Das EC-Karten-Chaos zum Jahreswechsel 2010 hat die Anfälligkeit dieses Systems gezeigt: Manchmal reicht schon eine Null in der Jahreszahl und Millionen von Kunden können das elektronische Zahlungsmittel nicht mehr nutzen. Aber nicht nur Banken, sondern auch Unternehmen sollten in diesem Jahr bei Kreditkartendaten besondere Sorgfalt walten lassen und ihre Sicherheitsmaßnahmen für das eigene Netzwerk kritisch überprüfen – empfiehlt Stonesoft (NASDAQ OMX: SFT1V, www.stonesoft.de), innovativer Anbieter integrierter Lösungen für Netzwerksicherheit und Business Continuity.
Zunehmender Missbrauch von Kreditkartendaten ist aber nur eines der kritischen Sicherheitsthemen, das die Stonesoft-Experten für dieses Jahr identifiziert haben. Beim Blick in die Glaskugel der IT-Sicherheit 2010 zeichnen sich zudem erhöhte Risiken ab, die sich hinter aktuellen Trends wie Social Media, Cloud Computing oder Mobilität verbergen. Für 2010 rechnet Stonesoft mit vermehrten Angriffen auf private und Unternehmensnetzwerke. Das Problem: Das Sicherheitsbewusstsein von Anwendern und Unternehmen hält mit dem Wachstum der aktuellen Trends nicht mehr mit.
Dabei sind die Bedrohungen häufig nicht neu, jedoch die Kanäle, über die sie sich verbreiten. Outsourcing, soziale Netzwerke im Internet oder die Nutzung mobiler Geräte machen Daten- und Identitätsdiebstahl leichter denn je. Hinzu kommt, dass die Grenze zwischen privaten und unternehmenseigenen Systemen immer mehr verschwimmt. Vom Arbeitsplatz aus aktualisieren Mitarbeiter ihr Facebook-Profil, buchen mit dem Geschäfts-Smartphone die nächste Urlaubsreise oder verlinken Websites im firmeneigenen Blog. Die Sicherheits-Experten von Stonesoft warnen Unternehmen wie Privat-Anwender gleichermaßen, bei den IT-Trends besonders die Netzwerksicherheit nicht aus den Augen zu verlieren.
Die größten Gefahren 2010:
Kreditkartendaten – unzureichend geschützte Identitäten
Der Verlust von Kundendaten ist für Unternehmen mit einem hohen Vertrauensverlust verbunden. Zwar schützen viele Unternehmen die Kreditkartendaten ihrer Kunden mit einer Firewall vor Missbrauch. Jedoch wird diese Maßnahme allein in Zukunft kaum mehr ausreichend Schutz vor der kriminellen Energie der Hacker bieten. Vielmehr sollten Unternehmen auch 2010 in weitere Sicherheitsmechanismen investieren und das Netzwerk zusätzlich mit einem Intrusion Prevention System (IPS) schützen. Zumal diese Maßnahme seit Inkrafttreten des Payment Card Industry Data Security Standards (PCI-DSS) für alle Unternehmen verpflichtend ist, die Kreditkarteninformation speichern, verarbeiten oder übertragen.
Ein IPS erkennt Angriffe, bevor sie die kritischen Netzwerkbereiche erreichen; Würmer, Spyware oder andere Schädlinge entfernt das System automatisch. Gleichzeitig können Administratoren anhand von Reportings jederzeit nachvollziehen, wer wann auf welche Daten zugegriffen hat. Dadurch lassen sich zukünftige Attacken besser abwehren und beteiligte Stellen rechtzeitig über mögliche Probleme informieren. Ein Unternehmen, das auch 2010 ausreichend vor Datenmissbrauch geschützt sein will, muss daher über ein IPS verfügen.
Social Media – der Fluch der Vernetzung
Immer mehr Social-Media-Angebote locken mit schneller Kommunikation und Kontaktpflege. Die einfache Bedienbarkeit der Portale sowie die hohe Geschwindigkeit, in der sich Nachrichten verbreiten, haben einen großen Reiz – und bergen zahlreiche Gefahren. Zum Großteil liegen diese beim Anwender selbst: Je einfacher und schneller sich Informationen im Netz veröffentlichen lassen, desto sensibler müssen Nutzer mit dem Social Web umgehen. Einmal im Internet losgelassen, lassen sich Daten kaum mehr vollständig löschen. Selbst nach dem Löschen oder Überschreiben der Originaldateien, finden sich die Informationen häufig noch im Archiv von Suchmaschinen. Unternehmen sollten daher verstärkt ihre Mitarbeiter auf die Gefahren hinweisen und klare Richtlinien im Umgang mit Social Media definieren.
Eine der größten Bedrohungen 2010 wird das so genannte Social Engineering sein. Dabei spähen Angreifer das persönliche IT-Umfeld ihrer Opfer aus und missbrauchen deren digitale Identität. Dadurch können selbst Nachrichten von Freunden und Bekannten schädliche Software enthalten – für den Empfänger ist dies nicht erkenntlich. Bereits Anfang 2009 hatte der Virus Conficker allein in Deutschland etwa 50 Millionen Rechner befallen – und wird auch noch dieses Jahr die Sicherheitsexperten beschäftigen.
Künftig werden Hacker immer mehr Wege für ihre Angriffe auf private oder Unternehmensnetzwerke finden. Dabei können unternehmenseigene E-Mails ebenso zum Risiko werden wie private Messaging-Dienste auf Social-Media-Seiten. Hier ist verstärkt die Aufmerksamkeit des Anwenders gefragt.
Cloud Computing – die Schattenseite der Wolke
Cloud Computing bietet Unternehmen attraktive Vorteile: Externe Anbieter übernehmen den aufwändigen Betrieb und das Management der IT. Ist zudem ein Pay-per-Use-Modell vereinbart, zahlt das Unternehmen nur die tatsächlich benötigten Leistungen und spart dadurch unnötige IT-Kosten. Was viele jedoch bei der Auswahl eines passenden Outsourcing-Partners außer Acht lassen, ist die Sicherheit der ausgelagerten Daten. Ein Fehler, der sich mit der zunehmenden Zahl an Outsourcing-Verträgen zu einem hohen Risiko entwickeln kann.
Lagern Unternehmen ihre IT an einen externen Dienstleister aus, übertragen sie ihm damit auch die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten. Die meisten Outsourcing-Anbieter verkaufen ihren Kunden ein Gesamtpaket. Zwar ist die Qualität der Services über so genannte Service Level Agreements (SLAs) abgesichert. In den seltensten Fällen jedoch berücksichtigen die SLAs die Sicherheit der Daten. Häufig ist die Datensicherheit eine Art „Katze im Sack“, die der Kunde mit dem Gesamtpaket ungesehen kauft. Der tatsächliche Sicherheitsbedarf eines Unternehmens bleibt unberücksichtigt. Daher sollten Verantwortliche bei der Auswahl eines Outsourcing-Anbieters verstärkt auf das vorhandene Sicherheitssystem achten. Entspricht es den unternehmensspezifischen Anforderungen? Welche Garantien bietet der Dienstleister? Ist das Berichtssystem lückenlos? Und was passiert im Falle eines Datenmissbrauchs? Wer haftet in diesem Fall?
Die Stonesoft-Experten erwarten für 2010, dass der Cloud-Computing-Trend weiter anhält. Erst durch gravierende Vorfälle von Datenverlust oder -missbrauch wird das Thema „Sicherheit in der Cloud“ die Aufmerksamkeit erhalten, die schon jetzt dringend nötig wäre. Hier sind vor allem die Unternehmen selbst in der Pflicht. Sie müssen künftig aktiv verbesserte, bedarfsspezifische Sicherheitsmechanismen von den Dienstleistern einfordern.
Mobile Geräte – gefährliche kleine Helfer
Mobile Geräte wie Smartphones oder PDAs haben längst Einzug in die Geschäftswelt gehalten – und damit auch Zugriff auf kritische Daten. Selten sind sie jedoch im gleichen Umfang geschützt wie Desktop-PCs. Aus diesem Grund werden mobile Geräte für Angreifer immer reizvoller werden.
Die Bedrohungen sind nicht neu, ähneln sie doch den Angriffen auf Notebooks. Der entscheidende Unterschied: Häufig vergeben Anwender sehr einfache Passwörter für den Zugriff auf ein mobiles Gerät, da die Eingabe mühsamer ist als mit einer Tastatur. Hinzu kommt, dass Mitarbeiter die mobilen Geräte sowohl geschäftlich als auch privat nutzen, aber die regelmäßigen Updates für Anti-Viren-Software und Firewall versäumen. So kann ein Virus problemlos nicht nur das System des Anwenders, sondern auch das Unternehmensnetzwerk befallen. Um diesen Gefahren künftig effektiv vorbeugen zu können, müssen Unternehmen die Geräte zentral verwalten können. Dadurch lassen sich Sicherheitseinstellungen und -Updates für jeden einzelnen PDA immer auf dem neuesten Stand halten.
Die Realität sieht jedoch anders aus. „Die meisten Unternehmen verkennen die Gefahren der zunehmenden Mitarbeitermobilität. Zwar wird die Nachfrage bei Smartphones und PDAs weiterhin steigen, die Sicherheitsfunktionen dieser Geräte werden jedoch ungenügend bleiben. Ein gefundenes Fressen für zukünftige Angreifer“, warnt Hermann Klein, Country Manager DACH bei Stonesoft. „Erst mit dem zunehmenden Bewusstsein der Anwender für die möglichen Gefahren wird auch die Nachfrage nach besseren Sicherheitsmechanismen steigen. Bis dahin aber müssen wir mit vermehrten Angriffen auf mobile Geräte rechnen.“
Zunehmender Missbrauch von Kreditkartendaten ist aber nur eines der kritischen Sicherheitsthemen, das die Stonesoft-Experten für dieses Jahr identifiziert haben. Beim Blick in die Glaskugel der IT-Sicherheit 2010 zeichnen sich zudem erhöhte Risiken ab, die sich hinter aktuellen Trends wie Social Media, Cloud Computing oder Mobilität verbergen. Für 2010 rechnet Stonesoft mit vermehrten Angriffen auf private und Unternehmensnetzwerke. Das Problem: Das Sicherheitsbewusstsein von Anwendern und Unternehmen hält mit dem Wachstum der aktuellen Trends nicht mehr mit.
Dabei sind die Bedrohungen häufig nicht neu, jedoch die Kanäle, über die sie sich verbreiten. Outsourcing, soziale Netzwerke im Internet oder die Nutzung mobiler Geräte machen Daten- und Identitätsdiebstahl leichter denn je. Hinzu kommt, dass die Grenze zwischen privaten und unternehmenseigenen Systemen immer mehr verschwimmt. Vom Arbeitsplatz aus aktualisieren Mitarbeiter ihr Facebook-Profil, buchen mit dem Geschäfts-Smartphone die nächste Urlaubsreise oder verlinken Websites im firmeneigenen Blog. Die Sicherheits-Experten von Stonesoft warnen Unternehmen wie Privat-Anwender gleichermaßen, bei den IT-Trends besonders die Netzwerksicherheit nicht aus den Augen zu verlieren.
Die größten Gefahren 2010:
Kreditkartendaten – unzureichend geschützte Identitäten
Der Verlust von Kundendaten ist für Unternehmen mit einem hohen Vertrauensverlust verbunden. Zwar schützen viele Unternehmen die Kreditkartendaten ihrer Kunden mit einer Firewall vor Missbrauch. Jedoch wird diese Maßnahme allein in Zukunft kaum mehr ausreichend Schutz vor der kriminellen Energie der Hacker bieten. Vielmehr sollten Unternehmen auch 2010 in weitere Sicherheitsmechanismen investieren und das Netzwerk zusätzlich mit einem Intrusion Prevention System (IPS) schützen. Zumal diese Maßnahme seit Inkrafttreten des Payment Card Industry Data Security Standards (PCI-DSS) für alle Unternehmen verpflichtend ist, die Kreditkarteninformation speichern, verarbeiten oder übertragen.
Ein IPS erkennt Angriffe, bevor sie die kritischen Netzwerkbereiche erreichen; Würmer, Spyware oder andere Schädlinge entfernt das System automatisch. Gleichzeitig können Administratoren anhand von Reportings jederzeit nachvollziehen, wer wann auf welche Daten zugegriffen hat. Dadurch lassen sich zukünftige Attacken besser abwehren und beteiligte Stellen rechtzeitig über mögliche Probleme informieren. Ein Unternehmen, das auch 2010 ausreichend vor Datenmissbrauch geschützt sein will, muss daher über ein IPS verfügen.
Social Media – der Fluch der Vernetzung
Immer mehr Social-Media-Angebote locken mit schneller Kommunikation und Kontaktpflege. Die einfache Bedienbarkeit der Portale sowie die hohe Geschwindigkeit, in der sich Nachrichten verbreiten, haben einen großen Reiz – und bergen zahlreiche Gefahren. Zum Großteil liegen diese beim Anwender selbst: Je einfacher und schneller sich Informationen im Netz veröffentlichen lassen, desto sensibler müssen Nutzer mit dem Social Web umgehen. Einmal im Internet losgelassen, lassen sich Daten kaum mehr vollständig löschen. Selbst nach dem Löschen oder Überschreiben der Originaldateien, finden sich die Informationen häufig noch im Archiv von Suchmaschinen. Unternehmen sollten daher verstärkt ihre Mitarbeiter auf die Gefahren hinweisen und klare Richtlinien im Umgang mit Social Media definieren.
Eine der größten Bedrohungen 2010 wird das so genannte Social Engineering sein. Dabei spähen Angreifer das persönliche IT-Umfeld ihrer Opfer aus und missbrauchen deren digitale Identität. Dadurch können selbst Nachrichten von Freunden und Bekannten schädliche Software enthalten – für den Empfänger ist dies nicht erkenntlich. Bereits Anfang 2009 hatte der Virus Conficker allein in Deutschland etwa 50 Millionen Rechner befallen – und wird auch noch dieses Jahr die Sicherheitsexperten beschäftigen.
Künftig werden Hacker immer mehr Wege für ihre Angriffe auf private oder Unternehmensnetzwerke finden. Dabei können unternehmenseigene E-Mails ebenso zum Risiko werden wie private Messaging-Dienste auf Social-Media-Seiten. Hier ist verstärkt die Aufmerksamkeit des Anwenders gefragt.
Cloud Computing – die Schattenseite der Wolke
Cloud Computing bietet Unternehmen attraktive Vorteile: Externe Anbieter übernehmen den aufwändigen Betrieb und das Management der IT. Ist zudem ein Pay-per-Use-Modell vereinbart, zahlt das Unternehmen nur die tatsächlich benötigten Leistungen und spart dadurch unnötige IT-Kosten. Was viele jedoch bei der Auswahl eines passenden Outsourcing-Partners außer Acht lassen, ist die Sicherheit der ausgelagerten Daten. Ein Fehler, der sich mit der zunehmenden Zahl an Outsourcing-Verträgen zu einem hohen Risiko entwickeln kann.
Lagern Unternehmen ihre IT an einen externen Dienstleister aus, übertragen sie ihm damit auch die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten. Die meisten Outsourcing-Anbieter verkaufen ihren Kunden ein Gesamtpaket. Zwar ist die Qualität der Services über so genannte Service Level Agreements (SLAs) abgesichert. In den seltensten Fällen jedoch berücksichtigen die SLAs die Sicherheit der Daten. Häufig ist die Datensicherheit eine Art „Katze im Sack“, die der Kunde mit dem Gesamtpaket ungesehen kauft. Der tatsächliche Sicherheitsbedarf eines Unternehmens bleibt unberücksichtigt. Daher sollten Verantwortliche bei der Auswahl eines Outsourcing-Anbieters verstärkt auf das vorhandene Sicherheitssystem achten. Entspricht es den unternehmensspezifischen Anforderungen? Welche Garantien bietet der Dienstleister? Ist das Berichtssystem lückenlos? Und was passiert im Falle eines Datenmissbrauchs? Wer haftet in diesem Fall?
Die Stonesoft-Experten erwarten für 2010, dass der Cloud-Computing-Trend weiter anhält. Erst durch gravierende Vorfälle von Datenverlust oder -missbrauch wird das Thema „Sicherheit in der Cloud“ die Aufmerksamkeit erhalten, die schon jetzt dringend nötig wäre. Hier sind vor allem die Unternehmen selbst in der Pflicht. Sie müssen künftig aktiv verbesserte, bedarfsspezifische Sicherheitsmechanismen von den Dienstleistern einfordern.
Mobile Geräte – gefährliche kleine Helfer
Mobile Geräte wie Smartphones oder PDAs haben längst Einzug in die Geschäftswelt gehalten – und damit auch Zugriff auf kritische Daten. Selten sind sie jedoch im gleichen Umfang geschützt wie Desktop-PCs. Aus diesem Grund werden mobile Geräte für Angreifer immer reizvoller werden.
Die Bedrohungen sind nicht neu, ähneln sie doch den Angriffen auf Notebooks. Der entscheidende Unterschied: Häufig vergeben Anwender sehr einfache Passwörter für den Zugriff auf ein mobiles Gerät, da die Eingabe mühsamer ist als mit einer Tastatur. Hinzu kommt, dass Mitarbeiter die mobilen Geräte sowohl geschäftlich als auch privat nutzen, aber die regelmäßigen Updates für Anti-Viren-Software und Firewall versäumen. So kann ein Virus problemlos nicht nur das System des Anwenders, sondern auch das Unternehmensnetzwerk befallen. Um diesen Gefahren künftig effektiv vorbeugen zu können, müssen Unternehmen die Geräte zentral verwalten können. Dadurch lassen sich Sicherheitseinstellungen und -Updates für jeden einzelnen PDA immer auf dem neuesten Stand halten.
Die Realität sieht jedoch anders aus. „Die meisten Unternehmen verkennen die Gefahren der zunehmenden Mitarbeitermobilität. Zwar wird die Nachfrage bei Smartphones und PDAs weiterhin steigen, die Sicherheitsfunktionen dieser Geräte werden jedoch ungenügend bleiben. Ein gefundenes Fressen für zukünftige Angreifer“, warnt Hermann Klein, Country Manager DACH bei Stonesoft. „Erst mit dem zunehmenden Bewusstsein der Anwender für die möglichen Gefahren wird auch die Nachfrage nach besseren Sicherheitsmechanismen steigen. Bis dahin aber müssen wir mit vermehrten Angriffen auf mobile Geräte rechnen.“
