Foto: WaveBreakMediaMicro, Fotolia.com
Mit dem zunehmenden Anstieg von Social Engineering wird auch Malvertising im kommenden Jahr ein immer wichtigeres Thema, denn Social Engineering öffnet Malware erst die Tür. Da Angriffs-Tools immer häufiger Informationen aus sozialen Netzwerken nutzen, können Attacken gezielter und wirksamer eingesetzt werden. So wird das Wissen über die Opfer zum Schlüssel, um Zugriff auf Systeme und Daten zu erhalten. Wenn Nutzer dazu verleitet werden, Ads und Links auf virenbehafteten Seiten anzuklicken sowie Apps zu installieren, stellt dies ein zunehmendes Sicherheitsrisiko für Unternehmen dar.
Insbesondere große Mediengesellschaften müssen sich verstärkt damit beschäftigen. Denn sie stellen schon jetzt fest, dass die angezeigte Werbung aus Partnernetzwerken des Öfteren Malware beinhaltet. Dadurch steigt das Risiko, dass die Systeme der Website-Besucher mit Schadprogrammen infiziert werden. Um dies zu vermeiden, sollten Medienunternehmen ihre Werbepartner stärker unter Druck setzen, damit diese Malware effizient bekämpfen.
Unerwünschte Software macht mobile Geräte unsicher
Bei mobilen Geräten wird Potentially Unwanted Software (PUS) 2015 ein großes Thema sein. Denn die Erlaubnis zur Installation ist immer öfter tief versteckt in Lizenzverträgen, so dass sie von Anwendern leicht übersehen wird. Insbesondere beim Download einer Gratis-App haben Nutzer am Ende ungewollt schnell auch eine PUS auf ihrem Smartphone oder Tablet. App-Anbieter sammeln so einfach Informationen über das Nutzerverhalten im Internet - offiziell um die "Browsing Experience" zu verbessern. Allerdings erhalten sie dadurch auch das nötige Wissen, um jedem App-Nutzer passgenauere Werbung anzuzeigen. Letztendlich hat die Implementierung von PUS also finanzielle Gewinne zum Ziel. Für den Nutzer birgt das jedoch ein konkretes Risiko, denn infizierte mobile Geräte werden durch PUS deutlich langsamer und unsicherer.
- Die besten Systemhäuser für IT-Security
In unserer jährlichen Umfrage zur Zufriedenheit der Anwender mit ihren Systemhäusern wurden rund 800 Security-Projekte bewertet. Hier finden Sie die fünf Systemhäuser mit den besten Durchschnittsnoten (Note eins - sehr gut; Note sechs - sehr schlecht). - Platz 5: Profi Engineering
Note 1,51 <br/><br/> Vorjahr Ranking <br> Platz: 3 <br> Note: 1,34 - Platz 4: Netzorange IT Dienstleistungen
Note 1,42 <br/><br/> Vorjahr Ranking <br> Platz: - <br> Note: - - Platz 3: PDV-Systeme Sachsen
Note 1,40 <br/><br/> Vorjahr Ranking <br> Platz: - <br> Note: - - Platz 2: IT-Haus
Note 1,37 <br/><br/> Vorjahr Ranking <br> Platz: 4 <br> Note: 1,36 - Platz 1: Krämer IT
Note 1,29 <br/><br/> Vorjahr Ranking <br> Platz: - <br> Note: -
Mit Ransomware Lösegeld erpressen
Ob Cryptoblocker oder CryptoWall - Cyberkriminelle nutzen immer häufiger Ransomware, um Dateien von Anwendern zu verschlüsseln und dann für die Entschlüsselung Lösegeld zu erpressen. Viele Nutzer waren 2014 bereits davon betroffen. Den zukünftigen Angriffen werden jedoch auch Erkundungen des Zielrechners oder Zielsystems vorhergehen. Das heißt, dass Dateien nicht mehr nur noch verschlüsselt werden, sondern Cyber-Kriminelle direkt auf Dateiverwaltungen zugreifen und mit diesem Druckmittel noch höhere Summen einfordern können. Im nächsten Jahr stehen voraussichtlich verstärkt kleine Unternehmen oder kleine Regierungsorganisationen, die über ein ansehnliches Bankkonto verfügen, im Visier dieser Schadsoftware.
Neben Ransomware wird auch Espionage Ware 2015 eine größere Rolle spielen. War die Überwachungs-Software 2014 schon ein Thema, wird sie im nächsten Jahr zu heißen Diskussionen führen. Denn im Zuge internationaler Konfliktsituationen entwickeln immer mehr Sicherheitsunternehmen und Staaten Espionage Ware und setzen diese ein, um Aktivitäten bestimmter Zielpersonen zu überwachen und zu bestimmen, ob diese ein Sicherheitsrisiko darstellen.
Mehr Ressourcen für eine sichere IT
Wie Heartbleed und Shellshock bereits gezeigt haben, kann ein einziger Fehler ein ganzes System ins Wanken bringen. Diese Erfahrungen haben die komplette IT-Landschaft geprägt. Daher werden diese und ähnliche Bugs auch 2015 großen Einfluss haben. Da Entwickler zunehmend in Code-Analysen von Open-Source-Software investieren oder eine auf dem Markt erhältliche Alternative in Betracht ziehen, bei der die Haftpflicht bei einem Dritten oder Lizenzgeber liegt, werden die Entwicklungs- und Technologiekosten steigen. Darüber hinaus ist eine Fragmentierung der Open-Source-Landschaft zu erwarten. Generell wird diese Entwicklung dazu führen, dass Anbieter mehr Ressourcen in dringend notwendige Versionen zur Instandhaltung investieren müssen, so dass weniger Zeit und Kosten in neue Entwicklungen gesteckt werden können.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Verschlüsselten Netzwerk-Traffic prüfen
Auch Datenschutz und Datensicherheit werden verstärkt Dreh- und Angelpunkt für IT-Security-Überlegungen von IT-Entscheidern sein. Denn Unternehmen müssen die steigenden Sicherheitsanforderungen mit entsprechenden Compliance-Anforderungen in Einklang bringen. So wird die Verschlüsselung von Online-Kommunikation und Daten-Traffic 2015 deutlich zunehmen. Aber auch Malware wird sich Verschlüsselung zunehmend zunutze machen, um in Unternehmen unbemerkt Schaden anzurichten. Hier sind Firmen gefordert: Sie müssen auch den verschlüsselten Netzwerkverkehr überprüfen und zwar ohne die Privatsphäre der Mitarbeiter zu beeinträchtigen.
Sie sollten daher in der Lage sein, Entschlüsselungslösungen flexibel an ihre Geschäftsanforderungen anzupassen. Dazu bieten sich beispielsweise Lösungen für das Encrypted Traffic Management (ETM) an. Denn sie beseitigen blinde Flecken, indem sie Tools zur Bekämpfung der im SSL-verschlüsselten Traffic versteckten Bedrohungen bereitstellen und die Einhaltung von Datenschutz- und Compliance-Vorgaben gewährleisten. So können Unternehmen Advanced Cyber Threats bekämpfen, ganzheitliche Sicherheitsrichtlinien umsetzen und die Privatsphäre der Anwender schützen. (bw)