News und Produkte
Viele IT-Abteilungen von Compliance Firmen, Finanzen & Fusionen überfordert?
Laut einer Umfrage von Hornetsecurity unter weltweit gut 200 IT-Verantwortlichen haben vier von fünf Unternehmen heute größere Bedenken bezüglich der Einhaltung von Compliance-Richtlinien als noch vor fünf Jahren. Dabei liegt die Last in mehr als der Hälfte der Fälle (57%) allein auf den Schultern der IT-Abteilung. Als besorgniserregend wertet die Studie, dass 69 % der Befragten angaben, die Einhaltung von Compliance-Richtlinien habe „moderate“ bis „extreme“ Auswirkungen auf den Betrieb der jeweiligen IT-Abteilung. Jedes achte Unternehmen (13 %) räumte sogar ein, die vorgeschriebenen Kontrollen nicht einhalten zu können.
Trotz dieser weitverbreiteten Bedenken habe aber über ein Drittel (37,5 %) der Unternehmen keinen speziellen Compliance-Beauftragten. Auch automatisierte Compliance-Systeme gehören demnach noch längst nicht zum Standard: Lediglich jedes fünfte Unternehmen (21,6 %) arbeitet bereits mit einem solchen System – 40 % der IT-Abteilungen sind der Umfrage zufolge sogar weiterhin auf zeitaufwendige manuelle Prozesse angewiesen. Doch selbst die Nutzung von Compliance-Funktionen, beispielsweise über Microsoft 365, bereitet vielen Probleme: Dabei stellen mangelndes Wissen (52 %) und hohe Komplexität (44 %) die größten Hindernisse dar.
Dadurch würden sowohl der wirksame Datenschutz als auch die Einhaltung von Gesetzen und Vorschriften erheblich gefährdet, folgert Hornetsecurity und sieht in der Umfrage einen Weckruf für Unternehmen: „Die Tatsache, dass mehr als die Hälfte der IT-Abteilungen durch einen Mangel an Compliance-Mitarbeitern und angemessenen Lösungen in ihrer täglichen Arbeit eingeschränkt ist, gibt großen Anlass zur Sorge. Wie wir bereits im Vorfeld vermutet hatten, gibt es einen signifikanten Bedarf an benutzerfreundlichen, effektiven Compliance-Management-Lösungen, die es Unternehmen ermöglichen, ihren Verpflichtungen schneller nachzukommen. So verringern sie das Risiko, dass Daten verloren gehen oder in die falschen Hände geraten“, kommentierte Hornetsecurity-CEO Daniel Hofmann.
Auch die Cloud-Speicherung stelle ein großes Problem in Bezug auf Compliance dar: Mangelndes Vertrauen (42,2 %) und strikte Anforderungen an lokal zu speichernde Daten (37,8 %) seien die häufigsten Gründe, die gegen eine Datensicherung in der Cloud sprächen – gefolgt von einem Mangel an effektiven Reporting- und Kontrollinstrumenten (33,3 %) sowie den unternehmenseigenen Compliance-Vorschriften (21,6 %).
Allen Bedenken und Problemen zum Trotz zeigten sich übrigens 87 % der europäischen Teilnehmer an der Umfrage (und sogar fast 93 % der nordamerikanischen Teilnehmer) zuversichtlich, dass ihre Organisation „compliant“ sei. Die bereits erfolgte Verhängung von Bußgeldern war in Europa (5,2 %) erheblich verbreiteter als in Nordamerika (2,9 %) – unabhängig davon wurden große Unternehmen mit mindestens 1000 Mitarbeitern (35,3 %) deutlich häufiger sanktioniert als kleine Organisationen mit höchstens 50 Beschäftigten (2,8 %).
Weitere Erkenntnisse der 2023 IT Cybersecurity Compliance Survey von Hornetsecurity sind auf Englisch unter www.hornetsecurity.com/en/security-information/it-cybersecurity-compliance-survey/ nachzulesen. (www.hornetsecurity.com) ■
Unterschätzte Angriffsflächen?
Die „Visibility and Attack Surface“-Umfrage des SANS Institute ergründet, wie Angreifer und Verteidiger über die Angriffsfläche denken, die Organisationen durch die Digitalisierung im Internet exponieren. 8 % der befragten Verteidiger gaben dabei an, dass sie entweder nicht patchen oder nicht wissen, ob sie patchen – 92 % patchen zumindest einen Teil ihrer IT-Ressourcen. Von diesem Löwenanteil der Befragten tun dies allerdings auch 19 % nicht regelmäßig.
Dabei antworteten rund zwei Drittel der antwortenden Angreifer, dass sie Exploits innerhalb der ersten Woche nutzen würden – zu diesem Zeitpunkt haben der Studie zufolge aber erst 46 % der Verteidiger vorliegende Patches eingespielt. Wenig überraschend haben 30 % der Angreifer dann auch wenig bis gar keinen „Respekt“ vor den Verteidigungsmaßnahmen von Unternehmen. Die Angriffsmethoden, die am ehesten Erfolg versprächen, seien sichtbare IP-Adressen aus dem Internet sowie Webserver, E-Mail- und DNS-Server.
„Wenn man die Antworten der Angreifer mit den Reaktionen der Verteidiger vergleicht, fällt auf, dass die Verteidigung nicht gut mit dem übereinstimmt, was die Offensive tut. Das verheißt nichts Gutes für die Verteidigung“, konstatieren die SANS-Autoren Doc Blackburn und Mark Williams: „Verteidiger müssen sich besser darauf einstellen, vorherzusehen, was der Angreifer tun wird, und Verteidigungsmaßnahmen ergreifen, die die Taktiken, Techniken und Verfahren der Angreifer wirksamer angehen.“
Zudem erscheint den Autoren die Zuversicht der befragten Verteidiger zumindest fraglich: Rund 91 % hatten angegeben, dass sie ihre Informations-Sicherheit als stark oder zumindest innerhalb des akzeptierten Risikos der eigenen Organisation ansehen. Aufgrund der Antworten auf andere Fragen, die bei rund 50 % der Teilnehmer auf erhebliche Lücken der Security-Programme hindeuten würden, zweifeln die Studienautoren jedoch, ob die positiven Selbsteinschätzungen einer so hohen Zahl von Befragten realistisch sein können – zumal nur 29 % die Effektivität ihrer Maßnahmen „regelmäßig und automatisiert“ prüfen. Rund 47 % messen immerhin regelmäßig oder häufig, wenn auch nicht automatisiert (vgl. Abb.).
Für die von Bringa, Cisco und Infoblox gesponserte SANS-Studie wurden 450 Security-Spezialisten und IT-Manager befragt, die in weltweit tätigen Unternehmen arbeiten. Die vollständigen Ergebnisse sind als 14-seitiges PDF in englischer Sprache über www.sans.org/white-papers/sans-2023-survey-visibility-attack-surface/ kostenfrei zu beziehen (Registrierung erforderlich). Über www.sans.org/webcasts/2023-sans-visibility-and-attack-surface-survey/ steht zudem ein Webcast bereit (Registrierung und Werbeeinwilligung erforderlich). (www.sans.org) ■
Leitfaden zur Cloud-Supply-Chain-Security
Supply-Chain-Attacken erfolgen über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter und sind daher von Anwendern schwer zu verhindern – solche Angriffe haben in letzter Zeit deutlich zugenommen und betreffen selbst bekannte Unternehmen. Ein im Juni veröffentlichter TeleTrusT-Leitfaden beschreibt neben Software Bills of Materials (SBOMs) auch weitere Schutzmaßnahmen, die Unternehmen zur Verbesserung der Cloud-Supply-Chain-Security treffen können.
Gerade für Cloud-Dienste besteht die Supply-Chain aus unzähligen Lieferanten und Produkten, die entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung von Software oder Diensten beitragen. Im besten Fall wird der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Anwender haben aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch können sie auf eine Behebung von Schwachstellen hinwirken – ein inakzeptabler Zustand, wie der Bundesverband IT-Sicherheit e. V. (TeleTrusT) betont.
Um das Problem der mangelnden Transparenz zu lösen, führt der Weg über die Software Bill of Materials (SBOM): eine Aufstellung aller Komponenten, die in einer Anwendung enthalten sind (siehe auch S. 46). Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, können Anwender immerhin schnell ermitteln, ob sie möglicherweise betroffen und die von ihnen genutzten Anwendungen gefährdet sind. Es wird erwartet, dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt.
Oliver Dehning, Leiter der TeleTrusT-AG Cloud-Security: „Aktuelle Software Bills of Materials (Software-Stücklisten, SBOMs) sind die Basis für mehr Transparenz in der Cloud-Supply-Chain und damit für mehr Sicherheit bei der Nutzung von Cloud-Services. Anwender können einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer Cloud-Supply-Chain leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen. Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cybersicherheit auch in der Cloud ermöglichen.“
Der neue Leitfaden ist über www.teletrust.de/publikationen/broschueren/cloud-security/ kostenfrei als 21-seitiges PDF auf Deutsch verfügbar.
Update zur Handreichung „Security by Design“
Bereits Ende Mai hat der TeleTrusT eine Revision seines Leitfadens zur Umsetzung des Konzepts Security by Design veröffentlicht, der sich an die Entscheidungsebene bei Herstellern, Anbietern und Betreibern richtet. Zugehörige Prinzipien sind in den gesamten Produktlebenszyklus zu integrieren – von der ersten Idee bis zum Erreichen des „End of Life“ eines Produkts. In der Umsetzungsverantwortung stehen dabei alle am Produkt beteiligten Unternehmensbereiche – beispielsweise Produktmanagement, Entwicklung, Beschaffung, Fertigung, Vertrieb, Logistik, Service sowie die IT-Sicherheits- und Datenschutzverantwortlichen.
Die TeleTrusT-Publikation vermittelt ein Grundverständnis der Gestaltungsprinzipien, beschreibt modellhaft das Vorgehen und gibt Handlungsempfehlungen für die Entscheidungsebene. Sie ist über www.teletrust.de/publikationen/broschueren/security-by-design/ kostenfrei als 17-seitiges PDF auf Deutsch verfügbar. (www.teletrust.org) ■
Firmen, Finanzen & Fusionen
Strategische Partnerschaft von Check Point und Everphone: Für eine „fortschrittliche Gefahrenabwehr für Firmen-Smartphones“ werde Everphone seine Device-as-a-Service-(DaaS)-Lösung durch die Integration der Mobile-Threat-Defense-(MTD)-Lösung Check Point Harmony Mobile erweitern. (www.checkpoint.com / https://everphone.com/de/)
Claroty und Siemens Healthineers kooperieren: Eine gemeinsame Nutzung von Sicherheitsdaten medizinischer Geräte verbessere das Risikomanagement und die betriebliche Effizienz der Kunden. Das Ziel der strategischen Partnerschaft sei es, Einrichtungen des Gesundheitswesens durch eine Kombination aus Software, Managed Services und dem Austausch von Sicherheitsdaten vor Cyberangriffen zu schützen und so die Zuverlässigkeit der Patientenversorgung zu erhöhen. (www.claroty.com / www.siemens-healthineers.com/de)
Partnerschaft von DigiCert und ReversingLabs: Im Rahmen ihrer Zusammenarbeit wollen beide Unternehmen die ReversingLabs-Technologie „zur fortschrittlichen Binäranalyse und Bedrohungserkennung“ mit DigiCerts Enterprise-Lösung für sicheres Code-Signing kombinieren. DigiCert-Kunden verfügten so über eine verbesserte Software-Integration mittels tiefgreifender Analyseverfahren, damit signierte Programme gegen bekannte Bedrohungen aus der Software-Lieferkette sowie fehlerhafte, manipulierte oder bösartige Software geschützt seien. (www.digicert.com/de / www.reversinglabs.com)
HashiCorp übernimmt BluBracket: Der Lösungsanbieter für Code-Security und Secret-Detection in der Anwendungsentwicklung erweitere das Produktportfolio undermögliche es Kunden, ihr gesamtes „Inventar an Geheimnissen“ zu erfassen und zu verwalten – dazu gehören auch Quellcode, Entwicklungsumgebungen und Code-Pipelines. BluBracket scanne Geheimnisse fortlaufend und werde damit die Geheimhaltungsfunktionen von HashiCorp Vault ergänzen. (www.hashicorp.com / https://blubracket.com)
HIMA erweitert Customer-Solutions-Center um Security-Lab: Der Anbieter sicherheitsgerichteter Automatisierungslösungen will am Standort Brühl künftig ganzheitliche OT-Security-Lösungen für die Digitalisierung der funktionalen Sicherheit entwickeln und testen. In Zusammenarbeit mit genua solle zudem das neue Labor OT-Security-Lösungen für Kunden besser greifbar machen. (www.hima.de / www.genua.de)
Fünf Jahre globale Transparenzinitiative (GTI) von Kaspersky: Mit seinem Flaggschiffprogramm wolle das Unternehmen branchenweit neue Maßstäbe im Umgang mit Supply-Chain-Risiken setzen. Anlässlich des Jubiläums wurden zwei neue Transparenzzentren für den Nahen Osten und Afrika angekündigt. Zudem erweitere Kaspersky den dort angebotenen Prüfungsbereich des Quellcodes auf alle On-Premise-Lösungen. (www.kaspersky.com)
Keeper Security und colited haben im Mai 2023 eine strategische Kooperation vereinbart: Das erklärte Ziel sei es, die Passwortsicherheit in DACH-Unternehmen mit Softwarelösungen und darauf abgestimmten Dienstleistungen nachhaltig zu verbessern. colited stehe dazu mittelständischen und großen Firmen bei der Einführung und dem Roll-out der Passwort-Lösungen von Keeper Security zur Seite. (www.colited.com / www.keepersecurity.com)
Strategische Partnerschaft zwischen Nomios Polen und Airlock: Das Ziel der Zusammenarbeit des Schweizer Unternehmens mit dem polnischen Partner, die auf Polen, Deutschland, Großbritannien, Belgien, die Niederlande, Luxemburg und Italien ausgeweitet werden soll, sei die Bereitstellung hochmoderner Sicherheitslösungen für Webanwendungen. (www.nomios.pl / www.airlock.com)
Rubrik und Microsoft kündigen Cyber-Recovery und -Remediation auf Basis generativer KI an: Grundlage der neuen Lösung sei eine Zusammenarbeit zur Integration von Rubrik Security Cloud mit Microsoft Sentinel und Azure OpenAI Service. Der Einsatz von KI verkürze den Zeitaufwand für die Untersuchung und Festlegung von Reaktionen auf Cyber-Ereignisse und steigere dadurch die Cyber-Resilienz. (www.rubrik.com/de / www.microsoft.com)
Swissbit wird Partner von Northern.tech: Swissbits Hardware-Sicherheitsmodul iShield HSM könne künftig als Sicherheitskomponente für die Open-Source-basierte Over-the-Air-(OTA)-Update-Softwareplattform für IoT-Geräte Mender von Northern.tech dienen. So ließen sich Authentizität und Integrität von OTA-Aktualisierungen im Sinne einer Zero-Trust-Netzwerkarchitektur gewährleisten. (www.swissbit.com / https://northern.tech)
TPG erwirbt Forcepoint-Geschäftsbereich Global Governments and Critical Infrastructure (G2CI) von Francisco Partners: Eine entsprechende bindende Vereinbarung wurde im Juli unterzeichnet. Durch die Transaktion werde G2CI von Forcepoints Commercial Business getrennt und ein unabhängiges Unternehmen, um künftig flexibler und fokussierter agieren zu können. Der Vermögensverwalter werde über TPG-Capital, seine US-amerikanische und europäische Private-Equity-Plattform für spätere Investitionsphasen, in Focepoint G2CI investieren. (www.tpg.com / www.forcepoint.com/de / www.franciscopartners.com)
Kooperation von WatchGuard und IONOS: Was in der Praxis schon eine Weile lief, wurde jetzt offiziell besiegelt. IONOS-Kunden stehe somit die umfassende Funktionalität der WatchGuard FireboxV in der IONOS Cloud zur Verfügung. Mit diesem Schritt wollen die Unternehmen nicht zuletzt der Skepsis von KMU gegenüber einem Wechsel in die Cloud „ein wirkungsvolles und abgestimmtes Lösungskonzept“ für eine gezielte Absicherung geschäftskritischer Anwendungen und Daten entgegensetzen. (www.watchguard.de / www.ionos.de)