Spektrum Engineering

Industrial IT-Security | Embedded | Software | Industriesteuerungen

IT-Sicherheit im eigenen Unternehmen bewerten

Secure Mobile Connect Spektrum EngineeringDie Sicherheit der IT-Infrastruktur im eigenen Unternehmen quantitativ bewerten

In vielen kleinen und mittelständischen Unternehmen (KMUs) muss die IT-Infrastruktur schnell mitwachsen. Anfänglich liegt der Fokus auf dem zuverlässigen Betrieb der Systeme und die Architektur bleibt überschaubar. Viele KMUs setzen auch zu Beginn auf Cloud-Anwendungen, um möglichst flexibel Geräte (z.B. Smartphone, Tablet, Notebook) hinzufügen und schnellstmöglich nutzen zu können. Mit steigender Anzahl an Clients wird die Architektur jedoch schnell unübersichtlich und unüberschaubar, da beispielsweise unterschiedliche Cloud-Anwendungen eingesetzt werden, um den Aufgaben jeder Abteilung gerecht werden zu können.

Eine heterogene und unübersichtliche Infrastruktur ist nicht nur öfters fehleranfällig und benötigt kürzere Wartungsintervalle, auch das Risiko — durch die Heterogenität der eingesetzten Geräte Schwachstellen zu schaffen — steigt.

Ich verliere den Überblick in unserer IT-Infrastruktur, wie gehe ich vor?

Es ist wichtig zu erkennen, dass der Schutz der Unternehmens-IT bzw. der IT-Infrastruktur nicht nur von einzelne Komponenten oder System abhängig ist, sondern jedes einzelne Gerät zu einer Bedrohung werden kann. Eine Bedrohung bedeutet beispielsweise nicht nur “Datendiebstahl”, sondern kann auch schnell zum Ausfall einzelner Systeme führen — das Ergebnis: einzelne Abteilungen sind nicht mehr arbeitsfähig.

Weiterlesen ...

Die Bundesregierung und der "Staatstrojaner"

Zitat von Benjamin Franklin, dargestellt auf einem iPhoneNun ist es endlich soweit - die Pläne, von denen man lange Zeit nur am Rande mitbekommen hat sind nun konkretisiert und der Bundestag hat es am 22.06.2017 beschlossen: Ermittlungsbehörden dürfen Software einsetzen, um auch verschlüsselte Kommunikation von potentiellen "Gefährdern" abzuhören.

Die Medien diskutieren, ob (und wahrscheinlich ist es auch so) dieses Gesetz verfassungswidrig ist. Wir wollen nun mal die technische Seite betrachten und analysieren, welche Voraussetzungen erfüllt werden müssen, damit so ein "Angriff" erfolgt:

In den letzten Jahren hat sich im Bezug auf verschlüsselte Kommunikation bei Messenger-Diensten viel getan, von der Übertragung mit SSL/TLS bis hin zur Ende-Zu-Ende Verschlüsselung (E2E). Mittlerweile ist die E2E-Verschlüsselung der de facto Standard bei jedem namhaften Messenger geworden, egal ob Threema, iMessage, WhatsApp, etc. Dank der vielen vorhanden (auch Open Source) Bibliotheken ist die Implementierung von E2E Verschlüsselung in mobilen Apps und anderen Anwendungen mit keinem großen Aufwand mehr verbunden. Jeder Entwickler kann sie quasi einsetzen.

Weiterlesen ...

WannaCry und IT-Security in Unternehmen

TagCloud IT-Security in UnternehmenDer Angriff WannaCry (WannaCrypt oder RansomCry) zeigt leider mal wieder die Verwundbarkeit von Unternehmen und anderen Organisationen in Bezug auf deren IT-Infrastruktur. Der Unterschied zu anderen vergleichbaren Angriffen liegt jedoch in diesem Fall nicht in der Verwundbarkeit der Technik, sondern vielmehr daran, dass Unternehmen IT-Security als Geschäftsprozess nicht bzw. nicht vollständig implementiert haben.

Die Lücke selbst war bekannt und wurde auch von Microsoft bereits im März 2017 gepatcht, das einzige was die betroffenen Nutzer/Organisationen hätten tun müssen, wäre den Patch kurz nach Erscheinen im März einzuspielen und die Lücke somit zu schließen.

Die Reaktion von Microsoft - kurz nach Ausnutzen der Lücke am 12.05.2017 - auch Patches für ältere Versionen von Windows herauszugeben, war vorbildlich und vor allem die geringe Reaktionszeit sehr lobenswert.

Die Gefahr dieser "neuen" Schadsoftware vom Typ Ransomware wurde bereits in Blogs und auf Fachtagungen diskutiert, die kürzlichen Vorkommnisse zeigen jedoch, dass der Geschäftsprozess IT-Security in Unternehmen mit viel zu niedriger Priorität betrachtet wird, obwohl diese Gefahren bekannt sind.

DB compromisedDass die Deutsche Bahn stark von dem Angriff betroffen ist, tut mir persönlich sehr Leid, auf der anderen Seite ist es jedoch unverständlich warum gerade ein Unternehmen wie die DB nicht in der Lage war, ihre kritische IT-Infrastruktur entsprechend zu sichern. Hierzu wären keine großartigen Kenntnisse in der IT-Sicherheit notwendig gewesen, sondern lediglich ein einwandfreier Geschäftsprozess zur Verwaltung von Security-Related-Tasks.

Den Rat, den man den Betroffenen geben kann, die ihre Dateien und Dokumente durch den WannaCry Angriff verloren haben, ist Backups einzuspielen und aus dem Vorfall zu lernen. Auf die Erpressung einzugehen und zu hoffen, dass man die Dateien nach erfolgreicher Geldübergabe wiederbekommt, halte ich für wenig sinnvoll.