf einen Link zu klicken oder ein PDF zu öffnen. Das geschieht häuﬁg durch psychologische Tricks wie Dringlichkeiten, Jobverlust oder durch das Gefühl, dass an der Änderung der Bankverbindung nichts ungewöhnlich zu sein scheint – bis der Lieferant sich meldet, dass das Geld nicht an- gekommen ist. Das Logo und die E-Mail stimmten, die Anrede war persönlich, die alte Bankverbindung war auch die Richtige und der Datev-Tipp mit der neuen Version war „super nett“. Die Awareness- Schulung besteht aus acht Modulen. Die Grundlagen für diese Tricks liefern die Mitar- beitenden häuﬁg selbst: Aus Facebook erfahren wir, dass Sven sich für den Tierschutz engagiert. Martina schreibt auf Xing, dass sie bei „Hoffmann + Partner KG“ Belege bucht, als Fähigkeit listet sie „Datev Online“ auf. Laut Pressemeldung ist die Geschäftsführung derzeit zu Gesprä- chen in Paris im Hotel Four Seasons. Zusammen mit den Informationen von Schulhomepages zu engagierten Eltern lassen sich schnell glaubhafte Szenarien zusammenstellen, um einen Personaler, eine Sekretärin oder einen hektischen ITler zu Schnellschüssen zu bewegen. Unternehmen müssen damit leben, dass Infor- mationen durch Social Media, beruﬂich wie privat, allge- genwärtig sind. Darum ist es wichtig, die Mitarbeitenden zu sensibilisieren, um die IT-Infrastrukturen zu schützen. Diejenigen, die sich regelmäßig auditieren lassen, haben die Schulungen bereits im Pﬂichtenheft (ISO 27001 A.7.2.2 nach der alten Norm, BSI Grundschutz ORP.3 etc.). Häuﬁg wird die ohnehin schon bis zum Hals im Wasser stehende IT-Abteilung mit der Durchführung von Mitarbeiterschulungen oder Sensibilisierungsmaßnah- men beauftragt. Kommt dann eine schnell zu behebende Windows-Schwachstelle oder ein Ticket aufgrund der Hypervisor-Farm rein, ist allen klar, welche Aufgabe nach- rangig sein wird. Der Ansatz von DU Consult ist es, die Belegschaft durch eine Online-Plattform zu schulen. Das kann je nach Betriebsvereinbarung im Betrieb oder im Homeofﬁce passieren, während der Arbeitszeit oder zu Hause auf dem Sofa. PCs sind genauso gut möglich wie private Laptops oder Tablets. Ein moderner Browser ist hier die einzige Voraussetzung. Die Teilnehmenden durchlaufen im aktuellen Format acht Module, die jeweils aus einem professionellen Video mit Darstellungen von realistischen Gefahren, einer Textlektion und einem Modultest bestehen. Ein solcher Modultest besteht aus vier bis fünf Fragen. Ein einfaches „Auf-Weiter-Klicken“ ist also nicht möglich. Am Ende der Awareness-Schulung ﬁndet ein Abschlusstest mit 15 Fragen statt. Beantwortet der Teilnehmer mindestens 80 Prozent der Fragen richtig, darf er sich sein individuelles Teilnah- mezertiﬁkat ansehen. Die Personalabteilung erhält im An- schluss eine Übersicht, wer den Kurs bereits bestanden hat. Diese Unterlagen sind gut als Audit-Nachweise geeignet. Die Module umfassen die Themen „Um- gang mit E-Mail“, „Malware“, „Passwörter“, „Surfen im Internet“, „Vertrauliche Daten“, „Social Media“, „Cloud-Dienste“, „Mobile Endgeräte und Netze“. Die Awareness-Schulungen der DU Consult entlasten die IT-Abteilungen und verbessern die IT-Sicherheit in Unternehmen. n 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023

Management und Wissen Neue Denkansätze als Basis für eine Verhaltensänderung Mitarbeiter sind keine Schwachstellen Lange Zeit wurde der Fokus auf das Vermitteln von Wissen durch ein alljährliches Sicherheits- training gelegt. Jedoch zeigen neueste Forschungsergebnisse, dass dieses Vorgehen allein nicht genügt und Organisationen neue Wege gehen müssen, um ihre Mitarbeiter besser zu schützen. Der Artikel erläutert, warum Mitarbeiter keine Schwachstellen sind und welche Maßnahmen ergriffen werden können, um das Risiko nachhaltig zu reduzieren. Von Lars Rudolff, Cybovate AG Es ist wichtig zu betonen, dass Mitarbeiter in erster Linie Menschen sind. Security-Teams sollten das bei der Entwicklung und Umsetzung von Security-Awareness-Program- men immer im Hinterkopf behalten. Mitarbeiter wollen das Richtige tun und brauchen dafür die Unterstüt- zung und die Ressourcen von ihren Arbeitgebern. Sie jedoch haben in ihrer fachlichen Rolle viele Aufgaben zu erledigen, und das Thema Cyber- security kommt oft als zusätzliche Last hinzu. In der Vergangenheit wurden sie dazu erzogen, dass die IT-Security-Organisation sich um das Thema kümmert und notwendige Maßnahmen ergreift. Dies führt jedoch oft zu dem Gedanken „Wir haben doch einen Virenscanner, der das verhindern sollte“. Daraus ergibt sich ein Spannungsfeld, wenn es da- rum geht, Aufgaben wie das Öffnen von E-Mails mit Anhängen zu erle- digen, die für die Arbeit unerlässlich sind. Insbesondere in Bereichen wie HR oder Recruiting gehört es einfach dazu, viele E-Mails mit Anhängen zu öffnen, die potenziell gefährlich sein können. Um dieses Spannungsfeld zu lösen, müssen sinnvolle Maß- nahmen implementiert und die Mitarbeiter entsprechend geschult werden. Beispielsweise beeinﬂussen Verhal- tensweisen wie „Melden von Sicher- heitsvorfällen“ oder „Klicken auf Links unbekannter Herkunft“ das Ri- siko einer Schadsoftware-Infektion, die wiederum die Basis ist für einen Ransomware-Angriff. Um das Risiko eines solchen Angriffs zu reduzieren, sollte sich ein Awareness-Programm daher auf die Beeinﬂussung dieser Verhaltensweisen konzentrieren. Das Verhalten – nicht das Wissen – beeinﬂusst das Risiko. (Bild: Cybovate) Lieber kurz und oft Startpunkt Risiko Der bisherige Ansatz der jährlichen Trainings hat sich als we- nig zielgerichtet erwiesen. In Zeiten knapper Budgets und Ressourcen ist es jedoch wichtig, sich auf die kriti- schen Risiken zu konzentrieren. Das Risiko für die Unternehmensdaten resultiert direkt aus dem Verhalten der Mitarbeiter. Eine nützliche Res- source in diesem Zusammenhang ist die Security Behaviour Database (SebDB). Sie wird von einer weltwei- ten Community von Sicherheitsex- perten und Akademikern gepﬂegt und enthält ein Mapping zwischen Cyberrisiken und den Verhaltenswei- sen, die diese Risiken beeinﬂussen. Obwohl sich die bisherigen Ansätze als wenig wirkungsvoll er- wiesen haben, ist die Vermittlung von Wissen immer noch entschei- dend. Es ist jedoch wichtig, dass die Schulungen gut in den Arbeitsalltag integriert werden können. Einzelne Lerneinheiten sollten daher nicht länger als 15 Minuten dauern und die neuesten wissenschaftlichen Erkenntnisse berücksichtigen. Dies kann durch die Nutzung von so- genanntem Nanolearning erreicht werden. Auch die Nutzung von mo- bilen Endgeräten kann für manche Zielgruppen sinnvoll sein, die keiner klassischen Bürotätigkeit nachge- hen. Darüber hinaus sollten von den Security-Teams regelmäßig kurze Erinnerungen verschickt werden, 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023

Die CybSafe-Platt- form basiert auf wissenschaftlichen Erkenntnissen zur Verhaltens- änderung und unterstützt bei einem nachhal- tigen Awareness- Programm. um sicherzustellen, dass das Thema Cybersicherheit nicht in Vergessen- heit gerät. Diese sollten kreativ und kurzweilig gestaltet sein, um die Aufmerksamkeit der Mitarbeiter zu erlangen. Feiern statt Anklagen Eine wichtige Erkenntnis in Bezug auf das Verhalten von Mitar- beitern ist, dass negative Konsequen- zen, wie zum Beispiel eine „vorwurfs- volle” Rückmeldung auf einen Klick in einer Phishing-Simulation, nicht unbedingt zu einer Verhaltensän- derung führen. Stattdessen sollten Kommunikation und Maßnahmen positiv ausgestaltet und empathisch sein. Eine kurze Nachricht des Dan- kes und der Anerkennung, wenn je- mand eine Phishing-E-Mail meldet, wirkt beim betreffenden Mitarbeiter viel besser und führt dazu, dass sich das positive Verhalten in der Beleg- schaft verbreitet. Eine positive und unterstützende Haltung gegenüber den Mitarbeitern kann dazu beitra- gen, dass sie sich sicherer und mo- tivierter fühlen, sich an Sicherheits- richtlinien zu halten und mögliche Bedrohungen zu melden. Messen statt Blindﬂug Um ein Awareness-Pro- gramm sinnvoll zu steuern, sind sinnvolle und aussagekräftige Metri- ken notwendig. Früher konnte man lediglich messen, wie viele Mitarbei- ter an einem Training teilgenommen haben, wie viele das Quiz bestanden haben und vielleicht noch wie viele auf eine Phishing-Mail geklickt ha- ben. Diese Messgrößen sagen jedoch nichts über den tatsächlichen Erfolg des Awareness-Programms aus. Um den Erfolg des Programms zu bestim- men, ist es wichtig, das Verhalten der Mitarbeiter direkt zu messen. Daraus können dann gezielte Maßnahmen abgeleitet werden, um ein nicht ge- wünschtes Verhalten zu verändern. Diese aussagekräftigen Kenn- zahlen können auch als Basis für eine Kommunikation mit dem Manage- ment dienen und dabei den Erfolg des Programms greifbar machen. Auch hier ist in Zeiten knapper Budgets und Ressourcen eine nachvollziehbare Transparenz notwendig. Diversiﬁkation Ein einzelner Ansatz allein, sei es Training, Phishing-Simulati- onen, Warnungen in E-Mails oder auch Events, reicht nicht aus, um ein erfolgreiches Awareness-Programm aufzubauen. Es ist wichtig, auf eine Mischung aus verschiedenen Ansät- zen zu setzen und regelmäßig mit den Mitarbeitern zu kommunizieren. Diversiﬁzierung des Ansatzes dient dazu, die Aufmerksamkeit der Mitar- beiter aufrechtzuerhalten und ihnen die Informationen auf verschiedene Weise zugänglich zu machen. Das erhöht die Wahrscheinlichkeit, dass die Mitarbeiter die Informationen aufnehmen und anwenden. Darü- ber hinaus ist es wichtig, dass das Awareness-Programm regelmäßig aktualisiert wird und die Mitarbeiter in den Prozess eingebunden werden. Technische Unterstützung Ein erfolgreiches Aware- ness-Programm muss sowohl für die Security-Teams als auch für die Mitarbeiter einfach und intuitiv zu verstehen und anzuwenden sein. Technische Unterstützung in Form von speziellen Tools und Plattformen kann dabei helfen, die Umsetzung des Programms zu erleichtern und die Wirksamkeit zu erhöhen. Eine Plattform wie CybSafe, die auf den neuesten wissenschaftlichen Er- kenntnissen zur Verhaltensänderung basiert, bietet die optimale Unter- stützung für ein erfolgreiches und nachhaltiges Awareness-Programm, welches das Risiko für das Unterneh- men reduziert. Ein System zur Analyse von E-Mails sollte die Mitarbeiter gezielt beim Erkennen von Phishing un- terstützen. Entscheidend dabei ist aber, dass die Kennzeichnung der E-Mails aussagekräftig und möglichst korrekt ist. Für Kunden, die keine Ka- pazitäten oder nicht das notwen- dige Know-how für den Betrieb der Plattformen haben, bietet Cybovate einen Managed Service an. Fazit Die alten Ansätze der Se- curity-Awareness sind nicht ausrei- chend, um die Risiken für Unter- nehmen nachhaltig zu senken. Es ist wichtig, die Mitarbeiter nicht als Schwachstellen zu betrachten, sondern als Verbündete, die Unter- stützung benötigen. Security-Teams sollten sich darauf konzentrieren, ihren Verbündeten die notwendige Hilfe zur Verfügung zu stellen, wann und wo sie sie benötigen. Nur durch einen gezielten Ansatz, der das Ver- halten der Mitarbeiter beeinﬂusst, können die Risiken nachhaltig ge- senkt werden. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023 9

Management und Wissen „Hilfe, ich habe mein Passwort vergessen!“ Angriffsvektor IT-Helpdesk und Benutzerpasswörter Eine immer mehr professionalisierte Cyber-Kriminalität bei Brute-Force und Passwort-Spraying sowie der Faktor Mensch sind eine konstante Herausforderung bei der Passwortsicher- heit. Dennoch ist das kein Grund zu verzweifeln, denn es gibt Wege und Mittel für Unternehmen, sich effektiv zu schützen. Von Angelika Frost, Specops Software GmbH Laut dem Digitalverband Bitkom betrug 2022 der entstandene Gesamtschaden durch Cyberkrimi- nalität 203 Milliarden Euro. Etwas weniger als im Vorjahr, aber keine Entwarnung, denn Cyber-Attacken werden immer professioneller. Ne- ben Brute-Force oder Passwort-Spray- ing sind Social-Engineering-Angriffe besonders skrupellos, da Kriminelle versuchen, Mitarbeiter bewusst unter Druck zu setzen und zu ma- nipulieren, um sie unwissentlich zu Komplizen eines Verbrechens zu machen. Unterstützung gefragt: IT-Helpdesk Es gibt Werkzeuge, um die- ser Praxis entgegenzuwirken, nur werden diese nicht ausreichend eingesetzt. So haben laut Erhebun- gen von Specops Software nur 48 Prozent der Unternehmen eine Benutzerüberprüfungsrichtlinie für eingehende Anrufe an Service-Desks. Ein Grund: der Aufwand. Daher ist es sinnvoll, technische Lösungen einzusetzen, mit denen Mitarbeiter ihre Passwörter automatisch zurück- setzen können, ohne den IT-Support anrufen zu müssen oder mit deren Hilfe die Veriﬁ zierung der Identität bei Kontakt mittels Multi-Faktor-Au- thentiﬁ zierung (MFA) möglich ist. Wichtig: Wenn ein Remote- Benutzer mit unterbrochener Ver- bindung zum Domänenkontroller sein Passwort via Servicedesk zu- rücksetzen möchte, kann es passie- ren, dass Cached Credentials dafür sorgen, dass Änderungen nicht mit dem Gerät des Benutzers synchroni- siert werden. Mit guten Self-Service- Reset-Tools wie uReset von Specops umgeht man dieses Problem. Wiederverwendung von kompromittierten Passwörtern Laut Google tendieren 65 Prozent der Benutzer dazu, ein Passwort für mehrere Konten zu verwenden. Dieses Verhalten kann dazu führen, dass Datenlecks oder Breaches von Plattformen, die nicht mit einem Unternehmen in Verbin- dung stehen, dennoch zu einem Sicherheitsrisiko werden können. Beispielsweise war ein wiederverwen- detes Passwort aus dem LinkedIn- Hack von 2012, dessen Daten auch in den berüchtigten Collection Le- aks gefunden wurden, eine Ursache für den bekannten Dropbox-Breach. Dies zeigt die Gefahren auf, die durch die wiederholte Nutzung von Passwörtern entstehen und belegt, weshalb eine regelmäßige Überprü- fung auf kompromittierte Passwörter ratsam ist. Richtlinien und Pass- wortanforderungen wirkungsvoll durchsetzen Zur fortwährenden Sicher- stellung des Einsatzes starker Pass- wörter muss überprüft werden, ob die dokumentierten Anforderungen an Passwortsicherheit den aktuellen Empfehlungen des BSI beziehungs- weise des neuen Informationssicher- heitsgesetzes (ISG) Rechnung tragen. Zusätzlich muss jeder Admin eine Balance zwischen Ablaufdauer, Kom- plexität und Passwortlänge ﬁ nden. Die Empfehlung von Specops Soft- ware ist es, starke Passwörter wenigs- tens einmal pro Jahr zu ändern sowie Passphrasen zur Erstellung langer Passwörter zu nutzen. So verhindern Sie, dass Benutzer aufgrund hoher Änderungsfrequenzen oder Komple- xitätsanforderungen in Muster bei der Passwortvergabe verfallen, die dann wiederum leicht erraten wer- den können. Diese Anforderungen sowie das Blockieren kompromittier- ter Passwörter können zum Beispiel durch den Einsatz von Specops Pass- word Policy für das Active Directory sichergestellt werden. Fazit Cyber-Attacken, wie Brute- Force, Passwort-Spraying oder Social- Engineering und der Faktor Mensch bleiben weiterhin eine Heraus- forderung bei der Passwortsicher- heit. Aber es gibt eine Palette von Werkzeugen, um sich zu schützen. Hierzu gehören neben modernen, aber benutzerfreundlichen Pass- wortrichtlinien, der Einsatz von Softwarelösungen (www.specops- soft.de) zur optimalen Gefahren- abwehr. n 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023

Wissen gibt Sicherheit TÜV NORD Akademie Tagungen & Kongresse Informationssicherheit-Fachtagung Schwachstellenmanagement – Wer ist schneller? Statistiken verdeutlichen, dass fast 75 Prozent der Einfallstor von erfolgreichen Angriffen oftmals sehr Unternehmen in den letzten 12 Monaten Opfer von genau – es wurde eine Schwachstelle ausgenutzt. Ransomware-Angriffen waren. Im schlimmsten Fall wer- Damit Sie künftig diese Schwachstellen minimieren, den die Daten zum Verkauf angeboten oder für gezielte stellen sich Expertinnen und Experten aus der IT- Angriffe (APT, Advanced Persistent Threat) genutzt. Branche am 22. März 2023 in Hamburg Ihren Fragen Doch wie kommt es zu solchen Vorfällen? Das Mana- und geben Tipps zu IT-Sicherheitskonzepten in gement in der Informationssicherheit kennt das Unternehmen. TÜV NORD Akademie GmbH & Co. KG, Tagungen & Kongresse Große Bahnstraße 31, 22525 Hamburg, T +49 40 8557-2920, tagungen@tuev-nord.de tuev-nord.de/tk-it TÜV® TÜV®

Management und Wissen Warum produktive Arbeit heute Sicherheitsbewusstsein erfordert Die Angriffstaktiken von Cyber-Kriminellen entwickeln sich schnell weiter. Mitarbeiter müssen daher kontinuierlich sowohl mit den Kenntnissen als auch dem Selbstvertrauen ausgestattet werden, um Angriffe zu erkennen und darauf zu reagieren. Fortlaufendes Training und eine positiv besetzte Cyber-Sicherheitskultur sind das A und O in Unter- nehmen. Vor diesem Hintergrund deckt ein Blick auf die aktuelle Sensibilisierung in Security-Belangen erschreckend viele Lücken auf. Von Katrin Schummer, Hoxhunt In seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2022 konstatiert das Bundesamt für Sicher- heit in der Informationstechnik (BSI) als die Cyber-Sicherheitsbehörde des Bundes einen massiven Anstieg der Bedrohungen im Cyber-Raum. Ins- gesamt spitzte sich demnach die be- reits angespannte Lage weiter zu. Im Berichtszeitraum wurde eine hohe Bedrohung durch Cybercrime beob- achtet. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine. Ransomware-Angriffe, also Cyber-Angriffe auf Unterneh- men, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gelten aktuell als größte Bedrohung im Cyber-Bereich. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastro- phenfall ausgerufen. Der Vizepräsident des BSI, Dr. Gerhard Schabhüser, sieht in der Cyber-Sicherheit einen wesent- lichen Aspekt der Daseinsvorsorge. Sie diene unmittelbar dem Schutz von Bürgerinnen und Bürgern: „Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie. In einer digitalisierten Welt hängt das Wohlergehen der Be- völkerung stärker als jemals zuvor davon ab, wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet ha- ben. Mit den richtigen Maßnahmen können wir der Bedrohungslage begegnen. Wir dürfen beim Thema Cyber-Sicherheit keinen Deut nach- lassen.“ Auch Nutzer sorgen sich, handeln aber nicht entsprechend Umfragen zur IT-Sicherheit wie etwa des Digitalverbands Bit- kom machen deutlich, dass es nicht nur auf Unternehmensebene eine Diskrepanz zwischen der Furcht vor den Cybergefahren und dem tat- sächlichen Handeln gibt. Auch auf der Ebene der Nutzer kann man dies feststellen: Auf der einen Seite steht die Erfahrung mit der Internetkrimi- nalität. Acht von zehn Personen (79 Prozent) waren in den vergangenen zwölf Monaten von kriminellen Vorfällen im Netz betroffen. Nur noch eine kleine Minderheit von 21 Prozent gibt an, keine solchen Erfah- rungen gemacht zu haben. Auf der anderen Seite steigt das Vertrauen in die Internetsicherheit. Laut Bitkom erholt sich das Vertrauen in die Da- tensicherheit im Internet mit jedem Jahr mehr: Drei von zehn Internet- nutzern (29 Prozent) ﬁnden, dass ihre persönlichen Daten im Internet sicher sind. Im Jahr 2019 gaben dies 27 Prozent an, 2014 lag der Wert bei gerade einmal 14 Prozent. Dennoch: Der deutschen Wirtschaft entstand 2022 laut Bit- kom ein Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spi- onage und Sabotage. In den Jahren 2018/2019 waren es erst 103 Milli- arden Euro. Eine Weiterbildung in Security wäre also wirklich geboten. Eine andere Befragung von Bitkom zeigt aber auch: Eine Schu- lung der Mitarbeitenden zu Sicher- heitsthemen nehmen erst 56 Prozent der befragten Betriebe vor. Dazu Bitkom-Expertin Dehmel: „Unvor- sichtige oder schlecht geschulte Be- schäftigte können schnell zum Ziel von Angriffen werden. Investitionen in Schulungen sind deshalb immer auch wichtige Investitionen in die Zukunft des Unternehmens. Dabei ist zentral, die Mitarbeitenden gezielt für ihren speziﬁschen Arbeitskontext weiterzubilden“. Es stellt sich die drängende Frage, wie die Securi- ty-Awareness besser auf die Bedro- hungslage angepasst werden kann. Security-Awareness braucht Individualität und Automatisierung Die Interessen hängen unter anderem davon ab, welche Aufgabe man hat. So beschäftigt sich eine Be- reichsleiterin für Finanzen natürlich mit anderen Themen als jemand aus 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023

der IT-Abteilung. Entsprechend muss eine erfolgreiche Security-Awareness auf das jeweilige Unternehmen und die Zielgruppe der Trainings zuge- schnitten sein. Security-Awareness „von der Stange“ reicht nicht aus, um das Bewusstsein für Security nachhaltig zu steigern. Am Fachkräftemangel in der Security gibt es keinen Zweifel. Er ist auch einer der Gründe, warum man alle Beschäftigten als Teil der Security ansehen muss. Doch für die Durchführung der Security-Aware- ness-Trainings braucht es die richtige Expertise. Abhilfe schaffen kann hier Automatisierung. Sie kann die Secu- rity-Abteilung im Unternehmen ent- lasten und regelmäßige Maßnahmen im Bereich der Security-Awareness gewährleisten, die sonst unter dem Fachkräftemangel der Security leiden würde. n Eckes-Granini trimmt mit Hoxhunt Awareness Training seine Cybersecurity-Kultur Die Eckes-Granini Gruppe ist Anbieter von Frucht- säften und Fruchtgetränken in Europa. Das Unternehmen hat E-Mail-Bedrohungen trotz bereits existierender Awa- reness-Trainingsprogramme für Cybersecurity als vorherr- schendes Sicherheitsrisiko identiﬁziert. Deshalb sollte das Thema komplett neu aufgesetzt werden. Als automati- sierte Plattform, die das Security-Awareness-Training mit individuell angepassten Lernwegen, die auf dynamischen und gamiﬁzierten Inhalten basieren, anbietet, hat sich Eckes für Hoxhunt entschieden. Fritz Worsch, CISO bei der Eckes-Granini Group, kommentiert den Einsatz der Lösung unter vier Aspekten: Onboarding und Engagement „Ich arbeite seit 30 Jahren in der IT-Branche und habe noch nie ein derart professionelles Onboar- ding erlebt, wie Hoxhunt es mit uns durchgeführt hat. Über 70 Prozent unserer Mitarbeiter:innen in unserem Unternehmen wurden integriert und die meisten davon bleiben engagiert und führen die Trainingssimulationen aus. Dies sind viel mehr, als wir jemals hatten, und alle meine Erwartungen wurden übertroffen. Das Hoxhunt Onboarding-Programm ist rigide, aber genau so, wie es gemacht werden muss.“ Dynamisch und kontinuierlich „Hoxhunt arbeitet nicht statisch wie die anderen Angebote, die wir ausprobiert hatten; Hoxhunt entwi- ckelt sich parallel zu der Landschaft der Bedrohungen. Hoxhunt sendet nicht einfach nur eine Phishing-E-Mail an jeden, sondern folgt einem kontinuierlichen Prozess. So bekommen Menschen ein ständiges Bewusstsein für Cybersecurity. Das Training ist sehr dynamisch: Wenn jemand eine Phishing-Simulations-E-Mail bekommt und richtig reagiert, wird er oder sie beim nächsten Mal mit einer schwierigeren Simulation herausgefordert. Wenn sie nicht erkannt wird, gibt es beim nächsten Mal eine ein- fachere Simulation. Den Schwierigkeitsgrad zu variieren führt dazu, dass Menschen am Ball bleiben.“ Automatisierung „Automatisierung reduziert Aufwände und hilft, Ressourcen richtig zu lenken. Sie hilft, auf Kurs zu bleiben und sicherzugehen, dass wir die richtigen Menschen zur richtigen Zeit ansprechen.“ Bedrohungen melden „Der Hoxhunt-Button selbst hat sich als Chance erwiesen, alle möglichen ankommenden Phishing- und Spam-E-Mails zu lenken und an die richtigen Orte zu verschieben. In der Vergangenheit wussten die Mitarbeiter nicht, wen sie kontaktieren sollten. Jetzt ist das Melden für unseren Endbenutzer leicht.“ Wichtige Ergebnisse und Erkenntnisse ––——— Dutzende von gezielten, unterschiedlich simu- lierten E-Mails werden jährlich an jede/n Angestellte/n gesendet ––——— gesteigertes Reporting von echten Bedrohungen über den Hoxhunt-Button ––——— global signiﬁkant verbesserte Security-Kultur ––——— vermindertes Risiko von Schädigungen durch E-Mail-Angriffe ––——— über 70 Prozent der Mitarbeiter konnten in das Trainingsprogramm eingegliedert werden ––——— wenn die Angestellten einmal damit anfangen, bleiben sie am Ball Insgesamt zieht Worsch eine positive Bilanz: „Ich würde Hoxhunt deﬁnitiv anderen CISOs weiteremp- fehlen. Hoxhunt geht weit über die traditionelle Häk- chen-Mentalität des passiven E-Learnings hinaus. Unsere Security-Kultur hat sich deﬁnitiv zum Positiven entwi- ckelt, seit wir angefangen haben, Hoxhunt zu nutzen.“ Weitere Kunden, die Hoxhunt bereits nutzen, sind beispielsweise Kärcher, Pilatus und Victorinox. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023 13

Management und Wissen Gezieltes Training für ein höheres Sicherheitsbewusstsein Die Sensibilisierung von Mitarbeitern für Security-Awareness ist essenziell, um ein Unter- nehmen effektiv vor Cyberattacken zu schützen. Denn sicherheitstechnische Maßnahmen allein reichen nicht aus, wenn Hacker gezielt die menschliche Schwachstelle auszunutzen wissen. Deshalb sollten Unternehmen ihre Mitarbeiter mithilfe nachhaltiger Awareness- Services sensibilisieren. Von Jannis Blume, Hornetsecurity GmbH Eine Studie von techconsult, die im Auftrag von Hornetsecurity erstellt wurde und an der sich insge- samt 540 Teilnehmer aus Unterneh- men aller Branchen beteiligt hatten, ergab, dass IT-Fachleute und Unter- nehmen häuﬁg nicht ausreichend auf Angriffe vorbereitet sind. Beson- ders besorgniserregend ist jedoch, dass rund 60 Prozent der Angriffe auf Phishing-Versuche zurückgehen. „Die E-Mail-Kommunikation ist für Cyberkriminelle nach wie vor das Einfallstor Nummer eins. Viele An- greifer nutzen den Menschen dabei gezielt als Schwachstelle für Phishing und Betrug aus. Umso wichtiger ist es, das erforderliche Schutzniveau auch auf das schwächste Glied in der Sicherheitskette – den Anwen- der – auszudehnen. Denn selbst mit dem besten Cybersecurity-System bleibt immer Raum für menschliches Versagen, weshalb viele Anbieter von Cybersecurity-Versicherungen bereits dazu übergegangen sind, für den Abschluss ihrer Policen Sensibilisierungsschulungen für Mitarbeiter einzufordern“, so Daniel Hofmann, CEO bei Hornetsecurity. „Security-Awareness-Service helfen Unternehmen, eine nachhaltige Sicherheitskultur innerhalb der Or- ganisation und vor allem entlang der Kommunikations-Touchpoints zu etablieren. Aus unserer langjährigen Erfahrung als Cloud-Security-Spezia- list können wir nur unterstreichen, wie wichtig jeder einzelne Mitar- beiter für den Datenschutz und die Integrität des gesamten Sicherheits- konzeptes eines Unternehmens ist.“ Automatisierter Security- Awareness-Service Ein Security-Awareness-Ser- vice setzt den Fokus auf den Faktor Spear Phishing Engine von Hornet- security (Bild: Hornetsecurity GmbH) Mensch. Es zeigt den Anwendern nicht nur die Bedeutung von Infor- mationssicherheit und ihre eigene Sicherheitsverantwortlichkeit inner- halb des Netzwerks auf, sondern identiﬁziert gezielt Schwächen und stärkt damit die „menschliche Fire- wall“ im Informationssicherheits- konzept. Hornetsecurity etwa trai- niert die Anwender seiner Kunden mithilfe realistischer Spear-Phis- hing-Simulationen und KI-gestütz- tem E-Training, wodurch das Be- wusstsein für Sicherheitsrisiken und Cyber-Bedrohungen kontinuierlich geschärft und überprüft wird. Das technische Herzstück des Services ist die Awareness-Engine, die dafür sorgt, dass jeder Benutzer nur so viel Training wie nötig, aber so wenig wie möglich erhält. Die Bereitstellung relevanter E-Trainingsinhalte erfolgt bedarfsgerecht und vollständig auto- matisiert. Die Spear-Phishing-Engine von Hornetsecurity simuliert realisti- sche Angriffe mit unterschiedlichen Schwierigkeitsgraden, damit Mitar- beiter auch ausgeklügelte Angriffe kennenlernen und in der Lage sind, ihr Wissen über Angriffe und Be- drohungen stetig zu erweitern. Phi- shing-Szenarien führen Anwender etwa zu gefälschten Login-Seiten und enthalten Dateianhänge mit Makros sowie E-Mails mit Antwortverläufen. 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023

Der Employee Security Index (ESI) Die Ergebnisse werden im Awareness-Dashboard gebündelt, in dem alle wichtigen Kennzahlen der Trainings-Gruppen und -Teilnehmer sowie deren Trainingsfortschritte auf der Zeitachse dokumentiert werden. Mithilfe des Employee Security In- dex, kurz ESI, wird der Security-Rei- fegrad der Mitarbeiter realitätsnah, standardisiert und reproduzierbar abgebildet. Der ESI von Hornetsecu- rity ist ein branchenweit einzigartiger Benchmark, der das Sicherheitsver- halten der Mitarbeiter im gesamten Unternehmen kontinuierlich misst, vergleicht und gleichzeitig den indi- viduellen Bedarf an E-Training auto- matisiert steuert. Der ESI stellt damit ein wirksames Kontrollinstrument für die Effektivität einzelner Schu- lungsmaßnahmen und bestehender Deﬁzite dar. Die quantitative Ana- lyse der Security-Awareness bietet zudem einen direkten Vergleich mit anderen Unternehmen ähnlicher Branchen und kann gleichzeitig als Entscheidungsgrundlage für weitere Awareness-Maßnahmen herangezo- gen werden. Trainieren gegen das Vergessen Der durchschnittliche ESI- Verlauf macht bereits in den ersten 12 Monaten deutlich, warum ein kontinuierliches Training notwendig ist, um ein gutes Sicherheitsniveau auch über einen längeren Zeitraum zu halten. Während die ESI-Kurve am Anfang steil ansteigt und schon bald ein akzeptables Sicherheitsniveau er- reicht, fällt es mit zunehmend ausge- klügelten Spear-Phishing-Szenarien deutlich schwerer, das Niveau zu halten – besonders wenn fortlaufend neue Mitarbeiter hinzukommen oder einzelne Gruppen und Mitar- beiter das Training pausieren. Awareness ist wie ein Mus- kel, der regelmäßig trainiert werden muss, sonst erschlafft er. Unter- brechen einzelne Gruppen oder Mitarbeiter das Awareness-Training und steigen dann später wieder ein, zeigt sich ein deutlicher Abfall im Sicherheitsverhalten: Ohne Übung, während der Pausen werden sie wie- der nachlässiger und haben wichtige Lerninhalte bereits wieder vergessen. Bereits nach dem ersten Monat Pause sinkt der ESI um fünf Punkte und damit häuﬁg schon wieder unterhalb des angestrebten Sicherheitsniveaus. Nach vier Monaten sinkt der ESI bereits um über 30 Punkte – und man steht fast wieder am Anfang des Awareness-Service. Der ESI stellt damit ein Kon- trollinstrument dar, mit dem sich die Security-Awareness in Unternehmen kontinuierlich überwachen lässt. Die Effektivität einzelner Schulungs- maßnahmen kann überprüft und konkreter Bedarf festgestellt werden. Die Kommunikation sowohl mit dem Management als auch mit der Belegschaft wird durch eine greifbare Kennzahl erleichtert: Eine quantita- tive Analyse der Security-Awareness bietet einen direkten Vergleich mit anderen Unternehmen ähnlicher Branchen und kann so als Entschei- dungsgrundlage für weitere Investiti- onen genutzt werden. Fazit Die Sensibilisierung von Mitarbeitern für Security-Awareness stellt viele IT-Sicherheitsverantwort- liche vor eine Herausforderung, da ein nachhaltiges Mitarbeitertraining zeitaufwendig sein und viele Ressour- cen in Anspruch nehmen kann. Mithilfe eines Trainings, das auf dem Employee Security Index (ESI) basiert, lassen sich bedarfs- gerechte und voll automatisierte Sensibilisierungsschulungen durch- führen. Das Trainingsprogramm be- inhaltet dabei vielfältige Methoden, um Mitarbeiter effektiv zu erreichen: Von der Phishing-Simulation über E-Trainings und Kurzvideos bis hin zu Awareness-Materialien. Das Ergebnis ist eine aktive Sicherheits- kultur und aufgeklärte Mitarbeiter, die ihre Verantwortung für das Unternehmen kennen und wahr- nehmen. n Jannis Blume ist Senior Product Mar- keting Manager bei der Hornetsecurity GmbH. Security-Awareness Webinar Erfahren Sie im Webinar am 3. März 2023 um 11 Uhr alle Details über den Next-Gen Security-Awa- reness-Service von Hornetsecurity: — Warum Security-Awareness so wichtig ist — Wie der Employee Security In- dex (ESI) das Sicherheitsverhalten messbar und vergleichbar macht — Wie der patentierte Service ein bedarfsgerechtes und ressourcen- schonendes Training ermöglicht Anmeldung unter: www.hornetsecurity.com/de/ security-awareness-webinar © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023 15

News und Produkte News und Produkte Phishing: Geschäftliche E-Mail im Fokus Das Unternehmen KnowBe4 hat die Ergebnisse seiner Phi shing- berichte für das gesamte Jahr 2022 veröffentlicht. Sie umfassen zum Beispiel die in Phishing-Tests am häuﬁ gsten angeklickten E-Mail-Be- treffzeilen, die wichtigsten Angriffs- vektor-Typen und die beliebtesten Feiertags-Phishing-E-Mail-Betreff- zeilen. Cyberkriminelle verfeinern ständig ihre Strategien, um Endbe- nutzer und Unternehmen zu überlis- ten, indem sie die Betreffzeilen von Phishing-E-Mails so verändern, dass sie glaubwürdiger und aufmerksam- keitsstärker sind. Insgesamt zeige sich der zu- nehmende Trend, dass die Angreifer geschäftsbezogene E-Mail-Betreff- zeilen verwenden. Dazu gehören E-Mails von Personalabteilungen, IT-Teams, Managern und Webdiens- ten wie Google und Amazon. Die Ergebnisse für das Jahr 2022 zeigen laut KnowBe4, dass fast 50 Prozent der E-Mail-Themen mit der Perso- nalabteilung zu tun hatten, während die andere Hälfte mit der Karrie- reentwicklung, der IT und Benach- richtigungen über Arbeitsprojekte zu tun hatte. Diese Art von E-Mails verleiten die Empfänger dazu, sie zu öffnen, und seien wahrscheinlich deshalb so erfolgreich, weil sie bei den Nutzern ein Gefühl der Dring- lichkeit erzeugen, damit sie schnell handeln, manchmal ohne nachzu- denken und sich die Zeit zu nehmen, die Legitimität der E-Mail zu hinter- fragen. Darüber hinaus habe der Test ergeben, dass Phishing-Links im Textteil einer E-Mail der häuﬁ gste Angriffsvektor des Jahres sind, und das bereits seit drei aufeinanderfol- genden Quartalen. Die Kombination dieser Phishing-Taktiken ist eine erfolgreiche Strategie für Cyberkri- minelle, aber schädlich für Benutzer und Unternehmen, da sie zu Cyber- angriffen wie der Kompromittierung von Geschäfts-E-Mails und Ransom- ware führen können. 7% Weekly Performance Report 7% Employee Expense Reimbursement for [[email]] 7% HR: Please update W4 for ﬁle 7% Google: You were mentioned in a document: "Strategic Plan Draft" 8% IT: Internet Report 16% HR: Vacation Policy Update 16% HR: Important: Dress Code Changes 8% Acknowledge Your Appraisal Key Takeaway 14% Password Check Required Immediately 10% HR: New requirements tracking Covid vaccinations Die Abbildung zeigt, die in Phishing-E-Mails am häuﬁ gsten benutzen Betreffzeilen. (Bild: KnowBe4) attacks are eﬀective because they could potentially aﬀect users' daily work, and cause Der Phishing-Test nur für das vierte Quartal 2022 zeige jedoch nicht nur, dass vermehrt geschäftsbe- zogene E-Mails und Links in E-Mails verwendet werden, sondern auch, welche Phishing-E-Mails in der Ur- laubszeit am beliebtesten sind. Wie allgemeine Phishing-E-Mail-Betreffs bestehen auch die Betreffzeilen von Feiertags-Phishing-E-Mails aus E-Mails der Personal- und IT-Abtei- lung. Sie sind jedoch auf die Zeit von Feiertagen und die Festlichkeiten zugeschnitten, die typischerweise in dieser Zeit des Jahres stattﬁ nden, indem sie Feiern, Geschenke, Essen und mehr erwähnen. „Cyberkriminelle sind smart und achten darauf, was funktio- niert und was nicht, wenn es um effektive Phishing-E-Mails geht. Aus diesem Grund sehen wir, dass sich E-Mail-Subjekte im Laufe der Zeit weiterentwickeln und aktualisieren, um mit den Endbenutzern und deren Verhalten Schritt zu halten“, sagt Stu Sjouwerman, CEO von KnowBe4. (www.knowbe4.de) Das Wissen um IT-Sicher- heit ist im Gesundheits- Mail Notiﬁcation: You have 5 Encrypted Messages sektor am geringsten Amazon: Amazon - delayed shipping In puncto IT-Security ha- ben Mitarbeitende in deutschen Unternehmen laut der Studie „Cybersicherheit in Zahlen“ von G DATA einen großen Nachholbe- darf. Befragt wurden 5000 Arbeit- nehmer in Deutschland. Demnach haben fast 34 Prozent nur geringe oder sehr geringe Kompetenzen und riskieren damit die Sicherheit ihrer Firma vor Cyberangriffen. Nur jeder zehnte Arbeitnehmer sieht bei sich selbst sehr große Fähigkeiten in diesem Bereich. Im Vergleich zu 2021 stieg der Wert derjenigen, die sich für wenig bis gering qualiﬁ ziert halten, um rund 7 Prozent an. Daraus ergebe sich ein dringender Handlungsbe- darf, denn Cyberangriffe auf Un- ternehmen sind schnell erfolgreich oder fallen gravierender aus, wenn die Belegschaft nicht weiß, was im Appears to Come From the User's Domain In 2022 we saw mostly IT and online service notiﬁcations that could potentially aﬀect users' daily work. These types of attacks are eﬀective because they cause a person to © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023 17 Phishing Test Link Has User's Organizational Logo and Name

müssen. Eine Abwehrmaßnahme ist hier die Durchsetzung des Least-Pri- vilege-Prinzips in der gesamten Infrastruktur, auch im Hinblick auf Anwendungen und Daten. Hier kommen intelligente Berechtigungs- kontrollen ins Spiel, die den Zugriff für alle Identitäten verwalten, si- chern und überwachen. Bei einem der jüngsten Phi- shing-Vorfälle versuchten Angreifer, wieder in das Netzwerk einzudrin- gen, nachdem sie Daten gestohlen hatten, aber anschließend entdeckt worden waren. Dabei zielten sie auf Mitarbeiter ab, die nach dem obliga- torischen Zurücksetzen der Anmel- dedaten möglicherweise nur einzel- ne Zeichen an ihren Passwörtern geändert hatten. Die Angreifer waren in diesem Fall nicht erfolgreich, aber er zeigt, wie wichtig sichere Passwortverfahren sind. Idealerweise wird dabei eine Lösung genutzt, die automatisch eindeutige und sichere Passwörter generiert und regelmäßig rotiert. (www.cyberark.com/de/) n News und Produkte Ernstfall zu tun ist, so G Data. Nötig sei ein hoher Grad an Security-Awa- reness, um Mitarbeitende zu einem Teil der unternehmenseigenen Cy- berabwehr zu machen. Die Belegschaft in den Bran- chen Telekommunikation und Infor- mationsdienstleistungen verfügen über das höchste Wissen im Bereich IT-Sicherheit. Gute Kompetenzen bescheinigen sich ebenfalls die Mitarbeitenden der Finanz- und Ver- sicherungsdienstleister. Das Schluss- licht bildet dagegen der Bereich Gesundheit und Soziales. Gerade im Gesundheitswesen stehen aktuell einige Digitalisierungsprojekte an, zum Beispiel die digitale Patientenak- te. Mitarbeitende leiden aber gerade in diesem und im Sozialbereich unter einer hohen Arbeitsbelastung, die in diesem Fall die IT-Sicherheit gefähr- det. (www.gdata.de) Wie vermeidet man MFA- Fatigue-Angriffe? Das Unternehmen CyberArk hat die derzeit wichtigsten Phi- shingvarianten zusammengefasst. Demnach gibt es vor allem verstärkt sogenannte Multi-Faktor-Authenti- sierung-(MFA)-Fatigue-Angriffe, die SMS- und Voice-Phishing nutzen, um sich als vertrauenswürdige Quel- len auszugeben – dabei ermüden Angreifer die Nutzer mit zahlreichen MFA-Pushes bis sie Zugang zu den Zielsystemen erhalten. Insgesamt ﬁnden Angreifer wieder neue Wege, um MFA-Anwendungen und Sicher- heitskontrollen zu umgehen. Die Nutzung von phishing-resistenten MFA-Faktoren wie FIDO, QR-Codes oder physischen Token kann dabei helfen, diese Bemühungen zu ver- eiteln. Eine wirkungsvolle Abwehr- methode gegen MFA-Fatigue-At- tacken ist auch die Änderung der MFA-Konﬁguration. So können zum Beispiel Push-Benachrichtigungen durch One-Time-Passwords (OTP) ersetzt werden. Die OTP-Nutzung ist zwar weniger komfortabel, kann aber das MFA-Fatigue-Risiko mini- mieren. Ein benutzerfreundlicherer Ansatz besteht darin, für eine er- folgreiche MFA-Authentifizierung einen Nummernabgleich zu verlan- gen. Dabei wird Benutzern, die auf MFA-Push-Benachrichtigungen mit der Authenticator-App antworten, eine Zahlenfolge angezeigt. Sie müs- sen sie in die App eingeben, um den Prozess abzuschließen. Gegen die bekannten Soci- al-Engineering-Angriffe helfen laut CyberArk Security-Awareness-Trai- nings für die Mitarbeiter. Rou- tinemäßig sollten die IT-Sicher- heitsverantwortlichen Schulungen durchführen, um das sicherheitsbe- wusste Verhalten in der Unterneh- menskultur zu verankern und die Mitarbeiter über die Entwicklung von Social-Engineering- und Phi- shing-Angriffstechniken zu in- formieren. Aber auch technische Schutzmaßnahmen müssen ge- troffen werden. Dazu zählt etwa die Nutzung von Spam-Filtern, die verhindern, dass verdächtige E-Mails oder unerwünschte Anhänge wie Gewinnspiele oder infizierte Be- werbungen in die Posteingänge der Mitarbeiter gelangen. Eine weitere Phishing-Va- riante ist die Identitätskompro- mittierung durch Diebstahl von Zugangsdaten, zum Beispiel durch Man-in-the-Middle-Angriffe. Aware- ness-Kampagnen können nicht im- mer verhindern, dass ein Benutzer Opfer eines Phishingangriffs wird. Folglich muss laut CyberArk eine Verteidigungsstrategie auch ein Endpoint-Privilege-Management beinhalten, das die clientseitigen Credentials schützt und den Dieb- stahl von Cookies verhindert, der ein MFA-Bypassing ermöglichen kann. Seitwärtsbewegungen von Angreifern im Netzwerk, um weitere Systeme und Server zu kompromit- tieren und die Zugriffsrechte auszu- weiten – bis hin zu Domain-Con- trollern, sind eine weitere Gefahr, vor der sich Unternehmen schützen 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Security-Awareness, Februar 2023

Security Awareness leicht gemacht Neben der Technik sind Ihre Mitarbeitenden der wichtigste Schutzschild gegen Cyberangriﬀ e. Wir bringen ihnen spielerisch bei, wie sie sich sicher durchs Netz bewegen können. Stärken Sie die menschliche Firewall mit 8COM ACADEMY J e t z t k o s t e n l o s e n T e s t z u g a n g a n f o r d e r n ! Alle wichtigen Cyber-Security-Themen auf einer Lernplattform – auch via App Hohe Benutzerakzeptanz durch und privaten Alltag spielerisches Lernen mit Story-Videos und zahlreiche Beispiele aus dem beruﬂ ichen Zeit- und kostensparende, wiederkehrende Mitarbeiterschulung bei einfacher Handhabung Zielgruppenspeziﬁ sche Aufgabenzuweisung Erfüllung von Compliance-Anforderungen dank übersichtlicher Reportings www.8com.de/academy

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

Management und Wissen Cloud-Security Detection und Response in der Cloud Gesamtkontrolle bei geteilter Verantwortung Incident-Detection and -Response soll securityrelevante Vorfälle schnellstmöglich erkennen und geeignete Gegenmaßnahmen ergreifen – das ist schon im eigenen Netz oder RZ keine triviale Aufgabe. Die Sicherung von Cloud-Services ist noch komplexer, denn dabei liegt der IT-Stack zum Teil in der Verantwortung des Cloud-Providers. Um dennoch eine umfassende Kontrolle über die Sicherheit zu behalten, müssen Informationen aus in eigener Regie geführten Logdateien sowie Daten vom Cloud-Provider in die Detection- und Response- Systeme einfließen. Von Sebastian Schmerl, Frankfurt am Main Security-Teams benötigen effektive Mittel, um das Verhalten neuer Bedrohungen zu analysieren, verdächtige Aktivitäten zu erkennen und Sicherheitswarnungen zu priorisieren. Moderne Security-Information- und -Event- Management-(SIEM)-Tools gelten dabei als „Waffe der Wahl“. Heutige SIEM-Systeme sind im Vergleich zu frü- heren Lösungen deutlich verbessert und werden teils in Form von „Extended Detection and Response“ (XDR) als eigenständige Tool-Kategorie angeboten. Mit Funktionen wie erweitertem Log-Speicher, Suchaufträgen, benutzerde- ﬁnierten Reports und Unterstützung frei gestaltbarer Use- Cases erhalten Security-Analysten mehr Möglichkeiten, aktiv Untersuchungen anzustellen und vorausschauend nach Bedrohungen zu suchen. Keine leichte Aufgabe: Denn von der Peripherie bis zur Cloud ﬂießen Daten in alle Richtungen – in riesigen Mengen und mit rasender Geschwindigkeit. Angriffe wer- den immer rafﬁnierter und verteilen sich auf unterschied- liche Services, Komponenten und Zugänge in Cloud(s) und „on Premises“. Demzufolge sind Angriffe ohne eine gesamtheitliche Sicht über die gesamte IT nur sehr schwer oder gar nicht zu erkennen. Faktoren, die eine zuverlässige Bedrohungserkennung behindern, sind eine begrenzte Sicht in der Cloud, neue Cloud-Security-Konzepte, unter- besetzte Sicherheits-Teams sowie wachsende Kosten und Komplexität von Sicherheitssystemen. Für Cloud-Detection and -Response (CDR) gilt es – wieder einmal – zunächst zu unterscheiden, um welches Cloud-Service-Modell es geht: Infrastructure as a Service (IaaS): Der Cloud-Provi- der stellt Storage, Networking und Rechenleistung bereit. Platform as a Service (PaaS): Der Cloud-Provider stellt zusätzlich auch virtuelle Maschinen, Betriebssystem und Laufzeitumgebung bereit. Software as a Service (SaaS): Der Cloud-Provider stellt darüber hinaus auch Applikationen bereit. Generell gilt in der Cloud allerdings ein Modell der geteilten Verantwortung: Der Cloud-Provider verwaltet die Sicherheit der Cloud, die Nutzer sind für die Sicherheit innerhalb der Cloud verantwortlich. Letztere haben dabei die Kontrolle über ihre Sicherheitsimplementierung – einschließlich des Zugriffs auf verschiedene Tools und Services. Problemfall Konﬁguration Eine der größten Herausforderungen bei allem, was in die Cloud wandern soll, ist seit jeher die richtige Konﬁguration. Das ist bei Cloud-Providern in den letzten Jahren zwar deutlich einfacher geworden, da es automa- tische Checks und Empfehlungen gibt, die bei den großen Hyperscalern oft über kostenpﬂichtige Zusatzprodukte wie Guard Duty oder Microsoft Cloud Defender angeboten werden. Dennoch ist die Konﬁguration der Zugriffsrechte nach wie vor fehleranfällig: Sie gestaltet sich in der Praxis deutlich komplexer als beispielsweise die einfache Freiga- be von AWS S3-Buckets. Das Risiko, hier etwas falsch zu machen, ist durchaus gegeben. Ähnlich wie bei in eigener Hoheit verwalteten Systemen besteht in der Cloud die Gefahr, dass Angrei- fer durch eine unstimmige Access-Konﬁguration Zugriff erhalten. 100%ige Prävention ist schon durch den Fak- tor Mensch illusorisch: Auch wenn eine initial sichere Access-Konﬁguration die Zugriffsmöglichkeiten korrekt beschränkt, werden die Konﬁgurationen typischerweise über den Lebenszeitraum der Services hinweg oft ange- passt – und dabei entstehen schnell Unstimmigkeiten oder Fehler. Sobald ein Angreifer jedoch an die Identität eines © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#1 31

Management und Wissen Cloud-Security berechtigten Users oder sogar eines Super-Users kommt, stehen die Tore weit offen. Konsequente Überwachung Daher gilt es, ähnlich wie bei selbst verwalteten Services, die Log-Dateien des Cloud-Providers konsequent auszuwerten. Zusatzangebote unterstützen bei der Erken- nung abnormaler und potenziell maliziöser Aktivitäten, können jedoch die Bewertung, ob eine Aktion wirklich „bösartig“ ist, nicht übernehmen. Wenn beispielsweise eine API aus Indien aufgerufen wird und auf Cloud- Ressourcen zugreift, kann der Cloud-Provider lediglich die Information liefern, dass diese Aktion gerade zum ersten Mal stattﬁndet – nicht aber entscheiden, ob das problema- tisch ist. Das bleibt auch künftig Aufgabe des Cloud-Users beziehungsweise der IT-Abteilung seines Unternehmens. Für die Auswertung der Log-Dateien gibt es zwei Möglichkeiten: ein cloudnatives SIEM-System oder die Übernahme der Cloud-Logs in bereits vorhandene Syste- me im eigenen Rechenzentrum (RZ). Egal, welches SIEM- Modell man nutzt: Bestimmte Konﬁgurationsregeln und Use-Cases sind darin oft bereits deﬁniert und können auf potenziell maliziöse Aktivitäten hinweisen – aber das Fine- Tuning und die Implementierung einer ﬂächendeckenden Überwachung obliegt dem Cloud-Plattform-User! Besonders spannend wird das bei hybriden Infrastrukturen (on Premises/Cloud/Multi-Cloud): Für die Auswertung der entsprechenden Alerts braucht es entsprechend geschulte Security-Analysten, die Aktionen ob ihrer Gefährlichkeit bewerten. Incident-Response (IR) erfordert ein Verständnis für die Cloud-Infrastruktur und die dort genutzten Cloud-Services – wie Storages, Data- bases (DBs), Virtual Machines (VMs), Stateless-Functions, Virtual Networks, Machine-Learning-Models (ML), Hilfs- funktionen wie Speech2Text oder auch ganze Apps und Higher-Level-Services (z. B. Callcenter-Lösungen bei den Hyperscalern). Schaffen es Angreifer – beispielsweise durch Identitätsdiebstahl – Zugang zu erlangen, ist die Frage: Was ist die „transitive Zugriffshülle“ des Angreifers in der Cloud? Sprich: Was kann oder konnte der Angreifer alles verändern? Oft ist das bei stark verzahnten Services schwer zu bestimmen – Unternehmen ohne ein entsprechendes Security-Team sind gut beraten, hierfür die Dienste von Security-Experten in Anspruch zu nehmen. Spezialisten für Alarmauswertungen Das Thema CDR lässt sich auf Wunsch auch kom- plett outsourcen – allerdings muss der gewählte Partner über ein sehr tiefes Verständnis für die IT-Prozesse des Unternehmens verfügen! Der Aufbau des Wissens über die Prozesse, die in einer Organisation den IT-Normalzustand abbilden, kann durchaus einen längeren Zeitraum bean- spruchen. Ohne dieses Wissen und eine Baseline ist es sehr schwer, die Bandbreite möglicher maliziöser Aktivitäten zu erkennen. Das gilt allerdings auch, wenn das Unter- nehmen den Job selbst erledigt. Wenn eine Abweichung von der Basislinie auf- tritt, zum Beispiel durch eine Fehlkonﬁguration oder veränderte externe Faktoren, muss die Situation näher untersucht werden. Um dies erfolgreich zu tun, müssen die grundlegenden Konzepte der Reaktion auf Sicherheits- vorfälle in der Cloud-Umgebung und die Anforderungen an die Vorbereitung und Schulung von Cloud-Teams „ste- hen“, bevor Sicherheitsprobleme auftreten: Es ist wichtig zu wissen, welche Zugriffskontrollen und Funktionen exis- tieren, um auf identiﬁzierte Angreiferaktivitäten schnell und efﬁzient zu reagieren. Viele Response-Aktivitäten lassen sich in Cloud-Infrastrukturen gut automatisieren, sodass sich sehr gute Reaktionsgeschwindigkeiten und -konsistenz erreichen lassen, aber gleichzeitig besteht auch das Risiko, mit automatischen, zu weit gefassten Response- Mechanismen auch unbetroffene Cloud-Ressourcen au- ßer Betrieb zu nehmen. Darüber hinaus sollten natürlich (auch) bei der Verwendung von Cloud-Services die aktuellen Com- pliance-Anforderungen und gesetzliche Vorschriften bekannt sein, um ein umfassendes Sicherheitsframework zu entwickeln. Die Reaktion auf Sicherheitsvorfälle kann kom- plex sein. Daher ist ein iterativer Ansatz empfehlenswert: Mit den wichtigsten Sicherheitsdiensten beginnen, grund- legende Erkennungs- und Reaktionsfähigkeiten aufbauen und Playbooks entwickeln, um eine erste Bibliothek von Mechanismen zur Reaktion auf Vorfälle zu erstellen, die man dann nach und nach verbessern kann. CDR in der Praxis Bevor sich ein Unternehmen mit der Reaktion auf Sicherheitsvorfälle in der Cloud beschäftigt, sollten sich die Verantwortlichen mit den relevanten Standards für die Cloud-Sicherheit vertraut machen – die meisten Cloud-Provider bieten dafür einschlägige Whitepaper an. Wichtigstes Rahmenwerk für die Reaktion auf Vorfälle sind die Standards und Best Practices für die Reaktion auf Sicherheitsvorfälle aus dem „Computer Security Incident Handling Guide“ SP 800-61 r2, der vom National Institute of Standards and Technology (NIST) erstellt wurde (htt- ps://doi.org/10.6028/NIST.SP.800-61r2). Es ist wichtig zu verstehen, wie sich die Sicher- heitsabläufe und die Reaktion auf Vorfälle in der Cloud unterscheiden – um dort eine effektive Response-Fähigkeit 32 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#1

aufzubauen, müssen die Abweichungen von der üblichen Reaktion vor Ort und deren Auswirkungen auf das IR- Programm klar sein: Vorbereitung: Das CDR-Team ist darauf vorzuberei- ten, Vorfälle innerhalb der Cloud zu erkennen und darauf zu reagieren. Dafür ist es nötig, die Detection-Controls zu aktivieren und den passenden Zugriff auf die notwendi- gen Tools und Cloud-Services zu überprüfen. Außerdem müssen erforderliche manuelle und automatisierte Play- books vorbereitet werden, um angemessene Reaktionen zu gewährleisten. Operatives Vorgehen: Sicherheitsereignisse und potenzielle Vorfälle sind gemäß den NIST-Phasen der Vorfalls-Reaktion zu bearbeiten: Erkennen, Analysieren, Eindämmen, Beseitigen und Wiederherstellen. Post-Incident-Aktivitäten: Vorfälle und die Reakti- onen darauf sollten laufend analysiert werden, um aus den Ergebnissen Verbesserungen für die Zukunft abzuleiten und so präventive und reaktive Maßnahmen in der Cloud zu verbessern. Cloud-Prinzipien für die Reaktion auf Vorfälle Während die Kenntnis über die allgemeinen Prozesse und Mechanismen zur Pﬂicht gehört, ist es sehr empfehlenswert, sich mit einer Reihe weiterer speziﬁscher Designziele vertraut zu machen: Festlegung von Reaktionszielen: Das Ziel der Reaktion auf einen Vorfall ist gemeinsam mit Interessenvertretern, Rechtsberatern und der Unternehmensleitung festzule- gen. Zu den allgemeinen Zielen gehören die Eindämmung und Entschärfung des Problems oder der Bedrohung, die Wiederherstellung betroffener Ressourcen, die Sicherung von Daten für die Forensik, die Rückkehr zu bekannten si- cheren Abläufen und schließlich das Lernen aus Vorfällen. Response über die Cloud: Reaktionsmuster inner- halb der Cloud sind an derjenigen Stelle zu implementie- ren, wo das Ereignis auftrat und sich die Daten beﬁnden. Vorhandene und benötigte Daten: Protokolle, Res- sourcen, Snapshots und andere Beweise sind in einem zentralen Cloud-Konto für die Reaktion zu speichern. Dabei sollte man sinnvollerweise Tags, Metadaten und Mechanismen verwenden, die Aufbewahrungsrichtlinien durchsetzen. Zudem muss bekannt sein, welche Dienste genutzt werden, um die Anforderungen für die Untersu- chung dieser Dienste zu ermitteln. der Abweichung durch eine Neuverteilung von Ressour- cen mit der richtigen Konﬁguration. Automatisieren, wo möglich: Wenn Probleme auf- treten oder sich Vorfälle wiederholen, sind Mechanismen zur programmgesteuerten Sichtung und Reaktion auf häuﬁge Ereignisse zu entwickeln. Stichworte sind hier: „Infrastructure as Code“ (IaC) und Disposable IT-Assets/- Services. Dann lassen sich menschliche Reaktionen für einzigartige, komplexe oder sensible Vorfälle nutzen, bei denen Automatisierungen nicht ausreichen. Skalierbare Lösungen wählen: Die Skalierbarkeit des Cloud-Computing-Ansatzes eines Unternehmens sollte man immer berücksichtigen. Dafür sind Erkennungs- und Reaktionsmechanismen zu implementieren, die über die gesamte Unternehmensumgebung hinweg skalierbar sind, um die Zeit zwischen Erkennung und Reaktion zu verkürzen. Prozesse optimieren: Lücken in Prozessen, Werkzeu- gen oder Kenntnissen der Mitarbeiter:innen sind proaktiv zu identiﬁzieren und zu beheben. Simulationen sind eine gute Methode, um dies zu ermöglichen. Hauptunterschiede Die Reaktion auf Vorfälle ist ein wesentlicher Be- standteil einer Cybersicherheits-Strategie, sowohl vor Ort als auch in der Cloud. Sicherheitsprinzipien wie „Least Privilege“ und „Defense in Depth“ zielen darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten vor Ort sowie in der Cloud zu schützen. Dazu gehören aber auch die Aufbewahrung von Protokollen, die Auswahl von Warnmeldungen auf der Grundlage von Bedrohungsmo- dellen, das Erarbeiten von Playbooks und die Integration von SIEM. Die Unterschiede beginnen, wenn sich Nutzer mit der Architektur und Entwicklung dieser Muster in der Cloud auseinandersetzen: Sicherheit als geteilte Verantwortung Die Verantwortung für Sicherheit und Compli- ance wird von Cloud-Provider und Nutzer gemeinsam getragen – jeder ist für seinen Teil verantwortlich. Die geteilte Verantwortung entlastet den Kunden, da der Provider den „unteren“ Teil des Technolgie-Stacks – also die Komponenten von Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen – betreibt, ver- waltet und kontrolliert. Der Nutzer ist hingegen für den gesamten „oberen“ Teil des Technologie-Stacks – also den genutzten Services – verantwortlich. Mechanismen zur Neuverteilung: Wenn eine Sicher- heitsanomalie auf eine Fehlkonﬁguration zurückzuführen ist, kann die Behebung so einfach sein wie die Beseitigung In dem Maße, wie sich die gemeinsame Verant- wortung in der Cloud verändert, ändern sich auch Nutzer- Optionen für die Reaktion auf Vorfälle: Dabei ist der © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#1 33

Management und Wissen Cloud-Security Nutzer für die Erkennung und Reaktionen typischerweise allein verantwortlich, der Cloud-Provider stellt nur die notwendigen Werkzeuge. Eine konkrete Hilfe des Cloud- Providers bei der Erkennung und Reaktion auf Angriffe in der „eigenen“ IT – gehostet beim Cloud-Provider – ist für gewöhnlich nicht Teil des Leistungsumfangs eines Cloud-Providers. Neben der Beziehung zum Cloud-Provider gibt es möglicherweise noch andere Einheiten, die Verantwor- tung tragen – unter anderem Organisationseinheiten, die für bestimmte Aspekte des Betriebs verantwortlich sind. Möglicherweise sind auch weitere Cloud-Technologie- Partner oder sogar mehrere Cloud-Provider zu berück- sichtigen. Cloud-Service-Domäne Aufgrund der Unterschiede in der Sicherheitsver- antwortung bei Cloud-Diensten wurde bei einigen Provi- dern wie beispielsweise AWS eine neue Ebene für Sicher- heitsvorfälle eingeführt: die sogenannte Service-Domäne, die unter anderem das Cloud-Konto des Nutzers, IAM- Berechtigungen, Ressourcen-Metadaten und Abrechnung umfasst. Sie unterscheidet sich von der Vorfallsdomäne durch die Art der Reaktion: Diese erfolgt innerhalb der Service-Domäne in der Regel durch Prüfung und Ausgabe von API-Aufrufen und nicht durch klassische host- und netzwerkbasierte Reaktionen. In der Servicedomäne gibt es schließlich keine Interaktion mit dem Betriebssystem einer betroffenen Ressource. APIs für die Bereitstellung von Infrastruktur Ein weiterer Unterschied ergibt sich aus der Cloud-Eigenschaft des On-Demand-Self-Service: Nutzer interagieren mit der Cloud mithilfe einer RESTful API über öffentliche und private Endpunkte von vielen weltweiten Standorten aus – und können auf diese API mit ihren Cloud-Anmeldeinformationen zugreifen. Im Gegensatz zur Zugriffskontrolle vor Ort sind diese Anmeldeinforma- tionen aber nicht unbedingt an ein Netzwerk oder eine Microsoft-Active-Directory-(AD)-Domäne gebunden, sondern stattdessen mit einem Identity-and-Access-Ma- nagement-(IAM)-Prinzipal innerhalb eines Cloud-Kontos verknüpft. Dynamische Natur der Cloud Die Cloud ist dynamisch – sie ermöglicht es, schnell Ressourcen zu erstellen und zu löschen, durch eine automatische Skalierung können diese je nach An- stieg des Datenverkehrs auf- und abgebaut werden. Bei kurzlebigen Infrastrukturen und schnellen Änderungen kann es vorkommen, dass eine im Rahmen von CDR untersuchte Ressource nicht mehr existiert oder geändert wurde. Das Verständnis der ﬂüchtigen Natur von Cloud- Ressourcen und wie sich deren Erstellung und Löschung nachverfolgen lässt, ist daher wichtig für die Analyse von Vorfällen. Wichtige Schlagwörter sind hier unter anderem „Container“ und „Container-Orchestrierung“. Datenzugriff Der Datenzugriff ist in der Cloud ebenfalls anders: Analysten können sich nicht an einen Server „anschließen“, um die Daten zu sammeln, die sie für eine Sicherheitsuntersuchung benötigen – diese Daten müssen vielmehr über die Leitung und durch API-Aufrufe gesammelt werden. Automatisierung Damit Nutzer die Vorteile der Cloud-Nutzung voll ausschöpfen können, muss ihre Betriebsstrategie die Au- tomatisierung umfassen. „Infrastructure as Code“ ist ein Muster für hochefﬁziente automatisierte Umgebungen, in denen Cloud-Services mithilfe von Code bereitgestellt, konﬁguriert, geändert und gelöscht werden. Das führt dazu, dass die Implementierung der IR hochgradig auto- matisiert ist, was menschliche Fehler vermeidet. In der Cloud ist Automatisierung unerlässlich – dafür aber in der Regel auch einfacher als im eigenen Rechenzentrum. Provider-Auswahl Bei der Auswahl eines sicheren Cloud-Providers helfen Ratgeber, wie sie beispielsweise das BSI herausgibt (siehe www.bsi.bund.de/cloud.html) – dabei spielen Da- tenschutzaspekte eine vorrangige Rolle. Aus diesem Grund bieten die großen Provider an, kritische Services und Daten in europäischen Cloud-Rechenzentren zu verarbeiten und nicht global zu verteilen. Auch bezüglich weiterer Sicherheitskriterien lie- fert das BSI in Form des Cloud-Computing-Compliance- Criteria-Catalogue (C5-Kriterien) einschlägige Richtlinien für Cloud-Provider: Um eine C5-Zertiﬁzierung zu erhalten, müssen Anbieter einerseits für einen sicheren Betrieb sor- gen und andererseits auch bestimmte Security-Kriterien erfüllen. Die großen Provider haben ein entsprechendes Label – bei spezielleren Cloud-Providern sollten poten- zielle Kunden das im Vorfeld checken. ■ Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf sowie ständiges Mitglied in der „EU/ENISA – Wor- king Group on Security Operation Centres“ und stellvertretender Vorstandssprecher der Fachgruppe SIDAR der Deutschen Ge- sellschaft für Informatik (GI e.V.). 34 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#1