Digitalisierung – CybersecurityResilienz – Sensibilisierung : Corona- Tipps, wie auch Ihre IT-Organisation gesund bleibt

Corona-Virus, Risiken für die Gesundheit, aber auch für Organisation und IT

https://bauen-digital.ch/de/projekte/corona-antworten-der-bau-und-immobilienwirtschaft-auf-die-aktuelle-situation/

Mittels gefälschten E-Mails und Posts zum Thema Coronavirus versuchen Cyberkriminelle zurzeit, Geräte / Organisationen zu infizieren und die Schadsoftware namens AgentTesla oder andere CryptoTrojaner zu verbreiten. Als gefälschter Absender der verschickten E-Mails wird das Bundesamt für Gesundheit (BAG) angegeben. MELANI ruft die Bevölkerung dringend dazu auf, solche E-Mails zu ignorieren, keine Anhänge zu öffnen und keinesfalls auf Links zu klicken oder unüblichen Anweisungen zu folgen. Werden dennoch Anhänge geöffnet, Links angeklickt bzw. Webseiten geöffnet, so wird sehr wahrscheinlich Malware (z.B. CryptoTrojaner, Rootkits, Keylogger) platziert, vorallem falls keine integrierten, überwachten IT-Sicherheitssysteme gemäss „Stand der Technik“ implementiert sind. Diese Malware ermöglicht den Angreifern z.B. den vollen Fernzugriff auf den Computer und Passwörter oder gar personen- und firmen-sensitive Daten können ausgelesen, verschlüsselt oder manipuliert werden. Falls Sie versehentlich eine solche E-Mail oder integrierten Links / Webseiten geöffnet haben sollten, schalten Sie umgehend Ihren Computer aus und informieren Sie die IT-Supportorganisation / IT-Betreuung.Wechseln Sie anschliessend umgehend Ihre Passwörter bzw. folgen Sie den Anweisungen der IT-Supportorganisation / IT-Betreuung gemäss allenfalls implementiertem, weitergehenden „Incident Response Management“.

Speziell auch in jetziger Phase von intensiverem, mobilen Remote- und HomeOffice-Zugang wegen den CORONA-Virus-Massnahmen sind klassische Schutzmechanismen stark gefährdet, herausgefordert und mitunter auch überfordert ohne weitergehende Schutzmassnahmen.
Hier sind speziell die angreifbaren, mitunter temporär geöffneten und teilweise (noch) zu schwach geschützten Remote-Zugänge auf die Firmenumgebung, Servers, Applikationen, Daten in der gesamten Risiko-Betrachtung speziell zu bewerten und zu begegnen derzeit.In solchen Zeiten ist es speziell wichtig, dass auch eine umfassende und nachhaltige Cybersecurity-Resilienz-Sensibilisierung aller Mitarbeiter – unabhängig von reinen technischen, zusätzlichen Sondermassnahmen – aktiv genutzt werden kann zugunsten der optimierten Angriffs- und Betriebs-Sicherheit.
Wenn es gelingt, den seitens vorallem auch Anwender mitgetragenen Spagat zu schaffen zwischen der Anwendererfahrung (User Experience), implementierten Sicherheitsmassnahmen (Datensicherheit und Datenschutz zugunsten maximierter Angriffs- und Betriebssicherheit und optimiertem Schutz der digitalen Identität) kann zusätzlich mittels der Cybersecurity-Resilienz-Sensibilisierung, der Mitarbeiter gewonnen und motiviert werden für die geteilte Cybersecurity-Resilienz-Mitverantwortung.

Dadurch entsteht die effektivste Waffe gegen Cybercrime: DIE „Human CyberSecurityResilience Firewall“

Publizierter Print-Artikel in „Schwyzer Gewerbe“ CyberSecurity-Resilienz – Start Thinking Stop Clicking 0320

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Corona-Virus, Risiken für die Gesundheit, aber auch für Organisation und IT

Corona-Virus, Risiken für die Gesundheit, aber auch für Organisation und IT

Seit Freitagmittag speziell, jedoch schon seit mehrere Tagen vorher, versuchen Cyberkriminelle die Verunsicherung der Bevölkerung aufgrund der Situation um das Coronavirus auszunutzen. Anhand von E-Mails mit gefälschtem Absender des BAG versuchen sie, per Angriffsvektor  „Phishing Mails“ gefährliche Malware zu verbreiten. Die Melde- und Analysestelle Informationssicherung MELANI warnt die Bevölkerung solche E-Mails umgehend zu löschen und keine der integrierten Links oder  allfälligen Aufforderungen zu folgen.

Mittels gefälschten E-Mails und Posts zum Thema Coronavirus versuchen Cyberkriminelle zurzeit, Geräte / Organisationen zu infizieren und die Schadsoftware namens AgentTesla oder andere CryptoTrojaner zu verbreiten. Als gefälschter Absender der verschickten E-Mails wird das Bundesamt für Gesundheit (BAG) angegeben. MELANI ruft die Bevölkerung dringend dazu auf, solche E-Mails zu ignorieren, keine Anhänge zu öffnen und keinesfalls auf Links zu klicken oder unüblichen Anweisungen zu folgen. Werden dennoch Anhänge geöffnet, Links angeklickt bzw. Webseiten geöffnet, so wird sehr wahrscheinlich Malware (z.B. CryptoTrojaner, Rootkits, Keylogger) platziert, vorallem falls keine integrierten, überwachten IT-Sicherheitssysteme gemäss „Stand der Technik“ implementiert sind. Diese Malware ermöglicht den Angreifern z.B. den vollen Fernzugriff auf den Computer und Passwörter oder gar personen- und firmen-sensitive Daten können ausgelesen, verschlüsselt oder manipuliert werden. Falls Sie versehentlich eine solche E-Mail oder integrierten Links / Webseiten geöffnet haben sollten, schalten Sie umgehend Ihren Computer aus und informieren Sie die IT-Supportorganisation / IT-Betreuung.

Wechseln Sie anschliessend umgehend Ihre Passwörter bzw. folgen Sie den Anweisungen der IT-Supportorganisation / IT-Betreuung gemäss allenfalls implementiertem, weitergehenden „Incident Response Management“.

Speziell auch in jetziger Phase von intensiverem, mobilen Remote- und HomeOffice-Zugang wegen den CORONA-Virus-Massnahmen sind klassische Schutzmechanismen stark gefährdet, herausgefordert und mitunter auch überfordert ohne weitergehende Schutzmassnahmen.
Hier sind speziell die angreifbaren, mitunter temporär geöffneten und teilweise (noch) zu schwach geschützten Remote-Zugänge auf die Firmenumgebung, Servers, Applikationen, Daten in der gesamten Risiko-Betrachtung speziell zu bewerten und zu begegnen derzeit.

In solchen Zeiten ist es speziell wichtig, dass auch eine umfassende und nachhaltige Cybersecurity-Resilienz-Sensibilisierung aller Mitarbeiter – unabhängig von reinen technischen, zusätzlichen Sondermassnahmen – aktiv genutzt werden kann zugunsten der optimierten Angriffs- und Betriebs-Sicherheit.
Wenn es gelingt, den seitens vorallem auch Anwender mitgetragenen Spagat zu schaffen zwischen der Anwendererfahrung (User Experience), implementierten Sicherheitsmassnahmen (Datensicherheit und Datenschutz zugunsten maximierter Angriffs- und Betriebssicherheit und optimiertem Schutz der digitalen Identität) kann zusätzlich mittels der Cybersecurity-Resilienz-Sensibilisierung, der Mitarbeiter gewonnen und motiviert werden für die geteilte Cybersecurity-Resilienz-Mitverantwortung.

Dadurch entsteht die effektivste Waffe gegen Cybercrime: DIE „Human CyberSecurityResilience Firewall“

Publizierter Print-Artikel in „Schwyzer Gewerbe“ CyberSecurity-Resilienz – Start Thinking Stop Clicking 0320

Digitalisierung – CybersecurityResilienz – Sensibilisierung : «Start thinking! Stop clicking!» zugunsten besserer CyberSecurity-Resilienz

«Start thinking! Stop clicking!» zugunsten besserer CyberSecurity-Resilienz

Gemäss laufenden Warnungen seitens der Melde- und Analysestelle Informationssicherung (MELANI) des Bundes und speziell seit der mehreren Wochen stark angestiegener Anzahl erfolgreicher oder vereitelter Cyberangriffe ist derzeit ein besonderes Augenmerk unumgänglich zugunsten der maximierten Betriebs- und Angriff-Sicherheit und Cybersecurity-Resilienz (Widerstandsfähigkeit)

Bei Verschlüsselungstrojanern (auch „Erpressungstrojaner“ genannt) handelt es sich um eine bestimmte Familie von Schadsoftware (Malware), welche Dateien auf dem Computer des Opfers sowie auf verbundenen Netzlaufwerken / Servern / Backups / NAS-Storages verschlüsselt und somit für das Opfer unbrauchbar macht. Die Ransomware zeigt danach dem Opfer mitunter einen „Sperrbildschirm“ an oder erzeugt Text- oder HTML-Dateien in den verschlüsselten Ordnern mit Informationen zum erfolgten Hacker-Angriff und weiterem Vorgehen, wobei dieser das Opfer auffordert, eine bestimmte Summe in Form von Bitcoins (eine Internetwährung) an die Angreifer zu bezahlen, damit die Dateien wieder entschlüsselt werden können mit nötigen Tools und erpresstem Entschlüsselungs-Code. Die Landschaft von erpresserischer Schadsoftware weitet sich ständig aus aufgrund der massiven Erfolgs-Welle. Die aktuellen Versionen besitzen ein viel grösseres Schadenpotential, welche z.B. nur den Bildschirm blockierten ohne Daten zu beschädigen. Einfallstor für solche Verschlüsselungstrojaner sind insbesondere verseuchte E-Mail mit gefährlichen oder ausführbaren Anhängen / schadhaftem Code-Inhalt oder Scripts / Links auf gefährliche Webseiten und gehackte Webseiten.

Publizierter Print-Artikel in „Schwyzer Gewerbe“ CyberSecurity-Resilienz – Start Thinking Stop Clicking 0320

Digitalisierung – CybersecurityResilienz – Sensibilisierung : CyberSecurity by design muss die Zukunft sein

CyberSecurity by design muss die Zukunft sein

Unter den Top 10 empfohlenen proaktiven Gegenmassnahmen zugunsten einer verbesserten CyberSecurity Resilienz gehören z.B. wiederkehrende Mitarbeitersensibilisierung und Trainings, aktuelle System und Updates (siehe spezieller Fokus in diesem Artikel), sichere Kennwörter- und Rechte-Richtlinien, mehrstufige und standortunabhängige (Cloud)Datensicherungen, integrierter Anti-Malware / Virenschutz, Datenverschlüsselung, sicheres Email, restriktive System- und Zugangs-Richtlinien, proaktives Monitoring und „state of the art“-Firewalls / Security Gateways.
Alle diese Massnahmen sollten im Rahmen eines „Business Contingency Planning“ / „Incident Response“ Prozesses implementiert, laufend geprüft und möglichst zeitnah gemäss „Stand der Technik“ angepasst werden.

Die Zeiten von „Set it & forget it“ sind vorbei – spätestens beim Status „end of life“
Damit die Angriffs- und Betriebs-Sicherheit eines ICT-Systems zugunsten einer möglichst hohen Resilienz (Widerstandsfähigkeit zugunsten der Verfügbarkeit und die Fähigkeit, Krisen zu bewältigen), Verfügbarkeit und Datenschutz / Datensicherheit aufrechterhalten werden kann, braucht es auch entsprechende Ersatzvornahmen von Software und Hardware – spätestens wenn die Hersteller den Support und/oder Updates einstellen für diese älteren oder gar veralteten Plattformen.
Aktuell betrifft diese mehrere Plattformen wie z.B. das PC- / Notebook-Betriebssystem Microsoft Windows 7 oder auch das Server-Betriebsystem Microsoft Windows Server 2008 / R2 und auch die Datenbankumgebung SQL Server 2008 / R2.

Aeltere oder herstellerseitig eingestellte Plattformen ohne Updates sind beliebte Angriffsziele

Es muss davon ausgegangen werden, dass die betroffenen Produkte ab dem „end of life“ Datum 14. Januar 2020 zunehmend stark im Fokus von Angreifern stehen werden. Dabei sollen vor allem bis dahin unentdeckte Sicherheitslücken (z.B. sogenannte „Zero Day Exploits“) ausgenutzt werden. Man hat in den vergangenen Monaten festgestellt, dass Angreifer bei diversen Angriffen mit Ransomware (für z.B. Erpressung von BitCoins nach missbräuchlicher Datenverschlüsselung) gezielt nach „ungepatchten“ (nicht aktualisierten) Schwachstellen gesucht haben. Schweizweit sind schätzungsweise über 10’000 Server der Produktgruppen Windows Server 2008, Windows Server 2008 R2, SQL Server 2008 und SQL Server 2008 R2 in Betrieb.

Goodbye Windows 7, Hello Windows 10 und „secure modern workplace“

Es muss daher dringend empfohlen werden, allfällige noch im Betrieb befindlichen Produkte der genannten Kategorien möglichst schnell zu ersetzen. Ist dies nicht möglich, so sind unbedingt mindestens zusätzliche Schutzmassnahmen zu treffen wie etwa die Isolation der Geräte / Systeme vom restlichen Netzwerk und vom Internet, die spezielle Überwachung mittels Monitoring- / Alerting-Systemen oder gar ein „Extended Support“-Vertrag mit Microsoft bei komplexeren oder grösseren Umgebungen.
Bei Windows 7 besteht immer noch die schon länger verfügbare, kostenlose Upgrade-Möglichkeit auf Windows 10 je nach Alter des Rechners und dessen Ausstattung / Ressourcen. Ob sich dieser reine Software-Upgrade (also ohne gleichzeitige Hardware-Ersatzvornahme) je nach Systemvoraussetzungen / Mindestanforderungen auf Windows 10 (notfalls Windows 8.x) effektiv lohnt, sollte jedoch im Kontext der z.B. noch zu erwartenden restlichen Hardware-Lebensdauer, Kompatibilität der Software und auch der Performance nach dem Upgrade zuerst genau geprüft werden.
Alternative Szenarien mit dem Umstieg auf andere Geräteklassen wie z.B. Convertibles, Tablets, Notebook, Thin Clients oder auch (Hybrid)Cloud-Lösungen mittels zentral verwalteten / managed WVD (Windows Virtual Desktop) / VDI (Virtual Desktop Infrastructure) und modernem, sicheren MDM (Mobile Device Management) können je nach IT-, Cloud- und/oder Digitalisierungs-Strategie lohnenswerter sein.

Das damalige, mitunter aktionistische „Jahr 2000-Problem“ vor 20 Jahren wiederholt sich hoffentlich nicht in anderen Ausprägungen

Aeltere oder herstellerseitig eingestellte Plattformen mit weiteren Zusatzrisiken
Die Notwendigkeit des nun verspäteten Handelns wird zudem unterstrichen mit der Tatsache, dass dadurch auch viele mitunter unumgängliche Sicherheitsmassnahmen (z.B. integriertes MDM „Mobile Device Management“, integrierte Endpoint Protection, MFA (Multi Factor Authentication), CA (Conditional Access) oder Hardening Lösungen) gemäss „Stand der Technik“ auf solchen älteren Plattformen (auch genannt „Legacy Systems“) gar nicht mehr uneingeschränkt implementiert werden können – und dies unabhängig von den klassischen Sicherheitsupdates seitens Hersteller.

Ohne laufende Sicherheitsupdates entwickelt sich entsprechend ein solches System aufgrund ungepatchter, angreifbaren Sicherheits-Lücken schnell zu einer tickenden Zeitbombe. Erschwerend kommt hinzu, dass am 14. Januar 2020 der Support für das kostenlose Virenschutzprogramm Microsoft Security Essentials (MSE) ebenfalls gleichzeitig endet.
Durch diesen Umstand entstehen in solchen herstellerseitig „erzwungenen  Sollbruchstellen“ entsprechend weitere, dynamische Risiken und unnötige „Nebenkriegsschauplätze“ in dadurch anwachsenden, sogenannten „ShadowIT-Umgebungen“ (Schatten Informatik)

Gewinnbringendes Investment in CyberSecurity-Resilienz braucht passendes Budget
Für die IT ist es anspruchsvoll, konkrete Massnahmen für eine verbesserte Resilienz zu erarbeiten und diese budgetbelastenden Posten der Führungsetage und Entscheider verständlich und als gewinnbringendes Investment verkaufen zu können. Ein zu spät angepasstes Budget (mitunter leider erst notfallmässig gesprochen nach einem vielfach verhinderbaren oder minderbaren Vorfall…) ist meist vielfach höher und „nur“ einem situativen „Flickwerk“ geschuldet – und dann wiederum nicht für präventive Massnahmen und Innovationen nutzbar im Moment von vitalen Ausfällen. Die jetzige „End of Life“-Phase einiger Hersteller mündet vielfach in solchen nicht oder zu spät geplanten oder gar (zu) lange aufgeschobenen Stör-Aktionen im produktiven Betrieb. Jedoch besteht durch solche sauber zu planenden Massnahmen auch die Chance, sich dadurch wieder näher am „Stand der Technik“ anzunähern und dadurch auch letztlich vom damit implementierbaren, lohnenswerten Ansatz „Security by design“ profitieren zu können.

Nochmals sei angemerkt: Die Zeiten von „Set it & forget it“ ist vorbei – „Security by design“ muss die Zukunft sein!

Publizierter Print-Artikel in „Schwyzer Gewerbe“ CyberSecurity-Resilienz – Security by design muss die Zukunft sein – Jan 20

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Von der Reaktion zur Prävention und Kampagnen in ICT-Prozessen und ICT-Budget, V2

Von der Reaktion zur Prävention und Kampagnen in ICT-Prozessen und ICT-Budget, V2

Früher waren ICT-Prozesse eher reaktiv gestaltet und initiiert worden

In den guten, alten Zeiten vor dem beängstigenden Erfolg und Siegeszug der organisierten Cyberkriminalität und deren äusserst erfolgreichen und finanziell einträglichen Kampagnen basierend auf dem beliebten Angriffsvektor „Social Engineering“ durch z.B. Phishing Attacken, Ransom / Spy Ware, Verschlüsselungs Trojaner etc. waren viele Wartungs- und Support-Prozesse eher reaktiv gestaltet.

Dafür gab es damals Gründe infolge z.B. der damalig mitunter noch kleineren Abhängigkeit des Business von der EDV und damals noch nicht so dynamischen und vitalen Bedrohungslage durch die Cyberkriminalität.
Entsprechend wurde mehr oder minder das repariert und optimiert was gerade anfiel bzw. nicht mehr funktionierte. Die Systemwartung, Programmierung und klassischer ICT-Support war vielfach für die Gegenwart und die rasche Bereinigung / „Flick“ ausgerichtet für das Aufrechterhalten der nötigen, bisherigen Basis-Funktionalität.

Proaktive Prävention und Innovation, auch zugunsten der künftigen Business Kontinuität

Die Zeiten von „Set it & forget it“ sind vorbei
Damit die Angriffs- und Betriebs-Sicherheit eines ICT-Systems zugunsten einer möglichst hohen Resilienz (Widerstandsfähigkeit zugunsten der Verfügbarkeit und die Fähigkeit, Krisen zu bewältigen), Verfügbarkeit und Datenschutz / Datensicherheit aufrechterhalten werden kann, braucht es angepasste organisatorische und technische Massnahmen und Methoden für die dringlich nötige, systematische Orientierung zugunsten der „System-Störung- und Unterbruch-Prävention“. Zu solchen Präventionen gemäss „Stand der Technik“ und je nach Kritikalität des ICT Risk Management können z.B. Hybrid-Cloud-Lösungen, Cloud-Backup, Managed Services, Monitoring Systeme bis hin zu einem sogenannten „Security Operation Center (SOC)“ gehören.

Ganz einfach sollte man sich z.B. folgende Beispiel-Frage eines ganzen Katalogs stellen und sich die systemseitig nötige Antworten geben bzw. implementieren können anhand eines erweiterten „ICT Risk Management“ oder „Contingency Planning“: „Was muss präventiv geändert, anders implementiert oder überwacht werden damit eine Störung oder gar Unterbruch vom System oder Funktion X oder Y schneller behoben oder überbrückt werden kann?“

Sicherheit und Vertrauen ist ein „nicht kaufbares (Bauch)Gefühl“, aber trainierbar

Ein gutes Mass an Sicherheit kann man trotzdem nicht einfach so kaufen. Das Grundbedürfnis der Sicherheit erfordert weitergehend zu finanziellen Investitionen ebenso auch ein gutes, „nicht kaufbares“ (Bauch)Gefühl und Vertrauen. Ein solches gutes Gefühl und Vertrauen ist entsprechend besser zu erreichen und zu erhalten mit einem guten, trainierten und auch getesteten „Business Contingency Plan“ in Abstimmung mit dem eigenen Risk Managment und der dringlich nötigen Involvierung und Sensibilisierung der Mitarbeiter als „Human CyberResilienz Firewall“

Schlagfertige Präventivmassnahmen oder Präventivkampagnen – wie bei z.B. der SUVA

Die fortwährenden und stark ansteigenden Angriffe und Risiken seitens Cyberkriminalität bedürfen entsprechend laufende, schlagfertige Präventivmassnahmen oder regelrechte «Präventivgegenangriffe» in gar intelligent orchestrierten Kampagnen.
In Analogie zur SUVA mit den umfassenden Kampagnen gegen Unfälle auf der Arbeit oder im Haushalt / Alltag braucht es ebenfalls entsprechend «deutlich mehr als bisher» in den betriebskritischen ICT-Infrastrukturen.

Fahrlässiges oder falsches Verhalten im Bereich von CyberSecurity-Resilienz ist asozial

Mitverantwortung tragen und auch andere Mitmenschen auf Gefahren hinweisen – oder mitunter auch proaktiv davor schützen versuchen – ist in der Unfallprävention, diversen Versicherungen, bei alltäglichen Schutzmassnahmen und diversen «Safety First»-Kampagnen seit Jahren gang und gäbe. Wenn es gelingt, ein solches «soziales» Verhalten vom Grundgedanken her zu adaptieren zugunsten der «digitalen Selbstverteidigung» bzw. «Mitverantwortung bei CyberRisiken in der digitalisierten Gesellschaft und Firmen» können die erfolgreichsten CyberCrime-Angriffsvektoren und deren weltweiten Schadenspotentiale mit Fokus auf «Social Engineering» (Clevere Manipulation der menschlichen Tendenz zum Grundvertrauen) stark gemindert werden zum Wohle der «Digital-Gesellschaft». Es gibt also durchaus diverse Möglichkeiten – nicht nur im «analogen» Umfeld – einen sozialen und für die ganze «Digital-Gesellschaft» spürbaren Beitrag zu leisten im digitalen Raum unter der Anwendung von diversen, längst bekannten Verhaltensregeln. Einfache Verhaltensregeln beginnend in der Basis-Sicherheit wie z.B. «Komplexe – und vorallem von Firmenzugängen getrennte – Kennwörter» verwenden, gesundes Misstrauen anwenden bei Mails mit Anhängen / integrierten Internet-Links oder gar Anweisungen, aufgrund (sicherzustellenden) unterschiedlichen Daten-Backups keine Erpressungs-Gelder bezahlen, empfohlene und/oder voreingestellte Datensicherheit- und Datenschutz-Einstellungen (security / privacy by design) möglichst nicht negativ verändern und mitunter auch «gefährliches Halbwissen» / «vermeintlich hochinformiert sein» ablegen und offen sein für «security minded» neues, schützendes Wissen in der dynamischen Bedrohungslage durch CyberCrime und technologischen Entwicklungssprüngen bei z.B. auch «Digitalisierung», Clouds, «Künstliche Intelligenz» oder «cyber physical systems».

Nochmals sei angemerkt: Die Zeiten von „Set it & forget it“ ohne Prävention und ohne „digital-soziale Mitverantwortung“ sind gemäss auch „Stand der Technik“ längst vorbei im Bereich der ICT-Wartung, ICT-Support, ICT-Architektur und speziell der ICT-CyberSecurity zugunsten einer möglichst ausgereiften CyberSecurity-Resilienz.

Publizierter Print-Artikel in „Schwyzer Gewerbe“ – ksgv – CyberSecurityResilienz Sensibilisierung – Von der Reaktion zur Prävention und Kampagnen in ICT-Prozessen und ICT-Budget – Nov 19

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Von der Reaktion zur Prävention in ICT-Prozessen und ICT-Budget

Von der Reaktion zur Prävention in ICT-Prozessen und ICT-Budget

Früher waren ICT-Prozesse eher reaktiv gestaltet und initiiert worden


In den guten, alten Zeiten vor dem beängstigenden Erfolg und Siegeszug der organisierten Cyberkriminalität und deren äusserst erfolgreichen und finanziell einträglichen Kampagnen basierend auf dem beliebten Angriffsvektor „Social Engineering“ durch z.B. Phishing Attacken, Ransom / Spy Ware, Verschlüsselungs Trojaner etc. waren viele Wartungs- und Support-Prozesse eher reaktiv gestaltet.

Dafür gab es damals Gründe infolge z.B. der damalig mitunter noch kleineren Abhängigkeit des Business von der EDV und damals noch nicht so dynamischen und vitalen Bedrohungslage durch die Cyberkriminalität.
Entsprechend wurde mehr oder minder das repariert und optimiert was gerade anfiel bzw. nicht mehr funktionierte. Die Systemwartung, Programmierung und klassischer ICT-Support war vielfach für die Gegenwart und die rasche Bereinigung / „Flick“ ausgerichtet für das Aufrechterhalten der nötigen, bisherigen Basis-Funktionalität.

Proaktive Prävention und Innovation, auch zugunsten der künftigen Business Kontinuität

Die Zeiten von „Set it & forget it“ sind vorbei

Schlagfertige Präventivmassnahmen oder Präventivkampagnen – wie bei z. B. der SUVA – wären hilfreich.

Publizierter Print-Artikel in „Schwyzer Gewerbe“ – ksgv – CyberSecurityResilienz Sensibilisierung – Von der Reaktion zur Prävention in ICT-Prozessen und ICT-Budget – Nov 19

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Schwachstelle Mensch – Cyber Security / Cyber Resilienz – Der Gartenbauer

Schwachstelle Mensch – Cyber Security / Cyber Resilienz

Die bedeutendste Schwachstelle im Bereich der IT-Sicherheit ist der Mensch. Das verdeutlichte Fridel Rickenbacher in seinem Referat und Workshop am Digital-Kongress für die Grüne Branche, den das netzwerk_G Mitte September in Zürich veranstaltete.

  • Garten- und Landschaftsbau
  • Branche
  • Internet

Text: Petra Reidel, Dipl.-Ing. agr., Grafenau

 

Bei unglaublichen 90 % aller Angriffe hilft der Anwender, sprich Mitarbeiter, aktiv mit, dem Täter ein Erfolgserlebnis zu verschaffen. Meist ist es ein zu schneller Klick auf einen Link, einen Anhang oder aber auch ein zu schwaches Passwort, was fatale Folgen haben kann. Dies berichtete Fridel Rickenbacher zum Einstieg. Er ist Mitglied der execure ag / Swiss-IT-Security-Gruppe und besitzt einen gros­sen Erfahrungsschatz auf dem Gebiet der Cyber Security. «Wenn das System erst mal lahmgelegt ist, kann dies zu grossen Lieferverzögerungen bis hin zu hohen Konventionalstrafen führen», betonte Rickenbacher und bemerkte, dass das sprichwörtliche Gottvertrauen hier komplett fehl am Platz ist. Er empfiehlt die Null-Vertrauens-Strategie, das ist definitiv sicherer.

Die gesamte Arbeitswelt, aber auch das private Leben, streben auf eine immer massivere digitale Vernetzung zu. Bereits jetzt ist vieles miteinander verbunden, was uns häufig gar nicht bewusst ist. Im Privatbereich ist das beispielsweise die automatische Bewässerungsanlage, die sich per App steuern lässt. Genau hier ­docken die Unternehmen mit an, die für den Unterhalt oder die Pflege zuständig sind. «Die dunkle Seite der Macht ist viel weiter, als wir denken», so Rickenbacher. Virenprogramme schützen nur gegen bekannte Infekte. Zudem kennen Hacker die Sicherheitslücken immer vor dem Hersteller. «China ist Hersteller von Software und grossen Servern. Die teils eingepflanzten Chips, fähig, die kompletten Unternehmensdaten auszuspionieren, wurden vom chinesischen Staat toleriert», gibt der Spezialist einen kleinen Einblick in die Welt des Bösen und nennt neben China auch noch Russland und die USA, wenn es um Staatsspionage geht. «Die Frage ist auch nicht, ob etwas passiert, sondern wie oft es schon passiert ist», so Rickenbacher. Am Schlimmsten ist dabei neben dem wirtschaftlichen Schaden der Reputationsschaden für das Unternehmen. Es kann Jahre dauern, bis der gute Ruf wiederhergestellt ist. Mitarbeitende, die sich ausserhalb eines geschützten Netzwerkes befinden, sind leichter angreifbar. Eine Software für Schnittstellen mit entsprechender Voreinstellung bietet laut Rickenbacher einen besseren Grundschutz. Er empfiehlt eine mehrschichtige Sicherheitsstrategie. Komplex, zielgerichtet und äusserst effektiv, so lässt sich die heute meist verwendete Angriffsart einer Cyber-Attacke, im Fachjargon auch als APT bezeichnet (Advanced Persistent Threat), beschreiben. Dagegen hilft nur, die grosse Gefahr Mensch durch klare Regeln der Kommunikation im Netz zu sensibilisieren. Als Sicherheitsstrategie schlägt der Experte ein mehrstufiges Konzept vor: «Ein Backup im Betrieb, eines ausserhalb des Firmengeländes und eine Sicherheitskopie in der Cloud sind das Minimum.» Backup, Backup, Backup sowie die Ende-zu-Ende-Verschlüsselung bei E-Mails lautet seine Devise. Diese Kombination macht recht immun gegen kriminelle Erpressung im Netz. Grundsätzlich sollte man Cloud-Lösungen vertrauen, denn die dort herrschenden Sicherheitsvorkehrungen kann sich kein Einzelunternehmen leisten und letztlich basiert die gesamte Smartphone-Technologie auf komplexen Cloud-Lösungen, stellte Rickenbacher in den Raum.

Sicherheitstipps für Unternehmen

Im Workshop gab Rickenbacher weitere Tipps, wie es gelingt, die Mitarbeitenden zu sensibilisieren. «Da reicht es manchmal aus, auf dem Parkplatz einen USB-Stick zu verlieren, auf dem das Wort vertraulich klebt. Die Neugierde ist die grösste Versuchung und mit ziemlicher Sicherheit wird es einen Mitarbeiter geben, der diesen ungeprüften Stick in den Rechner steckt. Das ist dann ein guter Einstieg, die Gefährlichkeit solcher Aktionen zu kommunizieren.» Auslandsaufenthalte der Geschäftsleitung regen Kriminelle dazu an, gefälschte Überweisungsaufträge mit hohen Summen im Namen des Chefs an die Buchhaltung zu schicken. Meist mit einem extremen Zeitdruck versehen, sind die Mitarbeitenden überfordert und agieren somit ohne jegliches Hinterfragen, obwohl die Adresse des Absenders nicht exakt mit der des Chefs übereinstimmt. Schulungen sind hier hilfreich und auch der Hinweis, dass alles, was einem nicht ganz koscher vorkommt, vom IT-Service zu überprüfen ist. Wer ausserhalb des gesicherten Netzwerkes unterwegs ist, hat sich zudem an genaue Kommunikationsvorgaben zu halten. Auch erzwungene Kennwortänderungen in kurzen Rhythmen für alle Angestellten machen es Angreifern schwerer. Eine vierte verschlüsselte Datensicherung, die nur dann sichert, wenn der Systemstatus auf grün steht, senkt das Risiko weiter. «Ein Prozent Risiko bleibt aber immer bestehen, egal was man unternimmt», so der Sicherheitsexperte. Bei Vernetzungen mit Kunden rät Rickenbacher ebenfalls zu Aufklärung und proaktiver Kommunikation, die man sich durch eine Unterschrift bestätigen lässt, denn sonst haftet der GaLaBauer sogar mit.

Publizierter Artikel in „Der Gartenbauer“ – https://www.dergartenbau.ch/artikel/schwachstelle-mensch-cyber-security