Das Aufdecken von Sicherheitsschwachstellen: Warum „sicher genug“ KEINE Option ist
In einem Zeitalter, das von digitalen Fortschritten und vernetzten Unternehmenslandschaften geprägt ist, kann die Bedeutsamkeit von Informationssicherheit nicht hoch genug eingestuft werden. Unternehmen sind im zunehmenden Maße auf Technologien angewiesen, um sensible Daten zu verwalten und zu speichern, und die potenziellen Risiken und Bedrohungen für die Sicherheit dieser wertvollen Daten sind ebenfalls exponentiell angestiegen.
Daher ist das Konzept „sicher genug“ nicht länger vertretbar, was den Schutz wichtiger Geschäftsdaten in der Cloud betrifft. Aufgrund sich stets weiterentwickelnder Cyberbedrohungen ist das Risiko schlichtweg viel zu hoch. Tatsächlich müssen 60% kleiner Unternehmen ihren Betrieb einstellen, nachdem sie Opfer einer Cyberattacke geworden sind.
In der April-Ausgabe unserer „Wer ist der Nächste?“-Reihe untersuchte Tresorits CTO Peter Budai gemeinsam mit dem Sicherheitsexperten Henk-Jan Angerman, CVO bei SecWatch, warum es in der heutigen Geschäftswelt schlichtweg keine Option ist, sich mit einer Sicherheitsstrategie zu begnügen, die nicht komplett wasserdicht ist.
Hören oder sehen Sie sich eine Aufzeichnung des Webinars auf Abruf an.
Was ist sicher genug?
Ist es sicher genug, die Tür Ihres Büros einfach nur zu schließen, wenn Sie das Gebäude verlassen? Oder sperren Sie sie auch ab? Hinterlassen Sie einen Zweitschlüssel unter der Fußmatte?
In der Welt offline wenden Unternehmen eine Reihe von Sicherheitsmaßnahmen an, um ihre Bürogebäude und die in ihnen verwahrten Datenbestände zu schützen. Zugriffskontrollsysteme, wie Schlüsselkarten oder biometrisches Scanning, werden häufig implementiert, um den Einlass zu regulieren und unbefugten Mitarbeitern den Zugriff zu verweigern. Überwachungskameras, die strategisch über das Firmengelände verteilt werden, dienen sowohl als Abschreckung als auch als Möglichkeit, Aktivitäten im Blick zu behalten. Einbruchmelde- und Alarmanlagen sorgen für eine zusätzliche Schutzebene, indem sie das Sicherheitspersonal auf unbefugte Zugriffe oder verdächtiges Verhalten aufmerksam machen. Viele Unternehmen investieren zudem in Sicherheitspersonal oder private Sicherheitsdienste, um eine sichtbare Präsenz zu schaffen und auf potenzielle Bedrohungen umgehend reagieren zu können .
Auf ähnliche Weise sollten Unternehmen auf die Einrichtung eines umfassenden Sicherheitsrahmenplans bestehen, was ihre Online-Datenbestände betrifft.
Im vergangenen Jahr wurden die personenbezogenen Informationen von rund 10.000 Polizeibeamten des Police Service of Northern Ireland (PSNI) im Zuge einer einem Antrag gemäß dem Informationsfreiheitsgesetz folgenden Datenpanne offengelegt. Der Fehler ereignete sich, als eine Nachwuchskraft ein unverschlüsseltes Dokument versendete, das die Nachnamen und Initialen, die Dienstgrade, die Dienstorte und die Abteilungen aller aktuellen PSNI-Beamten enthielt. Der Vorfall warf Licht auf die veralteten Informationsmanagementpraktiken und machte deutlich, dass das Speichern sensibler Informationen in Mainstream-Software – in diesem Fall in einer Excel-Tabelle – einfach nicht sicher genug ist.
Die Implementierung eines angemessenen Zugriffsmanagements hätte diese Datenschutzverletzung verhindern können. Mithilfe von Zugriffsmanagement kann der Zugang zu Informationen eingeschränkt und verlangt werden, dass Nachwuchskräfte eine Erlaubnis für den Zugriff einholen müssen. Die Speicherung dieser hochsensiblen Daten in einem verschlüsselten Format wäre ebenfalls von zentraler Bedeutung gewesen.
Tatsächlich ist menschliches Versagen weiterhin Ursache Nummer eins für Datenschutzvorfälle. Im Zuge von Red-Team-Einsätzen, die zum Testen der Sicherheitssysteme von Unternehmen ausgeführt werden, werden ebenfalls oftmals Schwachstellen aufgespürt, die im Zusammenhang mit menschlichem Versagen stehen – wie z. B. schwache Passwörter, Anfälligkeit für Social-Engineering-Attacken und mangelhafte Mitarbeiterschulung. Diese Faktoren anzugehen ist entscheidend, um ein widerstandsfähiges Sicherheitssystem zu schaffen.
In unserem bevorstehenden Webinar werden wir während Red-Team-Einsätzen aufgedeckte Sicherheitsschwachstellen genauer unter die Lupe nehmen und Henk-Jan wird Licht ins Dunkel der gängigen Fallstricke bringen. Unser Ziel ist, Ihnen umsetzbare Einsichten zu bieten, damit Sie die Abwehrmechanismen Ihres Unternehmens festigen können, und Lösungen zu diskutieren, die über „sicher genug“ hinausgehen. Insbesondere wird Ihnen Folgendes geboten:
- Entwickeln Sie ein tiefes Verständnis dafür, wie Probleme mit Berechtigungen ausgenutzt werden können, was zu potenziellen Sicherheitsverletzungen führt.
- Entdecken Sie die Nuancen, die Unternehmen oftmals übersehen, und lernen Sie Strategien, mit denen Sie Ihre Cloudsicherheitslage verbessern können.
- Erfahren Sie mehr über die Herausforderungen und Möglichkeiten im Hinblick auf Compliance-Frameworks wie ISO27001/NIS2
Falls Sie das Webinar verpasst haben, können Sie nun – wann immer es Ihnen beliebt – eine Aufzeichnung der Folge ansehen oder anhören