8. Januar 2025

30. Mai 2023 it-daily.net | Chester Wisniewski*; Sophos

Omnipräsente Ransomware ist nicht die einzige Gefahr

Während die Welt hauptsächlich Schutz vor Ransomware sucht, sieht Chester Wisniewski, Field CTO Applied Research bei Sophos, weitere, hohe Risikopotenziale unterrepräsentiert. [...]

ransomware-gdfde989df_640 — Foto: PeteLinforth/Pixabay

Er schätzt vor allem die internen Gefahren, die absichtlich oder aus Unwissenheit entstehen, als hoch ein. „Datenschutzverletzungen aus dem Inneren geschehen entweder absichtlich, beispielsweise durch Insider-Bedrohungen, oder unbeabsichtigt, wie etwa durch unsachgemäßen Umgang mit sensiblen Daten.“

Wisniewski geht von einem derart hohen Gefahrenpotenzial aus, dass aus seiner Sicht mit an Sicherheit grenzender Wahrscheinlichkeit jedes Unternehmen mit Insider-Bedrohungen konfrontiert ist und wahrscheinlich schon einmal Opfer einer solchen Bedrohung war.

Seiner Einschätzung nach sind die drei Hauptgründe für Sicherheitsvorfälle aus dem Inneren Rache, Habgier und mangelnde Achtsamkeit. Vorsätzliche Diebstähle sieht der Security-Experte am wahrscheinlichsten, wenn jemand kurz vor der Kündigung steht oder entlassen wurde.“

Das Risiko: Geschäftsführerhaftung

Das hohe Sicherheitsrisiko durch die eigenen Mitarbeitenden, inklusive der vertrauten Dritten (etwa Technologiedienstleister), steht im unmittelbaren Zusammenhang mit der strengeren Geschäftsführerhaftung für alle Unternehmen und hat seit dem neuen NIS2-Gesetz insbesondere für die Betreiber kritischer Infrastrukturen besondere Relevanz.

Chester Wisniewski betont bei der Gefahr von Innen drei Aspekte, um die sich Unternehmen und insbesondere deren Geschäftsführungen umgehend kümmern sollten:

Gesetzliche Verantwortung:
- Geschäftsführer:innen tragen in vielen Ländern eine gesetzliche Verantwortung für die Einhaltung bestimmter Sicherheitsstandards, insbesondere im Bereich des Datenschutzes. Wenn ein Unternehmen nicht angemessene Maßnahmen zur IT-Sicherheit ergreift und dadurch Datenverluste oder Datenschutzverletzungen auftreten, kann dies zu rechtlichen Konsequenzen für die Geschäftsführenden führen.
Schadensersatzansprüche:
- Wenn ein Unternehmen durch eine Sicherheitsverletzung oder Datenpanne Schaden erleidet, können Geschäftsführer:innen von den Aktionären, Kunden oder anderen Parteien für den entstandenen Schaden haftbar gemacht werden. Wenn Mitarbeitende absichtlich oder fahrlässig dazu beitragen, dass solche Sicherheitsvorfälle auftreten, könnte dies die Haftung der Geschäftsführung verstärken.
Organisatorische Sicherheitsmaßnahmen:
- Geschäftsführungen sind dafür verantwortlich, angemessene IT-Sicherheitsmaßnahmen im Unternehmen zu implementieren. Dazu gehören die Einführung von Sicherheitsrichtlinien, die Nutzung von Sicherheitstechnologien, die regelmäßige Überprüfung der Systeme sowie die Durchführung von Audits. Eine mangelhafte Umsetzung von IT-Sicherheitsmaßnahmen kann die Gefahr von Sicherheitsvorfällen durch Beschäftigte erhöhen und die Geschäftsführerhaftung verstärken.

Verschiedene Branchen, verschiedene Risiken und ganz oft aus Versehen

Die Gefahr einer Sicherheitsverletzung von innen lässt sich genauso wenig auf einen zentralen Aspekt reduzieren, wie vergleichsweise bei Ransomware, bei der ebenfalls eine Vielfalt von Angriffsvektoren existiert. Laut Wisniewski liegt ein Hauptfaktor für innere Security-Probleme in der Art des Unternehmens oder der Organisation, in der ein Mitarbeiter oder Dritter tätig ist.

In der Verteidigungsbranche beispielsweise handelt es sich meist um Spionage. In der Technologiebranche spielt meist der klassische Diebstahl von Geschäftsgeheimnissen die wichtigste Rolle. „In diesen Fällen ist in sehr vielen Unternehmen die Gelegenheit – sprich dass Daten in der Regel zu freizügig gespeichert werden und dass zu viele Personen Zugang zu Informationen haben – die Ursache für das Problem.“

Am häufigsten kommt es nach den Erfahrungen von Chester Wisniewski jedoch zu versehentlichen Datenverlusten. Wir alle kennen den versehentlichen Verlust von E-Mail-Adressen, wenn sie mit CC statt mit BCC versehen wurden. Auch verlorene Mobilgeräte, USB-Speicher und versehentlich freigegebene Cloud-Repositories fallen bis zu einem gewissen Grad in den Bereich der Insider-Bedrohungen.

Tipps zur Vermeidung einer Geschäftsführerhaftung

Prävention im Inneren hat andere Regeln als der Schutzschirm nach außen. Chester Wisniewski gibt vier Tipps:

Tools zur Verhinderung von Datenverlusten (DLP) sind nützlich, um versehentliche Datenverluste zu verhindern, jedoch wenig effektiv, wenn die Diebstähle absichtlich und von einer motivierten Person durchgeführt werden.
Endpunkt-XDR-Systeme und Firewalls können sowohl DLP durchsetzen als auch den Zugriff und die Bewegung von Daten protokollieren. Dies ist sowohl bei der Vorbeugung als auch nach einem Vorfall sehr hilfreich, um die forensische Arbeit zu unterstützen und den Vorfall aufzuklären.
Minimale Rechtevergabe und der gezielte Zugriff nur auf jene Daten, die man kennen muss, schützt sensible Daten.
Das Zero-Trust-Modell bietet im Vergleich zu herkömmlichen Security-Konzepten ein wesentlich höheres Sicherheitsniveau, indem es nicht nur allen Geräten und Diensten misstraut, sondern auch den Anwendern. Sämtlicher Netzwerk- und Datenverkehr wird geprüft und alle Anwender oder Dienste müssen sich eindeutig authentifizieren.

„Es ist schwer, ein Unternehmen vor den inneren Risiken zu schützen, was insbesondere an den individuellen Strukturen von Unternehmen und an der Risikovielfalt liegt,“ so Wisniewski.

„Dennoch müssen Unternehmen und insbesondere Geschäftsführer:innen diese Aufgabe adressieren und bestmöglich meistern. Das gelingt aus meiner Sicht am besten durch ein integriertes Security-Ökosystem in Verbindung mit einer konsequent umgesetzten Zero-Trust-Strategie.“

*Chester Wisniewski ist als Principal Research Scientist für den führenden Next-Generation-Security-Anbieter Sophos tätig. Mit mehr als 20 Jahren Berufserfahrung erreichte sein Interesse an IT-Sicherheit und Datenschutz seinen ersten Höhepunkt, als er in den 1980er Jahren mit Bulletin-Board-Textdateien das Hacking erlernte. Seitdem ist IT-Sicherheit zu seiner lebenslangen Berufung geworden.

Cybercrime-Kosten steigen: Malware- und Phishing-Angriffe auf dem Vormarsch

7. Januar 2025 pi/cb

Cyberangriffe nehmen weltweit zu und bedrohen die IT-Sicherheit von Großunternehmen. Eine aktuelle Studie warnt vor Kosten von bis zu 15 Billionen Dollar bis 2030. […]

Siemens und AWS kooperieren für Startup-Förderung. (c) Siemens

Siemens startet Förderprogramm für Tech-Startups

7. Januar 2025 pi/cb

Siemens lanciert auf der CES 2025 ein neues Programm zur Unterstützung von Startups im Engineering- und Fertigungsbereich. Eine Kooperation mit AWS soll Innovationen beschleunigen. […]

Ort der Veranstaltung "Innovationsauftakt 2025" ist das moderne Vienna Airport Conference & Innovation Center im Office Park 4 (c) Flughafen Wien

„Innovationsauftakt 2025“ am Flughafen Wien

7. Januar 2025 pi/kdl

Am 14. Jänner 2025 ist der Flughafen Wien mit dem „Innovationsauftakt 2025“ erneut ein Hotspot für Österreichs Innovationsszene. Hochkarätige Speaker, wie etwa Dominic Thiem, US Open Champion und Gründer von Thiem Energy, Rudolf Dömötör, Managing Director WU Gründungszentrum, Dejan Stojanovic, Founder The Failure Institute sowie weitere Experten aus Wirtschaft und Industrie teilen inspirierende Einblicke zu Innovation und diskutieren aktuelle Trends. […]

Aufgrund der Gefahr möglicher Datenverluste vermutet GlobalData, dass Unternehmen 2025 den Zugang zu generativer KI für Entwickler beschränken könnten. (c) AlfredMuller/Pixabay

GlobalData prognostiziert Zugangsbeschränkungen für Entwickler zu GenAI wegen Datenverluste

7. Januar 2025 pi/kdl

Das Marktforschungsunternehmen Global Data erwartet, dass Unternehmen aufgrund von Bedenken hinsichtlich des Schutzes von Daten die Nutzung von generativer KI (GenAI) durch Entwickler stärker einschränken werden. Vielmehr wird agentenbasierte KI zu einer wichtigen Weiterbildungsmöglichkeit für IT-Fachleute, und Open-Source-Software (OSS) wird die Innovation in der Cloud-Entwicklung vorantreiben. […]

KI- und Automatisierungstrends im Jahr 2025

7. Januar 2025

In den letzten Jahren haben Unternehmen darum gewetteifert, die Vorteile von KI zu nutzen. Doch 2025 wird das Jahr, in dem diese KI-Nutzung eine neue Reife erreicht. Das ermöglicht den Durchbruch von Agentic Automation, die es KI-Agenten erstmals erlaubt, Wissensarbeitende zuverlässig zu unterstützen. […]

„Wir haben deine Daten“

7. Januar 2025

Mit dem Claim „Wir haben Deine Daten“ lenken iab austria, der Bundesverband Digitale Wirtschaft und IAB Switzerland im Rahmen einer gemeinsamen Kampagne die Aufmerksamkeit auf die Relevanz von Daten für Wirtschaft, Wissenschaft und Gesellschaft. […]

Smartphone für 99 Euro

7. Januar 2025 Boris Boden *

Mit dem Arc hat HMD sein neues Einsteigermodell angekündigt, das es ab sofort in zwei Speichervarianten für 99 und 119 Euro gibt. […]

Die wichtigsten Netzwerktrends für 2025: KI, Resilienz und Edge Computing

7. Januar 2025 Dirk Schuma *

In einer praktisch vollständig vernetzten Welt sind eine hohe Netzwerkresilienz und stabile Netzwerkverbindungen das A und O, um die Wirtschaft am Laufen zu halten. Immer wichtiger wird zudem ihr Randbereich, also der Edge, in dessen Richtung sich die Datenverarbeitung zunehmend verschiebt. […]

Unternehmen setzen darauf, personalisierte KI-Erlebnisse zu schaffen, die Markenwerte und -kultur widerspiegeln. (c) Pexels

Accenture-Studie sieht neues Zeitalter der KI mit mehr Autonomie für Unternehmen

7. Januar 2025 Wolfgang Franz

Die 25. Ausgabe des Berichts “Acceture Technology Vision” untersucht, wie KI-basierte Autonomie Technologieentwicklung, Kundenerfahrung, die physische Welt und die globale Arbeitswelt verändern könnte. […]