IT-Security Mai/Juni 2023

Weitere Magazine

Empfehlungen

Info

24 | IT SECURITY So funktionieren Pentests SICHERHEITSLÜCKEN IN IT-SYSTEMEN ERKENNEN 2022 waren 72 Prozent der DACH-Unternehmen von Ransomware-Angriffen betroffen – das zeigt die aktuelle IDC- Studie „Cybersecurity in DACH 2022“ im Auftrag von secunet. Ob Phishing- Mail, Malware oder Verschlüsselungen: Die Methoden der Angreifer sind vielfältig. Dabei steigt nicht nur die Anzahl, sondern auch die Raffinesse von Cyberattacken. Immer komplexer werdende IT-Landschaften stellen Unternehmen und ihre entsprechenden Fachabteilungen vor zahlreiche Herausforderungen. Der Blick in die Praxis zeigt: Administratoren fehlen oftmals Zeit und Geld, um das Kernproblem der IT-Sicherheit zu lösen: Die Verteidiger müssen alle Sicherheitslücken schließen. Einem Angreifer reicht häufig eine einzelne nicht behobene Lücke. Und die kann dann weitreichende Auswirkungen haben. Eine Möglichkeit, Sicherheitslücken aufzudecken, sind Penetrationstests (Pentests). Gefühlte versus tatsächliche Sicherheit Im Rahmen eines Pentests werden verwundbare Stellen im Netzwerk bewusst gesucht. Auf diese Weise kann zuverlässig festgestellt werden, wie viele Schwachstellen tatsächlich vorliegen – und wie schnell auf eventuelle Sicherheitslücken reagiert werden sollte. Das Bewusstsein um den Wert eines solchen Tests unterscheidet sich je nach Unternehmen. In vielen Fällen deckt sich die gefühlte Sicherheitslage nicht mit der tatsächlichen Sicherheitslage. Pentester sind Experten darin, genau hinzusehen und Schwachstellen zu finden, die auf den ersten Blick verborgen bleiben. Oft sind es genau die Dinge, die die Auftraggeber vorher selbstbewusst als unproblematisch bezeichnet haben, die einer kritischen Prüfung nicht standhalten. Ein ausgiebiger Pentest kann zudem dazu dienen, im Management Aufmerksamkeit für das Thema IT-Sicherheit zu schaffen und den Status quo zuverlässig darzustellen. Dies ist der notwendige erste Schritt, um Risiken zu reduzieren. Der Faktor Mensch Das Internet bleibt einer der größten Risikofaktoren für IT-Systeme. Malware und andere Schadprogramme konnten bereits aufgrund unzureichend sicherer Studie: Angriffserkennung in Unternehmen kritischer Infrastrukturen https://bit.ly/3AdQpwW Firewalls ihren Weg in die Systeme finden. Mit zunehmendem Verständnis dieser Bedrohung mussten Angreifer jedoch umdenken und sich neue Ideen einfallen lassen. So sind heutzutage Phishing-Mails, die den Benutzer dazu bringen, Fehler zu machen, ein deutlich attraktiverer Angriffsweg. Ebenso wie der Einsatz von Hardware, beispielsweise bewusst platzierte USB-Sticks, die Viren direkt ins System übertragen. Diese Angriffsmethoden nutzen die Schwachstelle Mensch aus – ein großer Unsicherheitsfaktor, denn dieser verfügt in den meisten Fällen über weitreichende Berechtigungen, die die meisten internen Dokumente und Ressourcen zugänglich machen. Oftmals fehlt auch das Wissen um gängige Sicherheitspraktiken. So kann es vorkommen, dass ein herumliegender USB-Stick benutzt oder Laptops unversperrt offengelassen werden. Auf diese Weise werden verwundbare Stellen im System zugänglich – darunter Mai/Juni 2023 | www.it-daily.net
auch fehlende Patches, schwache Passwörter, (nachträglich) vernetzte, weniger gehärtete Maschinen oder Sicherheitslücken in der IT und der OT Supply-Chain. ADMINISTRATOREN FEHLEN OFTMALS ZEIT UND GELD, UM DAS KERNPROBLEM DER IT-SICHERHEIT ZU LÖSEN: DIE VERTEIDIGER MÜS- SEN ALLE SICHERHEITS- LÜCKEN SCHLIESSEN, DENN EINEM ANGREI- FER REICHT OFT EINE EINZIGE LÜCKE.. Jannik Pewny, Teamleiter Incident Response & Forensik, secunet Security Networks AG, www.secunet.com PENTESTER SIND EXPER- TEN DARIN, GENAU HINZUSEHEN UND SCHWACHSTELLEN ZU FINDEN, DIE AUF DEN ERSTEN BLICK VERBOR- GEN BLEIBEN. Dirk Reimers, Bereichsleiter Pentest & Forensik, secunet Security Networks AG, www.secunet.com Worauf es beim Pentest ankommt Bei secunet geht jedem Pentest das sogenannte Scoping voraus, bei dem eine Absprache darüber getroffen wird, welche Systeme untersucht werden sollen. Dabei wird ein offenes Gespräch mit den Unternehmensverantwortlichen geführt, bei dem potenzielle Problemstellen erfragt und so oftmals bereits existente Probleme klar werden. Prüfen können die Pentester dabei im weitesten Sinne alles, was Strom braucht, um zu funktionieren. Dabei spielt es keine Rolle, ob es die IT oder die OT betrifft: Von der klassischen Büro-IT über Webadressen und mobile Apps bis hin zum Social Engineering, bei dem auch die Rolle des Menschen untersucht wird. Auch Zusatzfunktionen von Programmen oder Websites, die den Arbeitsalltag erleichtern sollen, können leicht zu einem Sicherheitsrisiko werden. Gerade bei der zunehmenden Vernetzung zwischen ITund OT-Systemen spielen Analysen in der Operational IT eine immer wichtigere Rolle. OT-Systeme sind häufig nicht oder nur in sehr aufwändigen Prozessen patchbar, was diese Geräte besonders anfällig gegenüber Angreifern macht. Von der Momentaufnahme zur Lösung Im Zweifelsfall gilt in der IT-Sicherheit das Motto: „Was muss, das darf – was nicht muss, das darf auch nicht.“ Denn ein Pentest ist immer nur eine Momentaufnahme. Die Systemadministratoren sollten deshalb in die Schwachstellenanalyse einbezogen werden. Auch bei knappem Budget lassen sich so offene Sicherheitslücken und Risiken klar aufzeigen. Doch eine Diagnose ist noch keine Lösung: Systeme bedürfen regelmäßiger Wartung und Schwachstellen sollten gewissenhaft und nachhaltig beseitigt werden. Pentests legen den Grundstein für eine zuverlässige IT-Sicherheit. Jannik Pewny, Dirk Reimers Im Notfall sicher agieren Business Continuity Management nach BSI-Standard 200-4 Zeitkritische Geschäftsprozesse kennen und besser schützen Krisenfeste Organisationsstrukturen aufbauen Notfallpläne bereithalten und schnell umsetzen Datenerhebung mit automatisierten Fragebögen Software mit gemeinsamer Datenbasis für Grundschutz, ISM und BCM Kostenfreies Webinar am 16.5. und 13.6.2023 Mehr erfahren und anmelden: www.hiscout.com/webinar www.hiscout.com
Seite 1 und 2: Detect. Protect. Respond. Mai/Juni
Seite 3 und 4: INHALT | 3 COVERSTORY 04 12 Inhalt
Seite 5 und 6: COVERSTORY | 5 der klassischen Secu
Seite 7 und 8: COVERSTORY | 7 Die Aufgabe besteht
Seite 9 und 10: IT SECURITY | 9 Konsole lässt sich
Seite 11 und 12: Unternehmen leben länger mit IT-Se
Seite 13 und 14: IT SECURITY | 13 anzupassen. Der Ei
Seite 15 und 16: ADVERTORIAL | 15 Die Produktion von
Seite 17 und 18: IT SECURITY | 17 HILFSSYSTEME AD LD
Seite 19 und 20: IT SECURITY | 19 Der Plattformgedan
Seite 21 und 22: IT SECURITY | 21 einlesen und die v
Seite 23: IT SECURITY | 23 Ulrich Parthier: D
Seite 27 und 28: IT SECURITY | 27 Schließlich kann
Seite 29 und 30: IT SECURITY | 29 Denn wie bei allen
Seite 31 und 32: IT SECURITY | 31 immer trivial - in
Seite 33 und 34: IT SECURITY | 33 Bildquelle: ©alph
Seite 35 und 36: IT SECURITY | 35 werkstruktur, die
Seite 37 und 38: IT SECURITY | 37 Anomalien erkennen
Seite 39 und 40: IT SECURITY | 39 Industrie 4.0 WIR
Seite 41 und 42: IT SECURITY | 41 #3 Vertraulichkeit
Seite 43 und 44: IT SECURITY | 43 Standorten in der
Seite 45 und 46: IT SECURITY | 45 Cyberstorage-Bedeu
Seite 47 und 48: IT SECURITY | 47 security awareness

IT-Security Mai/Juni 2023

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?