Der WebWi-Blog

Mehr Transparenz - höheres Risiko: Sicherheit für Unternehmen im Web

Artikel von Wiedemer A./ Hochenrieder M. (2015). Mehr Transparenz - höheres Risiko: Sicherheit für Unternehmen im Web. In: Marktplätze im Umbruch. S.679-688. Springer-Verlag.

Ausgangslage

Der ausgewählte Artikel thematisiert welchen Risiken Unternehmen und deren Kunden, Cyber Kriminellen ausgesetzt sind und welche Möglichkeiten das Unternehmen hat um sich dagegen zu schützen. Hierbei wird besonders auf das Defense-in-Depth-Modell eingegangen. Bei der Art des Cyber Crime unterscheiden die Autoren zwischen Identitäts-Diebstahl, Cyber-Spionage und Cyber War.

Identitäts-Diebstahl

Der Identitäts-Diebstahl betrifft den Kunden/die Kundin der Unternehmen, diese werden mittels personalisierten Phishing-Mails kontaktiert. Ziel der Kriminellen ist es Informationen zu deren Kreditkarten, als auch Adressen und Passwörter zu erlangen. Diese gestohlene, fremde Identität dient als Schutz für Cyber-Kriminelle bei der Planung für weitere Phishing-Attacken. Ein weiteres Ziel kann aber auch die Nutzung der Rechner-Kapazitäten der Kunden sein um Bot-Netze aufzubauen. Für den Identitäts-Diebstahl können aber auch direkt Online Shops fungieren. Dabei werden Mitarbeiterkonten gehackt und deren Kunden via individuelle Spear-Phising-Mails kontaktiert, dies war 2012 bei ebay der Fall.

Cyber-Spionage

Die Autoren erwähnen in diesem Zusammenhang den forcierten Cyber-Angriff, dieser wird als "Advanced Persistent Threat" (APT) bezeichnet. Hierbei handelt es sich bei den Hackern um Staaten oder Organisationen, welche über die notwendigen Ressourcen für einen derartigen Angriff verfügen. Ziel ist es unauffällig, über einen längeren Zeitraum Informationen auszuspionieren und langsam Schaden zuzuführen.

Laut den Autoren bleiben Hacker etwa 229 Tage unerkannt, ehe sie von den betroffenen Regierungen bzw. Unternehmen erkannt werden. Im Schnitt ist jedes dritte Unternehmen Opfer eines Cyber-Angriffs, Datenklau wird dabei nicht ausgeschlossen. Unternehmen eines APT waren beispielsweise IBM oder auch ThyssenKrupp. Die Täter konnten zwar nicht gefasst werden, dennoch geht man von einem chinesischen Hackerteam aus.

Cyber War

Das Internet wird sowohl als Propaganda-Werkzeug als auch für Cyber-Attacken zwischen verschiedenen Staaten, politischen Gegnern und Terroristen verwendet um sich gegenseitig zu schwächen. Ziel kann es sein eine Malware beim Gegner einzuschleusen, um z.B. mittels USB-Stick die Steuerung technischer Prozesse zu manipulieren, Stromausfälle zu generieren, etc.

Gefahren des Online-Shoppings

Mit "Injection" können Hacker Kundendaten in der Eingabemaske des Online Shops abfangen, sobald diese an die Datenbank gesendet werden. Hier wird ein Schad-Code eingebettet, welcher unterschiedliche Ziele verfolgen kann. Diese Ziele können sein: Identitätsdiebstahl, mittels Spyware sensible Daten der Unternehmen abfangen oder mittels Denial-of-Service-Angriff (DoS) den Online-Shop offline setzen. Das Problem der Unternehmen ist oftmals, dass das Managen der Sicherheitslücken als hoher Aufwand gesehen wird und daher mangelhaft ausgeführt wird. Die Autoren geben als Handlungsempfehlungen, das Schließen von nicht gebrauchten Ports, zeitnahe Patches um Sicherheitsrisiken in Applikationen zu minimieren.

Smartphone als Risiko

Die Internetnutzung auf Smartphones nimmt stetig zu, jedoch birgt dies auch Gefahren mit sich. Zum einen können durch oftmals unscheinbare Apps, Malware auf das Gerät gespielt werden. Diese sind in der Lage das Gerät zu scannen und zu überwachen. Dabei können auch Kreditkarteninformationen oder auch vertrauliche Unternehmensinformationen ausspioniert werden. Zum anderen können Smartphones verlorgen bzw. gestohlen werden, dabei hat der Täter nicht nur das Gerät sondern meist auch die Daten des Nutzers. Unternehmen müssen diese Gefahrenquelle erkennen, um entsprechende Maßnahmen setzen. Diese kann beispielsweise das Mobile Device Management (MDM) sein. Smartphones können damit verwaltet und gepatcht werden. Zudem kann bei Diebstahl oder Verlust des Geräts alle Daten zentral gelöscht werden.

Verteidigungsstrategie Defense-in-Depth-Ansatz

Um auf die zunehmenden Cyber-Attacken vorbereit zu sein, ist es für Unternehmen essentiell Verteidigungsstrategien zu planen. Jedes große Unternehmen ist das Ziel solcher Angriffe, daher ist es notwendig es den Hackern nicht leicht zu machen. Der Defense-in-Depth-Ansatz wirkt hierbei wie ein Zwiebelschalenmodell, welches über unterschiedliche Verteidigungsschichten verfügt.

Mitarbeiter

Zunächst ist es wichtig seine Mitarbeiter auf dieses Thema zu sensibilisieren und ihnen die Gefahren aufzuzeigen. Maßnahmen für Mitarbeit können laut den Autoren sein:

• Räume mit PC's nach dem Verlassen zusperren
• Wichtige Dokumente verschließen
• Passwörter geheim halten
• Sensible Informationen verschlüsseln

Dabei ist es wichtig, dass verantwortliche Personen das Thema positiv assoziieren um die Maßnahmen auch umzusetzen.

Zugang

Die nächste Schale im Modell beschreibt, dass der Zugang mit Hilfe von Firewalls und Virenschutz geschützt werden soll. Dabei sollen NextGenerations Firewalls, jene die die bestehende mit Applikations-bezogene Abwehrmaßnahmen unterstützen soll, eingesetzt werden.

Monitoring

Durch Monitoring lassen sich Cyber-Angriffe früher erkennen und etwaige große Schäden vermeiden.

Netzwerk

Um es Hackern zu erschweren, wird das Netzwerk, ähnlich wie bei einem Schiff, in Abschnitte geteilt. Wird ein Netzwerk beschädigt, sind andere dennoch geschützt. Applikationen Mit Hilfe von regelmäßigen Patchs können Angriffe auf Applikationen Großteils verhindert werden. Zusätzliche sollen mit Scanns und Testern Schwachstellen in den Applikationen entdeckt und analysiert werden, um diese bei Bedarf zu verbessern. Das Internet bietet viele Möglichkeiten, aber auch viele Risiken. Kundendaten sind laut den Autoren "Kronjuwelen", diese gilt es zu schützen. Zudem gilt Sicherheit als Wettbewerbsvorteil. Dabei kann aber eine vollkommene Sicherheit nicht garantiert werden, so müssen Unternehmen entsprechende Maßnahmen setzen und planen um schnell reagieren zu können.

Fazit

Ich habe den Artikel gewählt, da er mögliche Gefahren, welchen Unternehmen ausgesetzt sind, aufzeigt. Zudem gibt der Artikel mögliche Handlungsempfehlungen, wie Unternehmen diese Risiken minimieren können. Jedoch finde ich, dass beim Punkt Mitarbeiter ein Faktor außer Acht gelassen wurde. Mitarbeiter können nur dann auf die externen Gefahren sensibilisiert werden, wenn sie dem eigenen Unternehmen vertrauen und auch an dessen Transparenz glauben, zahlreiche Statistiken können Beitrag von Herrn Haiden nachgelesen werden.

Neben dem Defense-in-Depth-Modell gibt es auch andere Ansätze bzw. Strategien wie Unternehemen mit dem Thema Transparenz umgehen können, einen anderen Zungang findet man bei der Transparenzstrategie welche im Beitrag von Herrn Kaufmann näher erklärt wird.

Die Autoren Wiedemer und Hochenrieder erwähnen in ihrem Artikel vor allem große Unternehmen, welche von den Attacken betroffen sind. Meiner Meinung nach, kann der Defense-in-Depth-Ansatz auch für kleine Betriebe verwendet werden. Zudem zeigt der Artikel nicht, oder nur wenig, wie sich der Endkonsument vor Gefahren von Cyber-Attacken schützen kann bzw. was zutun ist falls man einem Identitäts-Diebstahl zum Opfer gefallen wurde.

Hallo Sabrina!

Sehr interessanter Bericht zum Thema  "IT-Security". Natürlich gibt es hinsichtlich der Sicherheit immer häufiger bedenken, dennoch bin ich überzeugt, dass Transparenz nicht immer nur negative Folgen mit sich bringt. 

Mein Artikel orientiert sich mehr am Thema Transparenz zwischen Unternehmen, welche Daten werden von Unternehmen preisgegeben. Auch mit den Themen Transparenz- und Informationsstrategien beschäftigt sich mein Blog Beitrag.

Würde mich über einen Besuch auch meinem Lernblog freuen ;)

Hallo Sabrina,

ist ein absolut spannendes Thema, dass uns gerade in den nächsten Jahren sehr viel begleiten wird. Desto mehr Geräte in das Internet-Ökosystem wandern, desto höher ist das Gefahrenpotenzial, dass unumgeängliche Sicherheitslücken zu Missbrauch führen.

Ich persönlich sehe aber Transparenz in keinem Zusammenhang mit Sicherheit. Ja, mit der Öffnung gewisser Prozesse nach außen gibt es mehr Angriffspunkte für mögliche Manipulation. Aber das ist ein technisches Problem, nicht ein strategisches. Technik wird nie zu 100% sicher sein - wenn wir uns mit dieser Begebenheit abfinden, können wir uns dagegen wappnen. z.B. mit starker Kryptografie um persönliche Daten zu schützen.