Das eigene Unternehmen ist gegründet. Die ersten Waren und Dienstleistungen sind am Markt erfolgreich. Aber sind das junge Unternehmen und seine Daten auch sicher gegen Cyberattacken? Moderatorin und Technikexpertin Sarah Elßer, Mitgründerin von Tech Well Told, erklärt, worauf kleine und mittelständische Unternehmen bei der Datensicherheit achten sollten. Begleiten Sie Sarah Elßer auf ihrer Cyber-Security-Journey.

Kleine und mittelständische Unternehmen (KMU) sind das Rückgrat der deutschen Wirtschaft. Gut 99 Prozent der 2,6 Millionen bundesdeutschen Firmen sind KMU. Sie schaffen rund 56 Prozent aller Arbeitsplätze und erarbeiten ein Drittel aller Umsätze. Das zeigen Zahlen des Statistischen Bundesamtes.  

Genau wie Großunternehmen können auch KMU Opfer von Cyberattacken werden. Schlimmer noch: Gerade junge Unternehmen sind besonders verwundbar. Denn für sie kann jeder erfolgreiche Hackerangriff das finanzielle Aus bedeuten. Ihnen fehlen schlicht die Rücklagen für die Schadensbeseitigung und einen temporären Ausfall des Geschäftsbetriebes. KMU und junge Unternehmen brauchen daher einen ganz besonderen Cyberschutz. Die „Betrifft mich nicht“-Einstellung wird nach Erhebungen des Spezialversicherers Hiscox jedes Jahr rund 46 Prozent aller deutschen Unternehmen zum Verhängnis. Sie werden Opfer gefährlicher und teurer Hackerangriffe – ein internationaler Spitzenwert.

Cyberwissen für junge Unternehmen mit Sarah Elßer von Tech Well Told 

Sarah Elßer ist Mitgründerin des jungen Unternehmens Tech Well Told. Als Moderatorin und Tech-Expertin erklärt sie Technik als „Nerd Dolmetscherin“ besonders einfach. Als Unternehmerin muss sie sich auch intensiv mit dem Thema Cyber-Sicherheit beschäftigen. Elßer weiß daher, wie wichtig Cyber-Security für junge Unternehmen ist und hat sich auf eine spannende Cyber-Security-Journey begeben. Auf dieser Reise durch alle Security-Themen zeigt sie gemeinsam mit Vodafone und tatkräftiger Unterstützung von Accenture worauf kleine und mittelständische Firmen achten sollten.

Begleiten Sie Sarah Elßer auf ihrer Reise und finden Sie auf jeder Etappe heraus, wie auch Sie Ihr junges Unternehmen ein ganzes Stück weit sicherer gegen Hackerattacken machen.

Alle Fenster und Türen im eigenen Unternehmen für Hackergruppen geöffnet? Sarah Elßer zeigt Ihnen, worauf Sie achten sollten.

Diese Angriffstypen gibt es: Hackerangriffe auf Unternehmen

In diesem Abschnitt erfahren Sie mehr zu den einzelnen Angriffstypen, denen sich junge Teams häufig ausgesetzt sehen. Einige Beispiele:

Social Engineering: Bei diesem Angriffstyp spielt der Faktor Mensch die entscheidende Rolle. Hacker:innen sprechen Ihre Mitarbeiter:innen persönlich an oder nehmen über das Telefon Kontakt auf. Sie geben sich dabei als IT-Techniker: innen, Bankmitarbeiter:innen oder Behördenvertreter:innen aus.

Ransomware: Angreifer schleusen Erpressersoftware in Ihre Systeme ein. Die verschlüsselt Ihre Daten und fordert ein Lösegeld für das Entschlüsselungspasswort.

Identitätsdiebstahl: Hacker:innen stehlen persönliche Passwörter oder übernehmen Firmenaccounts, um gegenüber Dritten Ihre Identität anzunehmen. Die Angreifer:innen senden Ihnen E-Mails, die Sie auf täuschend echte Anmeldeseiten für Ihren E-Mail-Account, Ihr Amazon-Firmenkonto oder Ihren firmeneigenen YouTube-Kanal umleiten. Formen des Identitätsdiebstahls sind das Session-Hijacking und Man-in-the-Middle-Angriffe, die wir an anderer Stelle im V-Hub beschreiben.

Industriespionage: Wenn Hacker:innen ganz gezielt über längere Zeit Ihr Unternehmen attackieren und dabei gleich über mehrere Kanäle versuchen, an Ihre Passwörter zu gelangen, liegt der Verdacht nahe, dass es ein Wettbewerber auf sie abgesehen hat.

Malware: Nicht immer richten sich Cyberattacken gezielt gegen Ihr Unternehmen. Manche Angreifer:innen versenden Schadsoftware (Malware) mit darin versteckten Trojanern automatisiert an Millionen Empfänger:innen gleichzeitig.

Hintergrund Cyber-Security: Die eigenen Mitarbeiter:innen im Visier von Hacker:innen 

Weltweite Hackergruppen sind inzwischen organisiert wie große Firmen in der legalen Wirtschaft. Mit Manager:innen, Netzwerkspezialist:innen und einer Forschungsabteilung, die immer die neusten Lücken in aktueller Software findet. Sie entwickeln komplexe Schadprogramme, setzen sie selbst ein oder verkaufen und vermieten sie an andere Hacker:innen. Zum Beispiel als RaaS (Ransomware-as-a-Service).

Im Median kostet ein solcher Angriff das betroffene Unternehmen rund 18.000 Euro – gerade für junge Firmen kann dies schnell das wirtschaftliche Aus bedeuten. Hinzu kommen der Reputationsverlust sowie der Verlust der eigenen Daten und der von Kund:innen.

Elßer mahnt: „Wenn Hacker:innen in Unternehmen eindringen, kann das die Arbeit von Jahrzehnten zerstören.“ Auch Mitarbeiter:innen von Sarah Elßer waren privat schon Opfer von Cyberkriminalität. Ihr Unternehmen selbst hingegen noch nicht.

Damit dies auch in Zukunft so bleibt, verfolgen die Expert:innen von Accenture und Vodafone einen holistischen Ansatz auf der Cyber-Security-Reise von Tech Well Told, der auch für andere Unternehmen gilt. Ein sicheres Unternehmen muss den Blick auf Datensicherheit in drei Dimensionen haben:

Mensch: Alle Mitarbeiter:innen müssen regelmäßig geschult werden, damit sie und das Unternehmen beispielsweise auch gegen Attacken per Social Engineering gut geschützt sind. Wie Unternehmen hier handeln können, haben wir in dem Artikel „Social Engineering – Angriffe auf die Schwachstelle Mensch“ zusammengestellt.

Technik: Die gesamte Digitaltechnik im Unternehmen muss neuesten Sicherheitsstandards entsprechen. Auch private Endgeräte, die beruflich genutzt werden, müssen dabei einbezogen werden. Was Unternehmen dabei beachten sollten, lesen Sie in dem Artikel „Was ist BYOD („Bring Your Own Device”)?“.

Prozesse: In allen Prozessen müssen die Mitarbeiter:innen Datensicherheit lückenlos mitdenken. Beispielsweise dürfen sie Geschäftsdaten und insbesondere persönliche Daten grundsätzlich nur verschlüsselt speichern und ungesicherte Endgeräte nicht unbeaufsichtigt lassen.

Um Einfallstore, zum Beispiel durch Unachtsamkeit von Mitarbeiter:innen, schnell aufzuspüren und Lücken zu schließen, ist im ersten Schritt ein Schwachstellentest sinnvoll. Ein solcher Test kann bereits viele Sicherheitslücken aufdecken. Hat das Unternehmen diese Lücken geschlossen, folgt ein ausführlicher Pentest, der auch überprüft, ob die Behebung der bereits bekannten Lücken erfolgreich war und auch die Mitarbeiter:innen für das Thema Cyber-Sicherheit nun sensibilisiert sind. Wie ein Pentest durchgeführt wird und was er aufdeckt, lesen Sie an anderer Stelle hier im V-Hub.

Tipps für die ersten Schritte zu mehr Cyber-Sicherheit

Sarah Elßer warnt, dass jedes Unternehmen – egal wie groß oder klein es ist, von Cyberattacken betroffen sein kann. Aus der Zusammenarbeit mit Vodafone und Accenture nimmt sie in einem ersten Schritt diese Tipps mit:

• Das Wahrnehmen von möglichen Cybergefahren ist extrem wichtig für Firmen. Erst diese Erkenntnis macht Unternehmen ausreichend sensibel und handlungsfähig.
• Die individuelle Awareness der Mitarbeiter:innen ist entscheidend für dauerhaften Schutz. Denn der Mensch ist das wichtigste Einfallstor für Cyberattacken.
• Die Technik sollte regelmäßig überprüft werden. Firewall und Antivirenprogramme, aber auch alle anderen in der Firma genutzten Programme müssen immer auf dem neuesten Stand sein.
• Schwachstellen sollten aktiv erkannt und behoben werden
• Externe Fachkompetenz von Securityexpert:innen liefert den wichtigen Blick von außen auf die eigene Sicherheit und schützt so das Unternehmen vor Gefahren, die sich vielleicht schon länger und unbemerkt eingeschlichen haben. Regelmäßige Pentests sichern die Erkenntnisse ab.

Im Video berichtet Sarah Elßer von ihren Erfahrungen aus dem Workshop mit Accenture und Vodafone.

Die eigenen Mitarbeiter:innen angreifen

Ein wichtiges Einfallstor für Cyberkriminelle sind E-Mails an die Mitarbeiter:innen von Unternehmen. Accenture warnt: „Wenn Unternehmen gehackt werden, dann passiert das oft mit Hilfe der Mitarbeiter:innen – ohne, dass sie es merken. Social Engineering ist für 98 Prozent aller Hackerangriffe der Ausgangspunkt.“

Daher versenden Datenschutzexpert:innen bei ihren Pentests regelmäßig fingierte E-Mails an alle Mitarbeiter:innen des Unternehmens, das sie gerade überprüfen. Über darin versteckte Inhalte checkt dann das Prüfteam, wie viele Personen die E-Mails geöffnet und der darin enthaltenen Anweisung gefolgt sind, beispielsweise zur Übermittlung des eigenen Netzwerkpassworts.

Bereits durch eine einzige geöffnete E-Mail können Mitarbeiter:innen das gesamte Firmennetz gefährden und Türen für Spyware oder Ransomware öffnen, die dann mitunter jahrelang unerkannt im internen Netz verbleibt.

Accenture schlägt daher im Geschäftsverkehr nachfolgende Checkliste für mehr Cyber-Security bei E-Mails vor. Erscheint auch nur einer dieser Punkte verdächtig, sollte eine E-Mail nicht geöffnet werden.

Absender:in prüfen: Sind die Absender:innen von E-Mails bekannt und die angezeigten E-Mailadressen plausibel?

„Call to action“: Wird in einer E-Mail zu einer ungewöhnlichen und potenziell gefährlichen Aktion aufgefordert, zum Beispiel zum Verifizieren des persönlichen Netzwerkpassworts auf einer Webseite? Wird bei Nichtbefolgen mit schweren Konsequenzen gedroht (sofortige Sperrung des eigenen Kontos, Abbuchung eines hohen Rechnungsbetrages)?

Links prüfen: Enthält eine E-Mail verdächtige Links zu unbekannten Seiten oder werden Links durch Verwendung sogenannter URL-Shortener unkenntlich gemacht?

Formulierungen: Werden ungewöhnliche oder schlecht aus anderen Sprachen übersetzte Formulierungen verwendet, die in der Geschäftswelt nicht üblich sind?

Daneben hat Accenture noch weitere Tipps für Mitarbeiter:innen, die häufig mobil arbeiten – zum Beispiel E-Mails lesen oder aus der Ferne auf ihr Firmennetz zugreifen:

• Vorsicht bei fremden WLAN-Netzen. Diese sind ein potenzieller Angriffspunkt für Cyberattacken per Man-in-the-Middle.
• Dienstliche E-Mailadressen und -konten nicht privat nutzen.
• Sichere Passwörter verwenden, die auch per Brute-Force-Angriff nur schwer zu knacken sind.
• Jedes Passwort nur einmal nutzen, um Attacken per Credential-Stuffing zu erschweren.
• Systeme möglichst per Zwei-Faktor-Authentifizierung schützen.

Außerdem sollten Unternehmen bei der internen Rechtevergabe an Mitarbeiter:innen sparsam sein und möglichst nur gestaffelte Rechte für einzelne Bereiche oder Aufgaben vergeben. So können Hacker:innen mit gestohlenen Accounts nicht das gesamte Firmennetz angreifen.

Im Video berichten die Mitarbeiter:innen, wie leicht Beschäftigte Opfer von E-Mails mit Spyware oder Ransomware werden können.

Die umfassende Checkliste: Cyber-Sicherheit kompakt 

Mit dieser einfachen Checkliste prüfen Sie, wie gut Ihr Unternehmen gegen Angriffe gewappnet ist und wo Sie gegebenenfalls mit der Expertise von externen Expert:innen nachbessern sollten.

• Haben Sie Ihr Unternehmen bereits mit einem grundlegenden Sicherheitscheck auf mögliche Lücken in Ihrer Cyberabwehr überprüft?
• Führen Sie regelmäßige Pentests durch, die Ihre gesamte Technik, Ihre Prozesse und die Aufmerksamkeit Ihrer Mitarbeiter:innen berücksichtigen und Ihnen Hinweise zur Verbesserung liefern? Halten Ihre Systeme auch besonders aggressiven und gezielten Hackerattacken im APT-Umfeld (Advanced Persistent Threats) stand? Wurde dies bereits getestet?
• Gibt es ein umfassendes Datenschutzkonzept für Ihre Daten? Speichern Sie alle Ihre Geschäftsdaten verschlüsselt (beispielsweise in einer Cloud) und sichern Sie diese mehrfach gegen unerlaubten Zugriff? Wie gehen Sie mit persönlichen Daten von Kund:innen und Mitarbeiter:innen um, für die die Datenschutzgrundverordnung (DSGVO) besondere Vorgaben zum Datenschutz macht?
• Haben Sie Ihre Lieferketten und Ihre Zusammenarbeit mit Ihren Kund:innen auf Sicherheitslücken geprüft? Tauschen Sie noch Daten über ungeschützte Kanäle mit Dritten aus oder verwenden Sie Software und Webinterfaces von Geschäftspartner:innen, die nicht auf Cybersicherheit geprüft sind?
• Werden alle Ihre Mitarbeiter:innen regelmäßig, etwa in Form von Awareness-Workshops zu den neuesten Gefahren von Hackerattacken geschult?
• Binden Sie alle BYOD-Geräte wie beispielsweise Notebooks im Homeoffice oder privat und beruflich genutzte Smartphones und Tablets sicher in Ihr Firmennetz ein? Verwenden Sie hierfür ein leistungsfähiges Unified-Endpoint-Management mit Benutzerfreigaben?
• Was tun, wenn der Schadensfall eingetreten ist? Haben Sie ein Konzept für den Fall, dass Ihre Systeme mit Malware befallen oder Geschäftsdaten gestohlen wurden? Sind Ihre Systeme nach einem Schadensfall zeitnah aus Cloud-Backups wiederherstellbar?

Cyber-Security in der Übersicht

• Auch junge Unternehmen können jederzeit Opfer von Hackerattacken werden. Solche Angriffe treffen nicht allein Großunternehmen.
• Fast jede zweite deutsche Firma wurde im letzten Jahr Opfer eines Cyberangriffes. Die Schadenshöhe lag im Median bei rund 18.000 Euro.
• Zusammenarbeit macht stark und sicher: Junge Unternehmen sollten sich mit ihren Geschäftspartner:innen auf gemeinsame Sicherheitsstandards einigen.
• Aufmerksame Mitarbeiter:innen und sichere Technologien und Prozesse sind der beste Schutz gegen Angreifer:innen, insbesondere gegen Social Engineering.
• Das Wissen über Cyberattacken sollte regelmäßig erneuert werden – beispielsweise in Awareness-Workshops.
• Sahra Elßer hat auf ihrer Reise mit Vodafone und Accenture viele Tricks von Hacker:innen kennengelernt und rät daher jungen Firmen, sich von Profis regelmäßig unterstützen zu lassen, beispielsweise in Form von Security-Checks und Schulungen.

Quelle:

https://www.vodafone.de/business/featured/digitale-vorreiter/experten/cyber-sicherheit-fuer-junge-unternehmen-sarah-elsser-von-tech-well-told-zeigt-worauf-es-ankommt/

Firewall schützen heutzutage so gut wie jedes IT-System mit direkter oder indirekter Internetanbindung. Dabei handelt es sich um IT-Systeme, die ein- und ausgehenden Datenverkehr untersuchen – und ihn nach bestimmten Regeln entweder erlauben oder verbieten. Sie sind gewissermaßen das Herzstück der IT-Sicherheit (nicht nur) in Unternehmen.

49 Prozent der deutschen Unternehmen wurden laut einer Befragung von Forrester Research im Jahr 2022 Opfer einer oder mehrerer Cyber-Attacken. Dass diese in den meisten Fällen glimpflich ausgehen, ist nicht zuletzt gut funktionierenden Firewall-Systemen zu verdanken. Sie sorgen dafür, dass „böser” Datenverkehr von „gutem” unterschieden wird. Schließlich sollen Rechner und Firmennetzwerke im beruflichen Alltag genau das machen, was sie sollen – ohne dabei plötzlich von Fremden gekapert oder ausspioniert zu werden.

Doch wie funktioniert eine Firewall eigentlich und warum ist es bei Systemen ohne einen solchen Schutz nur eine Frage der Zeit, bis es zu einem erfolgreichen Angriff kommt? Das und noch einiges mehr rund um die digitalen „Brandmauern” im Internet erfahren Sie in diesem Beitrag.

Was ist eine Firewall und warum ist sie für Unternehmen so wichtig?

Der Begriff der Firewall an sich ist schnell erklärt. Es handelt sich um eine Analogie aus dem Englischen, die übersetzt so viel wie „Brandmauer” oder „Brandschutzwand” bedeutet. Dabei liegt der Definition von Firewalls die Idee zugrunde, dass im öffentlichen Internet nicht nur „harmloser” Datenverkehr stattfindet, sondern es auch Kriminelle für ihre Zwecke missbrauchen. Ohne funktionierende Brandmauer („Firewall”) greifen Unbefugte schnell auf ungesicherte Rechner zu und erbeuten dort wertvolle Daten oder nutzen die gekaperten Rechner für weitere Angriffe.

Das Schlimme hieran ist: Selbst, wenn niemand aktiv Daten aus dem Internet abruft, prüfen Kriminelle mithilfe sogenannter Port-Scanner fortlaufend zufällig ausgewählte IP-Adressen und die zugehörigen, gängigen oder auch alle Ports auf Verwundbarkeit. Es reicht also, dass ein Rechner – oder ein Rechnerverbund – „ungeschützt“ eingeschaltet und mit dem Internet verbunden ist. Der Besuch durch ungebetene Gäste ist dann nur eine Frage der Zeit.

Bei Firewall-Systemen gibt es die grundsätzliche Unterscheidung zwischen „Personal Firewalls“ für einzelne Rechner und „Hardware Firewalls“ für ganze Netzwerke und externen Datenverkehr. Ihnen gemein ist: Sie beurteilen anhand bestimmter Regeln, ob ein Datenpaket als vertrauenswürdig gilt oder nicht. Bei modernen Firewall-Systemen können Sie diese Regeln dynamisch anpassen bzw. die Firewall lernt fortlaufend dazu, um bessere Entscheidungen zu treffen.

Dementsprechend sind Firewalls wesentlicher Bestandteil eines jeden IT-Sicherheitskonzepts. Sie sollten sie jedoch nicht allein einsetzen; um Systeme zu schützen. Stattdessen ist immer eine ganzheitliche IT-Sicherheitsstrategie notwendig.

Wie funktioniert eine Firewall aus technischer Sicht?

Um zu verstehen, wie eine Firewall funktioniert, ist es zunächst wichtig, die Funktionsweise der Datenübertragung im Internet zu kennen. Sämtlicher Datenverkehr wird im Grunde stets in Form sogenannter Pakete abgewickelt. Hierbei handelt es sich um Informationseinheiten fester Größe, die je nach verwendetem Übertragungsstandard (Protokoll) unterschiedlich festgelegt ist. Ein solches Paket besteht in aller Regel sowohl aus den eigentlichen Daten, als auch aus Informationen zu Absender und Empfänger. Des Weiteren erfolgt die Kommunikation je nach Übertragungsprotokoll über sogenannte Ports – bei Webseiten meistens Port 80 (unverschlüsselt) oder Port 443 (verschlüsselt).

Ist nun einen Rechner ohne jeglichen Firewall-Schutz an das öffentliche Internet angeschlossen, ist dessen Netzwerkkarte im Grunde sämtlichem Internet-Datenverkehr ausgesetzt. Diese prüft lediglich anhand der weltweit eindeutigen IP-Adresse des Zielrechners, ob Pakete für diesen Rechner dabei sind oder nicht. Ist dies der Fall, öffnet der Rechner die Pakete und zeigt deren Inhalt auf dem Bildschirm der Anwender:innen an, beispielsweise eine Webseite. Es liegt auf der Hand, dass auf diese Weise relativ problemlos auch Schadcode auf den Rechner gelangen kann.

In der Praxis ist für die Verbindung eines einzelnen Rechners mit dem Internet ein Router erforderlich, der meist bereits über einen eingebauten, mehr oder weniger rudimentären Firewall-Schutz verfügt. Auch Windows verfügt über eine eingebaute Software-Firewall, die dubiose Datenpakete herausfiltert.

Das ist insbesondere, aber nicht nur dann der Fall, wenn die Kommunikation mit dem Zielrechner auf einem anderen geöffneten Port erfolgt. Hierin liegt auch der wesentliche, mehr oder weniger passive Schutz einer Firewall: Sie schließt im Grunde sämtliche Ports für den externen (und häufig auch internen) Datenverkehr, die Sie nicht benötigen. Will nun eine bestimmte Software auf einen solchen Port zugreifen, muss die Firewall diesen explizit und nur für dieses Programm freigeben.

Im Idealfall sind auf einem Rechner also immer nur diejenigen Ports geöffnet, die für die Netzwerkkommunikation zwingend erforderlich sind. Eingehende Datenpakete an andere Ports blockiert die Firewall. Ähnliches gilt für den ausgehenden Datenverkehr. Auf diese Weise kann die Firewall Cyberangriffe zwar nicht grundsätzlich verhindern, aber zumindest deutlich erschweren.

Diese Arten von Firewalls gibt es

Wie bereits erwähnt, unterscheidet man Firewalls zunächst einmal nach dem Ort ihrer Verwendung. „Personal Firewalls“ kommen auf einem bestimmten Rechner zum Einsatz. Dabei kann es sich auch um ein Smartphone oder Tablet handeln. „Hardware Firewalls“ hingegen laufen eingebettet in technische Systeme wie beispielsweise Router oder auch als Server-Komponenten.

Ein weiteres Unterscheidungskriterium ist die Funktionsweise. Während klassische Firewalls vor allem nicht benötigte Ports (siehe Infokasten) schließen, gehen moderne Firewalls (auch in Mischformen) deutlich weiter. Die wichtigsten Firewall-Arten nach ihrer Funktionsweise sind derzeit:

• Port-Firewall: klassischer Ansatz
• Proxy-Firewall: Analyse von Paketinhalten
• Stateful-Firewall: kontextbezogene Datenanalyse
• Next-Generation-Firewall: NGFW, mit erweiterten Funktionen
• Unified Threat Management: UTM, häufig als Dienstleistung angeboten
• Web-Application-Firewall: WAF, zum Schutz von Web-Angeboten
• Firewall-as-a-Service: Die Firewall als Cloud-Dienstleistung

Was hinter diesen einzelnen Firewall-Arten steckt und wie diese funktionieren, erfahren Sie in den nachfolgenden Abschnitten.

Proxy-Firewall

Eine Proxy-Firewall, die man auch als Gateway-Firewall bezeichnet, analysiert bei eingehenden Datenpaketen nicht nur den adressierten Port, sondern auch den Paketinhalt. Um das zu erreichen, kommen sogenannte Application-Gateways oder Application-Gateway-Firewalls zum Einsatz. Sie liegen in der Regel auf separaten Servern, da die Anforderungen an die Hardware-Performance für diese zusätzliche Prüfung nicht unerheblich sind. Durch dieses zusätzliche Konstrukt ist die Proxy-Firewall in der Lage, auch auf Anwendungsebene schädlichen von nicht schädlichem Traffic zu unterscheiden – sofern sie korrekt konfiguriert ist.

Der Begriff Proxy („Stellvertreter”) wiederum resultiert daher, dass die Proxy-Firewall insgesamt als „dazwischen geschaltete Ebene” fungiert. Sie fängt eingehende Anfragen ab, prüft diese im Application-Level-Gateway und leitet sie weiter oder blockiert sie. Da die Proxy-Firewall im Gegensatz zur klassischen Firewall als eigenständiger Kommunikationspartner auftritt, „kennt” sie auch die Anwendungsebene und die dort verwendeten Protokollsysteme. Sie handelt somit nicht stur nach festgelegten Regeln für jeden Port, sondern bezieht auch die kommunizierende Anwendung mit ein. Außerdem ist sie in der Lage, Anomalien bei der Verwendung der gängigen Übertragungsprotokolle wie https, smtp oder DNS zu erkennen.

Im bekannten ISO-/OSI-Schichtenmodell setzt die Proxy-Firewall somit ganz oben in der Anwendungsebene an. Sie arbeitet somit zwar gegebenenfalls langsamer, aber auch deutlich zielgerichteter und zuverlässiger als eine klassische Port-Firewall, die sich auf die Ebenen Drei und Vier beschränkt.

In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.

Zu den Vorteilen der Proxy-Firewall gehören:

• erhöhte Sicherheit
• detailliertere Analysemöglichkeiten
• eine weitreichende Abschottung der zu schützenden Netzwerkarchitektur vom öffentlichen Internet

Außerdem verfügen Proxy-Firewalls meist über umfangreiche Logging-Funktionen. Anhand dieser lassen sich Angriffe gut auswerten und schnell identifizieren.

Wesentliche Nachteile der Proxy-Firewall hingegen liegen darin, dass die Firewall nicht immer jede Anwendung und deren Protokolle optimal „versteht“. Hinzu kommt, dass für jede zu schützende Anwendung eine eigene Proxy-Instanz notwendig ist. Das kann zu erheblichem Wartungsaufwand und hohen Anforderungen an die benötigte Rechenleistung führen. Auch der Einsatz von VPN-Verbindungen über proxybasierte Firewalls ist häufig nicht oder nur über Umwege möglich. Fällt die Proxy-Firewall einmal aus, liegt außerdem zumeist die gesamte Kommunikation brach.

Stateful-Firewall

Das Prinzip der zustandsorientierten („stateful”) Firewall basiert auf der Idee, dass in vertrauenswürdigen Umgebungen keine fortlaufende, detaillierte Prüfung der ein- und ausgehenden Datenpakete durchgeführt werden muss. Voraussetzung hierfür ist jedoch, dass die Kommunikation mit der „Gegenstelle” als vertrauenswürdig eingestuft wurde. Das spart in der Praxis Ressourcen und beschleunigt die Kommunikation zwischen Endpunkten. Kann die Firewall ein- oder ausgehende Datenpakete hingegen keiner gültigen Anwendung zuordnen oder entsprechen sie schlicht nicht den Kriterien für eine sichere Verbindung, blockiert die zustandsorientierte Firewall sie ebenso wie andere Firewall-Arten.

Die zugrundeliegende Paketfiltertechnik ist als „Stateful Packet Inspection (SPI)“ bekannt. Die Analyse der Datenpaket-Segmente erfolgt im ISO-/OSI-Schichtenmodell auf Ebene Drei. Die entsprechenden Zustände speichert die Firewall in Tabellen und hält sie für eine gewisse Zeit aufrecht. Findet länger keine Kommunikation zwischen den Endpunkten statt, schließt sie die Verbindung (Session). Anwender:innen müssen sie dann neu herstellen. Alternativ bleibt sie mit Hilfe sogenannter „Keep Alive”-Pakete, die zwischen den Teilnehmer:innen hin und her geschickt werden, aktiv.

Was in der Praxis einfach und logisch klingt, erfordert softwareseitig durchaus Aufwand. Denn immerhin müssen Firewalls je nach verwendetem Übertragungsprotokoll verschiedene mögliche Zustände in der Datenkommunikation berücksichtigen. Ein Beispiel für eine clientseitige Stateful-Firewall ist die Firewall-Komponente des Windows Defenders.

Zu den Vorteilen der Stateful-Firewall gehören:

• gute Performance im Alltag
• eine intelligente und präzise Arbeitsweise bei der Paketfilterung
• Vorteile bei der Abwehr bekannter Schadensquellen

Ein Nachteil ist eine mögliche falsch-positive Identifikation von Datenverkehr, also das fälschliche Einstufen einer Kommunikation als vertrauenswürdig. Ist dies der Fall, leitet die Statefull-Firewall die nachfolgenden Datenpakete einfach durch. Das macht die sie vergleichsweise anfällig für DDoS-Angriffe, da sie jedes eingehende, nicht vertrauenswürdige Paket zunächst ausführlich prüft. Eine stets aktuelle und korrekte Konfiguration der Stateful-Firewall ist also grundlegend dafür, dass sie optimal arbeiten kann. Das macht sie vergleichsweise teuer im Betrieb, wenn es um die Absicherung von Rechnerverbünden geht. Abhilfe können hier jedoch ein Application-Layer-Gateway auf separater Hardware oder eine cloudbasierte Firewall schaffen.

NGFW: Firewall der nächsten Generation

Wie der Name bereits andeutet, ist eine Next-Generation-Firewall (NGFW)“ eine wesentliche Weiterentwicklung klassischer Firewall-Typen. Ihre Funktionsweise geht deutlich über die Analyse von Datenpaketen auf Protokoll- und Port-Ebene hinaus. Ebenso wie Proxy- und Stateful-Firewalls analysiert ein NGFW ein- und ausgehende Daten auf Anwendungsebene. Allerdings sind die zugrundeliegenden Regelsätze nicht mehr statisch, sondern dynamisch. Sie unterliegen also einer fortlaufenden Anpassung.

Ein wichtiger Grund, die bisherige Idee hinter dem Firewall-Prinzip kontinuierlich weiterzuentwickeln, ist die Tatsache, dass ein Großteil des Internet-Datenverkehrs inzwischen über den https-Port 443 für sichere Webseiten abläuft – und somit über einen einzigen Port. Das liegt vor allem daran, dass früher separat laufende Dienste wie ftp (Dateitransfer) oder smtp (E-Mails) inzwischen häufig Bestandteil von Webangeboten sind und vollständig in der Cloud laufen. Gibt man nun in einer klassischen Firewall den Port 443 ohne weitere Prüfmechanismen frei, lässt man bei fehlenden, weiteren Prüfmechanismen im Zweifel auch eintreffende Datenpakete mit schädlichem Inhalt durch, was unbedingt zu verhindern ist.

Trotzdem überprüft eine Next-Generation-Firewall sowohl das im Datenverkehr verwendete Protokoll als auch den eingesetzten Port. Gleichzeitig überwacht das NGFW-System das Verhalten der beteiligten Nutzer:innen und entscheidet anhand weiterer Kriterien (Policies), was als verdächtig gilt und was nicht.

Außerdem beinhalten viele „bedrohungsorientierte” Next-Generation-Firewalls sowohl einen Virenschutz als auch Mechanismen gegen Spam, anstößige Inhalte und einiges mehr. Zu den optionalen Funktionen einer NGFW zählen außerdem VPN-Lösungen, sowohl auf IPSec- als auch auf SSL-Basis. In der Summe lösen Firewalls der „nächsten Generation“ also sukzessive bislang einzeln aufgesetzte Lösungen wie Intrusion-Protection-Systeme (IPS) zum Schutz vor Eindringlingen, Proxies und Ähnliches ab.

Gängige (weitere) Funktionen von NGFW sind:

• Deep Packet Inspection (DPI): Dieser Mechanismus prüft nicht nur Datenpakete über dessen Header hinaus, sondern bietet auch die Möglichkeit, Bandbreiteneinschränkungen auf Anwendungsbasis zu konfigurieren.
• SSL/TLS-Termination: Insbesondere verschlüsselte Kommunikation lässt sich nur schwerlich auf schädlichen Inhalt hin überprüfen, wie es bei SSL- und TLS-Übertragungen der Fall ist. Einige NGFW sind so konfiguriert, dass sie auch diese Inhalte lesen und mithilfe einer neuen Verschlüsselung dann weiterleiten können. Datenschutzrechtlich bleiben hier allerdings offene Fragen. Das liegt daran, dass nicht der eigentliche Empfänger, sondern die Firewall die Daten ausliest. Und zu dieser gibt es immer auch mindestens einen, meist jedoch mehrere Administrator:innen. Diese könnten absichtlich oder unabsichtlich vertrauliche Kommunikation mitlesen.
• Sandboxing: Ob ein bestimmter Code, ein E-Mail-Anhang oder andere Daten schädlich sind, lässt sich häufig erst durch Ausführen ermitteln. Hierzu bieten einige NGFWs eine sogenannte Sandbox-Umgebung, in der die Firewall möglichen Schadcode gefahrlos ausführt und so auf mögliche Malware untersucht. Entsprechend großzügige Hardware-Ressourcen sind hier allerdings Voraussetzung, um den Datenverkehr nicht erheblich zu verzögern. Denn ein solches System kann eine Menge Rechenleistung beanspruchen.

Der NGFW-Ansatz entwickelt sich fortlaufend weiter. Derzeit passen Entwickler:innen ihn vor allem in Richtung Kontextsensitivität, Cloud-Unterstützung sowie virtuelle Umgebungen an. Immerhin sind herkömmliche Firewalls in der Vergangenheit nicht selten durch falsch-positive Filterung von Datenverkehr aufgefallen. Solche Situationen sind zwar nicht so schlimm wie nicht erkannte Angriffe, können aber im Arbeitsalltag durchaus zu Frustration führen.

Damit eine Firewall präzise und zuverlässig arbeitet, ist es also offensichtlich notwendig, auf Bedrohungen intelligent zu reagieren und sich von statischen Regeln weitgehend zu verabschieden. Eine wesentliche, aktuelle Bedrohung stellen dabei sogenannte APT-Angriffe („Advanced Persistent Threats“) dar. Bei dieser Angriffsform investieren einzelne Hacker:innen oder ganze Gruppen erheblichen, teils manuellen Aufwand, um bestehende Firewall-Systeme zu umgehen. Derartige Angriffe zuverlässig und dauerhaft abzuwehren, bleibt eine wesentliche Herausforderung auch für NGFWs.

Zu den Vorteilen der NGFW gehört vor allem, dass sie die wichtigen Eigenschaften klassischer Firewall-Ansätze mit modernen Sicherheitsmechanismen vereint. Die Firewall-Anbieter erweitern sie außerdem fortlaufend, da sich die Bedrohungslage ständig verändert.

Zu den Nachteilen der NGFW zählt, dass diese nicht immer einfach zu konfigurieren, zu administrieren und aktuell zu halten sind. Eine Ausnahme sind Managed-Services, also solche unter „fremder“ Verwaltung. Solche Systeme sind auch als UTM-Lösungen bekannt.

UTM-Firewall: Ist Unified Threat Management eine Alternative zur NGFW?

Einen etwas anderen Ansatz zum umfassenden Schutz von Netzwerksystemen stellt das sogenannte Unified Threat Management (UTM) dar. Es basiert ebenso wie die NGFW auf der Annahme, dass eine wirksame Abwehr von Bedrohungen nur über ein ganzheitliches System gelingen kann. Allerdings arbeitet eine UTM-Firewall sozusagen top-down und stellt eine umfassende Lösung auf Enterprise-Niveau ohne zusätzlichen Management-Aufwand bereit. Diese können Sie dann individuell anpassen, indem Sie beispielsweise einzelne Aspekte aus Relevanz- oder Kostengründen streichen.

Ein großer Vorteil des UTM-Ansatzes ist dessen einfache und schnelle Umsetzung: Kommerzielle Expert:innen kümmern sich sowohl um die Implementierung als auch die Aktualisierung der entsprechenden Lösung.

Nachteilig sind die meist vergleichsweise hohen Kosten. Hier sollten Sie genau darauf achten, was Sie tatsächlich benötigen und was nicht.

In der Praxis nähern sich NGFW-Lösungen den UTM-Komplettlösungen immer mehr an. Die Entscheidung für den einen oder anderen Ansatz ist somit häufig eine Frage der vorhandenen IT-Expertise und der entsprechenden personellen Ressourcen im Unternehmen.

Firewall-as-a-Service: Die Firewall als Cloud-Dienstleistung

Das Prinzip der Firewall-as-a-Service (“Firewall als Dienstleistung“) verlagert die Firewall dorthin, wo heute der größte Teil der unternehmenseigenen Daten und Anwendungen verortet ist: In die Cloud. Auf Basis einer Cloud-Firewall stellt das Prinzip erweiterte NGFW-Funktionen für alle angebundenen Rechner zur Verfügung.

Diese recht neue Prinzip ist spätestens seit der vermehrten Nutzung von Remote Work und hybriden Arbeitsmodellen nötig geworden, in dessen Zuge sich Geschäftsprozesse aus dem Unternehmensnetzwerk in die Cloud verlagert haben. Ursprüngliche Next-Generation-Firewalls sind auf Unternehmensservern installiert und weisen häufig keine ausreichende Skalierbarkeit in Bezug auf cloudnative Anwendungen auf. Zudem können sie das hohe Verbindungsvolumen in der Cloud aus dem Rechenzentrum des Unternehmens heraus nur schwer bewältigen. Hohe Latenzzeiten sind die Folge.

Wollte man herkömmliche Sicherheitsansätze auf die veränderten Arbeitsmodelle übertragen, müssten diese an jedem einzelnen Standort beziehungsweise genutzten Gerät vorhanden sein. Dies würde Homeoffice-Arbeitsplätze und Mobilgeräte einschließen und wäre weder vom Aufwand noch von der Logistik her zu rechtfertigen.

Stattdessen ermöglichen es FWaaS-Lösungen, Sicherheitsfunktionen auf allen sieben Schichten als Cloud-Service bereitzustellen und speziell auf die Anwendungen und Nutzer:innen eines Unternehmens zuzuschneiden.

Weitere Vorteile von Firewall-as-a-Service sind zudem eine effektive SSL-Überprüfung – in Zeiten des zunehmenden verschlüsselten Datenverkehrs ein immer wichtigerer Aspekt – sowie verzögerungsfreie Übertragungen auch bei hohen Zugriffszahlen auf die Cloud.

Nachteile bestehen in einem Mietmodell, das sich nur auf die Cloud erstreckt, so dass Sie unter Umständen eine separate Firewall-Lösung für Ihre On-Premises-Anwendungen und das Unternehmensnetzwerk benötigen.

 Web Application Firewall (WAF): So sichern Sie Ihre Web-Anwendungen sinnvoll ab

Wie bereits erwähnt, findet ein Großteil des derzeitigen Internet-Datenverkehrs auf Basis von Web-Anwendungen statt. Dazu zählen neben E-Mail-Clients auch und vor allem Shop-Systeme, Self-Service-Administration-Toolkits und Web-Oberflächen bekannter Messenger-Dienste wie Teams, Slack und Co.

Kaum verwunderlich also, dass Hacker:innen inzwischen auch Web-Anwendungen ins Visier nehmen. Zu den typischen Bedrohungen, gegen die eine Web Application Firewall (WAF) Schutz bieten soll, zählen beispielsweise Injection-Angriffe (LDAP, SQL), Cross-Site-Scripting (XSS), Parameter-Veränderungen, Cookie-Manipulationen und Pufferüberlaufangriffe. Bei einer WAF handelt es sich um eine Firewall auf Anwendungsebene, die insbesondere bei Betreiber:innen großer Webseiten zu den kaum verzichtbaren Lösungen zählt.

Die Funktionsweise ähnelt dem üblichen Firewall-Prinzip: Eine WAF untersucht im Hintergrund fortlaufend sämtliche Anfragen an und Antworten des Web-Servers, den sie schützen soll. Verdächtige Inhalte oder Anfragen wehrt die WAF im Idealfall umgehend ab. Um jedoch zuverlässig arbeiten zu können, muss die webbasierte Firewall zunächst eine „Lernphase“ durchlaufen.

Dabei wird mithilfe eines Anwendungs-Sicherheitsscanners (Application Security Scanner) analysiert, welche Aktionen als typisch gelten können und welche nicht. Im laufenden Betrieb wiederum analysieren interne oder externe Administrator:innen fortlaufend die Logdateien des Systems, um verdächtige Aktivitäten und Schwachstellen in der eigenen Konfiguration zu erkennen und zeitnah zu reagieren.

Zu den Vorteilen der Web Application Firewall zählt, dass sie einen zusätzlichen Schutz vor gängigen Bedrohungen im Web bietet. Dieser Schutz gilt auch für Systeme, die selbst keine Updates mehr erfahren, aber im Hintergrund einer Webseite weiterhin aktiv sind.

Zu den Nachteilen gehört, dass WAFs in Unternehmen mitunter für eine trügerische Sicherheit sorgen. Außerdem führen Unterschiede in der Bearbeitung von eingehenden Anfragen zu möglichen neuen Sicherheitsrisiken, die Hacker:innen ausnutzen könnten. Nicht zuletzt muss auch eine WAF fortlaufend aktuell bleiben, was in der Praxis Aufwand und Kosten verursacht – oder eben Sicherheitslücken eröffnet.

Das Wichtigste zum Thema Firewalls in Kürze

Eine Firewall sichert Ihr internes Firmennetzwerk gegen Angriffe von außen ab und ist demnach ein wesentlicher Bestandteil jedes IT-Sicherheitskonzepts. Anbieter sowie Standardisierungsgremien haben Firewalls über die Jahre fortlaufend technologisch weiterentwickelt und an die veränderte Bedrohungslage im Internet angepasst. Dabei unterscheiden sich Firewall-Systeme hinsichtlich ihrer Entwicklungsstufen, Einsatzgebiete sowie ihres Leistungsumfangs:

• Eine reine Port-Firewall sichert ein- und ausgehende Verbindungen auf rudimentäre Art, indem sie bestimmte Ports auf einem Rechner oder innerhalb eines Rechnerverbunds je nach dessen Aufgabe(n) blockiert oder freischaltet.
• Eine Proxy- oder Gateway-Firewall fungiert als zwischengeschaltetes Stellvertreter-System und ist in der Lage, Datenpakete auch auf Anwendungsebene zu untersuchen.
• Eine Stateful-Firewall sichert die ein- und ausgehende Kommunikation zusätzlich auf der Basis von geprüften Sitzungen und vertrauenswürdigem Datenverkehr ab.
• Die Next-Generation-Firewall (NGFW) ist in der Lage, noch mehr Aspekte des Datenverkehrs zu überwachen, wie beispielsweise das typische Nutzungsverhalten. Sie kann gegebenenfalls sogar verschlüsselte Kommunikation auslesen.
• Mithilfe von Unified Threat Management (UTM) sichern sich Unternehmen mit einer ganzheitlichen, verwalteten Sicherheitslösung gegen Bedrohungen von außen ab. NGFW und UTM sind dabei eng verwandt.
• Eine Web Application Firewall wiederum kennt typische Nutzungs- und Bedrohungsszenarien in webbasierten Systemen und schützt somit Webanwendungen gezielt vor Bedrohungen.

 Quelle:

https://www.vodafone.de/business/featured/technologie/firewalls-einfach-erklaert-definition-arten-und-einsatzzwecke-im-ueberblick/

Mobile Endgeräte wie Smartphones und Tablets sind aus unserem Alltag nicht mehr wegzudenken. Doch während wir sie für viele verschiedene Zwecke nutzen, setzen wir oft unbedacht unsere persönlichen Daten aufs Spiel. Die Sicherheit unserer mobilen Endgeräte sollte deshalb oberste Priorität haben. In diesem Artikel werden sechs häufige Fehler bei der IT-Sicherheit für mobile Endgeräte vorgestellt, die vermieden werden sollten.

1. Nicht ausreichend sichere Passwörter verwenden

Das erste und wahrscheinlich wichtigste Element für die Sicherheit von mobilen Endgeräten ist ein starkes Passwort. Leider sind viele Menschen zu nachlässig, wenn es um die Wahl ihres Passworts geht. So verwenden sie häufig einfache Kombinationen aus Buchstaben und Zahlen oder sogar persönliche Informationen wie Geburtsdaten oder den Namen ihres Haustiers. Solche Passwörter sind jedoch leicht zu erraten und bieten somit keinen ausreichenden Schutz. Stattdessen sollten Passwörter aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen und regelmäßig geändert werden.

2. Keine automatischen Sicherheitsupdates durchführen

Viele Nutzer von mobilen Endgeräten vernachlässigen das Durchführen von automatischen Sicherheitsupdates. Doch gerade diese Updates können helfen, potenzielle Schwachstellen zu beseitigen und das System auf dem neuesten Stand zu halten. Die Aktualisierung von Betriebssystemen, Apps und anderen Programmen sollte deshalb regelmäßig durchgeführt werden, um die Sicherheit des Geräts zu gewährleisten.

3. Unsichere Netzwerke verwenden

Ein weiterer häufiger Fehler bei der IT-Sicherheit für mobile Endgeräte ist die Nutzung unsicherer Netzwerke. Öffentliche WLAN-Netzwerke, die nicht verschlüsselt sind, können von Kriminellen leicht abgefangen werden. Deshalb sollte man diese Netzwerke nur mit Vorsicht nutzen oder besser ganz vermeiden. Stattdessen sollten Nutzer auf verschlüsselte Netzwerke zurückgreifen oder auf mobile Datenverbindungen umsteigen.

4. Unbekannte Apps installieren

Eine weitere Gefahr für die IT-Sicherheit von mobilen Endgeräten sind unbekannte Apps. Viele Nutzer laden Apps aus unbekannten Quellen herunter, ohne sich über die möglichen Risiken im Klaren zu sein. Diese Apps können Schadsoftware enthalten, die das System infiltriert und Daten stiehlt. Deshalb sollten Nutzer nur Apps aus vertrauenswürdigen Quellen herunterladen und installieren.

5. Keine Datensicherung durchführen

Ein weiterer Fehler bei der IT-Sicherheit von mobilen Endgeräten ist das Versäumnis, regelmäßige Datensicherungen durchzuführen. Gerade im Falle eines Diebstahls oder Verlusts des Geräts können wichtige Daten verloren gehen. Durch das Anlegen von regelmäßigen Backups können Nutzer jedoch sicherstellen, dass ihre Daten im Falle eines Verlusts des Geräts nicht verloren gehen.

6. Keine Verschlüsselung verwenden

Schließlich sollten Nutzer von mobilen Endgeräten auch auf die Verschlüsselung von Daten achten. Daten

auf mobilen Endgeräten können während der Übertragung oder auch auf dem Gerät selbst ungeschützt sein. Durch die Nutzung von Verschlüsselungstechnologien können Nutzer jedoch sicherstellen, dass ihre Daten nicht in die falschen Hände geraten. So sollten beispielsweise Passwörter, wichtige Dateien und E-Mails verschlüsselt werden, um ein Höchstmaß an Sicherheit zu gewährleisten.

Zusammenfassend sollten Nutzer von mobilen Endgeräten auf die IT-Sicherheit achten und diese nicht vernachlässigen. Die Wahl eines sicheren Passworts, das Durchführen von automatischen Sicherheitsupdates, die Nutzung sicherer Netzwerke, das Vermeiden unbekannter Apps, das regelmäßige Durchführen von Datensicherungen und die Verwendung von Verschlüsselungstechnologien können dazu beitragen, das Risiko von Angriffen und Datenverlusten zu minimieren. Wer sich an diese sechs Grundregeln hält, kann seine mobilen Endgeräte sicher nutzen und vor den meisten Bedrohungen schützen.

Hacker-Attacken sind eine permanente Bedrohung für jeden Computer. Kriminelle finden immer neue Wege, um über das Internet in Unternehmensnetze einzudringen, Geschäftsdaten zu stehlen oder auf anderem Weg Schaden anzurichten. So erkennen Sie, ob auch Ihre Computer von einer Hacking-Attacke betroffen sind – und wehren Angriffe ab, bevor es zu spät ist.

Über 200 Milliarden Euro verlieren deutsche Unternehmen nach einer Erhebung des Bitkom jährlich durch Diebstahl, Spionage und Sabotage. Laut Forrester Research waren mit 46 Prozent knapp die Hälfte der deutschen Unternehmen im Jahr 2022 von Cyberattacken betroffen. Zunehmend führt Schadsoftware zu Ausfällen von Produktionssystemen und Betriebsabläufen. Daher sieht inzwischen fast jedes zehnte Unternehmen (9 Prozent) seine Existenz durch Computerkriminalität bedroht.

Doch was tun, wenn Ihre Systeme tatsächlich gehackt wurden? Wie können Sie sich und Ihr Unternehmen gegen Schadsoftware schützen?

So erkennen Sie, ob Ihr System gehackt wurde

Inzwischen gibt es viele unterschiedliche Formen von Malware (Schadsoftware). Manche Programme geben sich sofort nach dem Befall zu erkennen: Sie verschlüsseln beispielsweise Ihre Festplatte und verlangen ein Lösegeld für die Rückgabe Ihrer Daten. Oder die Programme blenden ständig Werbeanzeigen auf Ihrem Bildschirm ein.

Andere Schadprogramme hingegen arbeiten im Verborgenen: Hacker:innen verbreiten über diese Computer unbemerkt Viren oder Spam-E-Mails.

Wie kann ich erkennen, ob ich gehackt wurde?

Auch aktuelle Antiviren-Programme erkennen nicht jede Malware und bieten deshalb keinen hundertprozentigen Schutz. Verlassen Sie sich daher nicht allein auf diese Software. Auch wenn Ihr Virenscanner nicht anschlägt, sollten Sie vorsichtig sein, wenn Sie folgende Dinge bemerken:

• Ihr Computer arbeitet nur noch sehr langsam und greift auch im Ruhezustand sehr häufig auf Ihre Festplatte oder das Internet zu.
• Ihre Unternehmens-IT oder Ihr Internet-Provider sperrt Ihren Computer, Ihren E-Mail-Account oder sogar Ihren Internet-Zugang wegen verdächtiger Aktivitäten, zum Beispiel wegen des Versands von Spam-E-Mails.
• Ihr Browser öffnet ständig Werbefenster – auch dann, wenn sie eigentlich werbefreie Seiten besuchen.
• Andere Personen teilen Ihnen mit, dass sie von Ihnen Spam-E-Mails oder E-Mails mit verdächtigen Dateianhängen erhalten haben.
• Im Task-Manager Ihres Windows-PC (erreichbar mit STRG+ALT+ENTF) finden Sie im Fenster „Prozesse“ unbekannte Anwendungen (Apps) oder Hintergrundprozesse, die auch die Process Library im Internet (eine Sammlung bekannter verdächtiger Prozesse) nicht kennt.
• Ihr Virenscanner bricht beim Scannen des Systems unvermittelt ab.
• Auf USB-Sticks oder anderen Speichermedien, die Sie weitergeben, finden die Empfänger:innen Schadsoftware.
• Ihr Computer meldet den Befall mit einem bestimmten Schadprogramm und fordert Sie auf, eine ganz spezielle Antiviren-Software zu kaufen, die angeblich als einzige genau diese Malware beseitigen kann.

Bereits gehackt? Diese Schritte sollten Sie umgehend durchführen

Wenn Sie den Verdacht haben, dass Ihr Computer gehackt wurde, sollten Sie umgehend diese Maßnahmen einleiten:

1. Entfernen sie das Netzwerkkabel Ihres Computers und trennen Sie ihn dadurch vom Unternehmensnetzwerk. Schalten Sie auch die WLAN- und Mobilfunk-Zugänge ab, wenn sie auf dem Computer aktiv sind.
2. Informieren Sie Ihre Unternehmens-IT über den Hacking-Verdacht. Kontaktieren Sie alle Kolleg:innen, denen Sie in der letzten Zeit Speichermedien weitergegeben haben oder mit denen Sie Zugriff auf gemeinsame Netzlaufwerke haben.
3. Fahren Sie Ihren Computer herunter und überprüfen Sie ihn mit einer aktuellen Virensoftware, die Sie direkt beim Systemstart ausführen, beispielsweise von einem USB-Stick. Diesen erstellen Sie an einem anderen, garantiert virenfreien Computer. Mit den meisten aktuellen Antiviren-Programmen können Sie einen solchen Start-USB-Stick erstellen.
4. Findet der Virenscanner beim Systemstart keine verdächtige Software, probieren Sie gegebenenfalls einen weiteren Virenscanner von einem anderen Hersteller aus.
5. Prüfen Sie anschließend alle zuletzt erstellten Back-ups Ihres Computers auf Virenbefall. Denn darin könnte sich der Virus bereits eingenistet haben. Falls Sie selbst diese Maßnahmen nicht umsetzen können, lassen Sie dies von Ihrer Unternehmens-IT oder einem externen Dienstleister durchführen.
6. Notieren Sie sich, welche Schadsoftware sich auf Ihrem Computer befunden hat. Adware oder Scareware ist ärgerlich, aber meistens kein größeres Sicherheitsrisiko für Ihre Firmendaten. Bei Cyberspionage mit einem Trojaner oder bei Cybersabotage müssen Sie hingegen damit rechnen, dass Kriminelle an Passwörter oder vertrauliche Daten gelangt sind. Ändern Sie daher unverzüglich sämtlich Passwörter für Webseiten und weitere Dienste, die Sie nutzen.
7. Nehmen Sie die Hacker-Attacke zum Anlass, um sämtliche Sicherheitsmaßnahmen im Unternehmen auf den Prüfstand zu stellen: Verwenden Sie die neuesten Antiviren-Programme? Ist das Betriebssystem auf allen Endgeräten auf dem aktuellen Stand? Sind auch selten genutzte Geräte wie der Computer im Warenlager oder der Arbeitsplatz für Praktikant:innen technisch optimal geschützt und verfügen über aktuelle Antiviren-Software?

Handy gehackt: Nicht nur Computer sind beliebte Ziele – das sollten Sie tun!

Längst sind nicht mehr nur klassische Arbeitsplatz-Computer durch Malware und Attacken von Hacker:innen bedroht. Auch auf Smartphones, Tablets und anderen Endgeräten können sich Schadprogramme einnisten. Ransomware wie WannaCry beispielsweise läuft sogar auf Embedded Systems, also eingebetteten Steuerungscomputern in CNC-Maschinen, POS-Terminals und Geldautomaten. Auch Ihr Smartphone sollten Sie daher regelmäßig überprüfen.

Achten Sie besonders auf folgende Dinge:

• Installieren Sie neue Anwendungen für Ihr Android-Handy nur aus dem offiziellen Play Store. Als Nutzer eines iPhone leitet das Betriebssystem Sie ohnehin direkt zum App Store von Apple.
• Nutzen Sie bei sicherheitskritischen Anwendungen und beim Online-Banking immer die jeweils bestmöglichen Schutzmechanismen wie die Zwei-Faktor-Authentifizierung oder biometrische Zugangskontrollen.
• Verwenden Sie unterschiedliche Passwörter für jede Anwendung und wechseln Sie Ihre Passwörter regelmäßig.
• Nutzen Sie möglichst kein öffentliches WLAN, um sensible Daten zu versenden. Bei unbekannten WLANs besteht immer das Risiko einer sogenannten Man-in-the-Middle-Attacke, bei der jemand heimlich Ihren Datenverkehr mitliest. Insbesondere E-Mails können Kriminelle auf dem Transportweg ausspionieren. Falls Sie keine Alternative zu einem öffentlichen WLAN haben, verwenden Sie für den Datenversand eine verschlüsselte VPN-Verbindung.
• Speichern Sie auch unterwegs mit dem Mobiltelefon sicherheitsrelevante Daten nur auf sicheren Medien oder in einer Cloud, die entsprechend zertifiziert ist.
• Tipp: Wählen Sie für Ihre Unternehmens-Smartphones Business-Verträge mit hohem Inklusiv-Datenvolumen wie die Vodafone Business-Tarife. Dann müssen Sie unterwegs nicht auf potenziell unsichere WLAN-Zugänge zurückgreifen.

Auch beim Smartphone gilt: Haben Sie den Verdacht, dass sich auf Ihrem Gerät Malware befindet, dann lassen Sie Ihr Smartphone auf Schadsoftware untersuchen. Wählen Sie sich mit dem Handy nicht mehr in Ihr Unternehmensnetz oder die Firmen-Cloud ein.

E-Mail-Konto gehackt: Das sollten Sie tun

Sie haben den Verdacht, dass Ihr E-Mail-Konto gehackt wurde? Mögliche Anzeichen dafür können sein:

• Andere Personen erhalten von Ihrer E-Mail-Adresse eine große Anzahl Spam-E-Mails oder E-Mails mit darin versteckten Viren.
• Ihr Provider oder Ihre Unternehmens-IT sendet Ihnen eine Warnung, weil in Ihrem Namen Spam-E-Mails verschickt wurden.
• Sie erhalten merkwürdige E-Mails vom eigenen Konto.
• Sie bekommen zahlreiche Hinweise, dass von Ihnen versendete E-Mails nicht zugestellt werden konnten. Diese Hinweise beziehen sich auf E-Mails, die Sie selbst nicht wissentlich versendet haben.
• Ihr Virenscanner findet auf Ihrem Rechner eine Schadsoftware, die Passwörter ausspioniert.
• Sie erhalten Bestätigungsmails, dass mit Ihrer E-Mail-Adresse Waren oder Dienstleistungen im Internet bestellt wurden.
• Sie haben plötzlich keinen Zugriff mehr auf Ihr E-Mail-Konto, weil das Passwort geändert wurde.

Hilfe bieten auch Internetdienste wie „Have I Been Pwned?“: Diese überprüfen, ob Ihre Adresse und Ihr Passwort bei einem der großen Passwortdiebstähle der letzten Jahre betroffen waren. Gibt es einen dieser Hinweise, sollten Sie umgehend Maßnahmen ergreifen und Ihr E-Mail-Konto schützen.

Dies sollten Sie tun, wenn Ihre E-Mail-Adresse gehackt wurde

Falls Sie noch Zugriff auf Ihr Konto haben, sollten Sie als erstes das Passwort ändern und Ihren Computer auf mögliche Schadsoftware untersuchen. Ist das Konto bereits gekapert und das Passwort von Dritten geändert, müssen Sie sich das Konto zuerst wieder zurückholen.

Das funktioniert je nach Anbieter zum Beispiel über eine Sicherheitsabfrage. Für diese Sicherheitsfrage haben Sie bei der Einrichtung Ihres Mail-Kontos eine Information hinterlegt, die nur Ihnen bekannt ist. Nach Beantwortung dieser Sicherheitsfrage können Sie Ihr Passwort zurücksetzen und anschließend ein neues Kennwort vergeben.

Gibt es bei Ihrem Anbieter keine Sicherheitsfrage, fragt er alternativ beispielsweise nach einer alternativen E-Mail-Adresse oder Ihrer Mobilfunknummer für eine SMS. Dorthin sendet der Provider Ihnen dann eine Nachricht mit Anweisungen für das Zurücksetzen des Passworts.

Haben Sie bei der Einrichtung des E-Mail-Kontos keine Zweit-Adresse oder Handynummer hinterlegt, bleibt Ihnen meist nur noch der Anruf bei der Hotline des Providers, um gemeinsam weitere Möglichkeiten zu suchen. Ist Ihr E-Mail-Konto kostenpflichtig, können Sie beispielsweise über Ihre Bank-Verbindung nachweisen, dass es sich tatsächlich um Ihr eigenes Konto handelt.

Hacking ist nicht gleich Hacking – diese Arten von Angriffen gibt es

Es gibt verschiedene Arten von Hacker-Angriffen, die gemeinhin unter den Oberbegriff der „Cyberkriminalität“ fallen. Die dahinterstehenden kriminellen Motive sind ebenfalls sehr unterschiedlich. Um Ihre Computer und Ihr Unternehmen effektiv vor Angriffen zu schützen, sollten Sie die verschiedenen Formen von Cyberangriffen kennen.

• Viren: Viren sind die bekannteste Form von Schadsoftware (Malware), deren Begriffe man oft fälschlicherweise synonym verwendet. Viren sind ausführbare Programme und verbreiten sich wie ihre Namensgeber aus der Biologie nach einmaliger Aktivierung weiter, um ganze Computernetzwerke zu infizieren.
• Würmer: Ähnlich wie Viren befallen auch Würmer möglichst viele vernetzte Computer. Sie siedeln sich nicht in kritischen Speicherbereichen an, sondern in Dateien. Durch ihre lawinenartige Vermehrung können sie in Unternehmen enormen Schaden anrichten, etwa durch das Blockieren von Speicherkapazitäten und Netzwerkressourcen bis zum kompletten Stillstand aller Systeme. Ihre Verbreitung ist seit den 2010er-Jahren rückläufig, da aktuelle Windows-Versionen über eine Desktop-Firewall verfügen und verbreitete E-Mail-Programme Würmer immer besser erkennen.
• Trojaner: Spionageprogramme verstecken sich meist innerhalb harmloser Anwendungen, die Sie möglicherweise selbst auf Ihrem Computer installieren. Diese sogenannten Trojaner spionieren Ihre Passwörter aus und öffnen im Betriebssystem Einfallstore für Hacker:innen und weitere Schadsoftware. Die Bezeichnung dieser versteckten Spionageprogramme stammt von der Anlehnung an das Trojanische Pferd aus der griechischen Mythologie.
• Cyberspionage: Wettbewerber und ausländische Nachrichtendienste versuchen immer wieder gezielt, Unternehmensdaten zu stehlen. Hierfür setzen die Hacker:innen Spionage-Software ein, die gezielt wertvolle Daten in Firmennetzwerken sucht und an ihre Programmierer:innen weiterleitet.
• Phishing: Eng verwandt mit der Cyberspionage ist das sogenannte Phishing von Passwörtern. Der Begriff leitet sich vom englischen „Fishing“ ab und beschreibt das „Abfischen” von Benutzerdaten und Kennwörtern mithilfe eines Köders. Als Köder dient hierbei meist eine E-Mail, die angeblich von Ihrer Online-Bank oder Ihrem E-Mail-Anbieter stammt. Darin fordert man Sie auf, auf einer Website Ihren Benutzernamen und Ihr Passwort einzugeben, da angeblich Ihr Konto gehackt oder der Banking-Zugang geändert wurde. Der eigentliche Hack erfolgt erst, wenn Sie dort tatsächlich Ihre Daten eingeben, denn die Website im Internet ist nur eine Nachbildung der Banken-Website. Wie Sie Phishing-Attacken erkennen und was Sie dagegen tun können erfahren Sie in einem separaten Artikel.
• Ransomware: Sogenannte Erpressersoftware (von englisch „Ransom“, also Lösegeld) verschlüsselt Festplattendaten auf befallenen Computern. Nach dem Verschlüsseln verlangen die Cyberkriminellen ein Lösegeld für die Herausgabe des Passwortes zur Entschlüsselung Ihrer Daten

• Rogueware: Eng verwandt mit klassischen Viren und Ransomware ist die sogenannte Rogue- oder Scareware. Internetseiten behaupten, dass diese Software vor bestimmten Computer-Attacken schützen könne, gegen die aktuell angeblich noch kein anderer Schutz existiert. Laden Sie die Software aus dem Internet herunter, stellt sie sich allerdings selbst als Schadsoftware heraus. Sie stiehlt heimlich Informationen oder verschlüsselt gar (als Ransomware) Ihre Festplatte.
• Cybersabotage: Kriminelle manipulieren Rechnernetze oder auch computergesteuerte Produktionsanlagen, um Schaden in Unternehmen anzurichten. Ein bekanntes Beispiel ist der Fall Stuxnet: Mit dieser Software gelang es 2010 offenbar, das iranische Atomprogramm über das Internet erfolgreich zu sabotieren.
• Botnets: Eine weitere Form der Cyberkriminalität sind sogenannte Botnets. Hacker:innen versuchen, möglichst viele Computer im Internet heimlich unter ihre Kontrolle zu bringen und für eigene Zwecke umzuprogrammieren (sogenannte „Zombie-PCs“). Botnets können Internetseiten durch millionenfache Aufrufe überlasten (sogenannte DDOS-Attacken). Sie können auch zum Schürfen von Kryptowährungen dienen. Betroffen bemerken meist nicht, dass ihr Computer Teil eines Botnets ist und im Hintergrund für Hacker:innen arbeitet.
• Adware: Dies ist eine lästige, aber vergleichsweise harmlose Variante von Schadsoftware. Adware ist ein Kofferwort aus den englischen Begriffen Advert (Anzeige) und Software. Adware blendet regelmäßig Werbefenster auf Ihrem Bildschirm ein. Programmierer:innen solcher Software verdienen häufig an den Einblendungen oder eventuellen Verkäufen. Adware können Sie mit Antiviren-Programmen in der Regel leicht beseitigen.
• Social Engineering: Beim Social Engineering versuchen Betrüger:innen unter Vorspiegelung falscher Tatsachen ihre Opfer zu bestimmten Handlungen zu bewegen. Die Täter:innen geben sich beispielsweise am Telefon als Mitarbeiter:innen eines Betriebssystem-Herstellers aus. Sie fordern die Angerufenen auf, ihnen ihren Computer per Internet für einen Fernzugriff freizuschalten. Ist die Freigabe erteilt, installieren sie darauf eine Schadsoftware oder lesen private Daten aus, zum Beispiel Kennwörter für das Online-Banking. Social-Engineering-Attacken setzt auf die Unerfahrenheit oder Hilfsbereitschaft der Opfer. Deshalb sollten Sie in Ihrem Unternehmen regelmäßig Cybersecurity-Schulungen abhalten, um über Social Engineering aufzuklären.

Gehackt: Weitere beliebte Angriffsziele

Neben dem Rechner am Arbeitsplatz, mobilen Geräten und Ihrem Mail-Konto gibt es weitere potenzielle Ziele für Hacker:innen: Darunter fallen vor allem verbreitete Dienste im Internet, also Online-Shops, das Online-Banking und soziale Netzwerke. Auch Accounts bei Google und Microsoft stellen lohnende Angriffsziele dar.

Zumindest beim Online-Banking haftet Ihre Bank grundsätzlich für entstandene Schäden. Haben Sie allerdings fahrlässig gehandelt, indem Sie beispielsweise auf Phishing-E-Mails reagiert oder Ihre Zugangsdaten auf ungesicherten Endgeräten abgespeichert haben, greift dies gewöhnlich nicht.

Nutzen Sie zur Sicherheit immer eine Zwei-Faktor-Authentifizierung, wenn Sie die Möglichkeit dazu besitzen. Bei vielen Banken ist die zusätzliche Verifizierung des Log-Ins ohnehin mittlerweile obligatorisch.

Sie können Ihr Unternehmen zusätzlich auch durch sogenannte Cyber-Versicherungen schützen, die bei Cyber-Attacken einen Teil des Schadens übernehmen, etwa bei Produktionsausfällen durch stillgelegte Maschinen oder Datendiebstahl.

Fazit: Es gibt keinen pauschalen Schutz gegen sämtliche Attacken von Hacker:innen. Durch den kombinierten Einsatz von aktuellen Virenscannern, regelmäßige Betriebssystem-Updates sowie mit einem gesunden Misstrauen gegenüber merkwürdigen E-Mail- und Messenger-Anfragen können Sie die allermeisten Bedrohungen allerdings erfolgreich abwehren.

Hacking-Gefahren in der Übersicht

• Gibt es Anzeichen für eine mögliche Hacker-Attacke, sollten Sie umgehend handeln und auch mögliche Betroffene zeitnah informieren, beispielsweise Kolleg:innen aus Ihrem Team.
• Die Anzahl möglicher Attacken ist vielfältig. Sie reicht von der zielgerichteten Cyberspionage gegen Unternehmensdaten bis hin zu ungerichteten Angriffen wie dem Versand von Phishing-Mails oder Trojaner-Software.
• Offene WLAN-Zugänge sollten Sie nicht für den Versand unverschlüsselter, sensibler Daten nutzen.
• Auch Ihre Mobilgeräte sollten Sie gegen Hacker:innen optimal absichern.
• Durch Sicherheitsmechanismen wie die Zwei-Faktor-Authentifizierung reduzieren Sie die Gefahr eines Passwortdiebstahls.

Quelle:

https://www.vodafone.de/business/featured/technologie/gehackt-was-tun/

Unternehmen sind mehr denn je auf verlässliche und vor allem sichere Anwendungen angewiesen: zum Beispiel beim Projektmanagement in der Cloud, bei vernetzten Anlagen in einer Smart-Factory und beim Umgang mit sensiblen Daten im Kundenservice. Doch auch die besten Softwarekonzepte nützen nichts ohne eine effektive Erprobung. Um bereits vor der Softwareentwicklung Gefahren ausfindig zu machen und Schwachstellen zu identifizieren, gibt es das sogenannte Threat-Modeling, auf Deutsch eine Art „Bedrohungssimulation“.

Rückrufaktionen für Produkte sind nicht nur teuer, sondern für die verantwortlichen Unternehmen oft mit einem erheblichen Imageschaden verbunden. Ist eine fehlerhafte Software auf den Markt gelangt, kann der Schaden sogar irreparabel sein: Geraten zum Beispiel durch ein Sicherheitsleck sensible Daten in Umlauf, macht dies auch ein Update des bislang unsicheren Programms nicht rückgängig. Das sogenannte Threat-Modeling soll diese und möglichst alle anderen Gefahren von vornherein ausschließen.

Was Threat-Modeling genau ist und welche Schritte es beinhaltet, erfahren Sie in diesem Artikel.

Was ist Threat-Modeling?

Konkret handelt es sich bei Threat-Modeling um eine Analyse potenzieller Bedrohungen für Anwendungen, Prozesse und Schnittstellen, aber auch für komplette IT-Systeme. Threat-Modeling kommt also vor allem in der Softwareentwicklung zum Einsatz. Für das Konzept gibt es außerdem auch die Bezeichnung Security-Threat-Modeling (STM).

Entwickler:innen können auf diese Weise Einsatzszenarien simulieren und dabei Schwachstellen und Gefahren identifizieren, bevor sie eine Anwendung programmieren. Eine umfangreiche Bedrohungsanalyse mittels Threat-Modeling ist heutzutage gewöhnlich ein zentraler Bestandteil innerhalb des Entwicklungsprozesses einer Software.

Um die Risiken mittels Threat-Modeling zu identifizieren, starten Entwickler:innen einen strukturierten Prozess mittels einer systematischen Analyse. Hilfe leistet dabei die von Microsoft entwickelte sogenannte „STRIDE-Methode“, die wir weiter unten im Einzelnen erläutern.

Die Gründe für Threat-Modeling

Durch Threat-Modeling erstellen Entwickler:innen bereits möglichst früh eine Bedrohungsanalyse in Bezug auf den Einsatz ihrer Anwendung. So können sie beispielsweise falsche Architekturentscheidungen hinsichtlich der Struktur eines Programms oder IT-Systems schon vermeiden, bevor sie die erste Zeile Code dafür schreiben.

Vor allem ist es weitaus teurer, Schwachstellen und Sicherheitsrisiken einer komplexen Anwendungsarchitektur erst im Nachhinein zu beheben. Dann entstehen zusätzliche Kosten für deren Beseitigung, etwa durch umfangreiche Bugfixes und Updates – gegebenenfalls aber auch durch Erstattungsforderungen für geschädigte Personen beziehungsweise Firmen. Zudem kann der Ruf von Entwicklungsabteilungen oder Firmen enormen Schaden nehmen, wenn nachgewiesenermaßen unsichere Produkte auf den Markt gelangen.

Für den Einsatz von Anwendungen in Unternehmen ist besonders der Aspekt interessant, vorab Sicherheitsanforderungen an ein System zu definieren. Damit können Entwickler:innen Analysen in einem spezifischen Umfeld vornehmen.

Wichtige Fragen können in diesem Zusammenhang zum Beispiel lauten:

• Wo speichert die Anwendung die Daten – online oder lokal?
• Wer hat darauf Zugriff – nur Mitarbeiter:innen oder auch externe Personen?
• Wie sensibel sind die verarbeiteten Daten?
• Ist eine Verschlüsselung erforderlich?
• Sollen die Daten auch mobil verfügbar sein?

Threat-Modeling ist allerdings keine ausschließlich freiwillige Angelegenheit, damit Hersteller Kosten minimieren. Softwareentwicklung unterliegt gesetzlichen Pflichten: Anwendungen müssen den Anforderungen an IT-Sicherheit genügen, um in den Verkauf zu gelangen. Diese können unterschiedlich ausfallen: Für Software, die beispielsweise mit kritischen Daten von Kund:innen arbeitet, sind die Anforderungen strenger als etwa für ein Unterhaltungsprogramm.

Der richtige Ablauf mit Hilfe der „STRIDE-Methode“

Ein effektives Threat-Modeling folgt einem strikt schematischen Ablauf in fünf Schritten. Dieser dient dazu, keine wichtigen Dinge innerhalb der Bedrohungsanalyse zu übersehen. In der konkreten Anwendung beinhaltet diese Analyse meist weitere detaillierte und zum Teil aufwendige Maßnahmen. Die grundsätzliche Vorgehensweise beim Threat-Modeling ist jedoch in jedem Falle gleich und läuft wie im folgt ab.

Schritt 1: Wie sieht die Entwicklung aus?

Zunächst skizzieren die Entwickler:innen Sinn und Einsatzzweck ihrer Anwendung. Anschließend geht es um die Frage, wie die Software konkret aussehen soll. Im Rahmen des Threat-Modeling geht es zunächst um die Darstellung der Software-Architektur mithilfe eines technischen Diagramms.

In der Anwendungsentwicklung kommen dabei meistens Datenflussdiagramme zum Einsatz. Mit diesen können die an der Risikoanalyse beteiligten Personen Schnittstellen und Datenflüsse visualisieren. Bedrohungen entstehen meistens dort, wo vorhandene Daten „fließen“, also von einer Instanz zu einer anderen geschickt oder von dieser angefordert werden.

Bei einer typischen Internetanwendung beispielsweise greifen User:innen über das Netz mittels der Applikation auf einen Proxy-Server zu. Dort lagern die Daten in einer Datenbank, die die Anwender:innen verwenden, verändern, abspeichern und gegebenenfalls versenden.

Um bei einem solchen Standardprozess mögliche Schwachstellen aufzudecken, sollten am ersten Schritt sowohl die Architekt:innen der Anwendungsinfrastruktur als auch Entwickler:innen und Systemadministrator:innen beteiligt sein. Erst durch deren unterschiedlichen Perspektiven auf den Aufbau der Anwendung entsteht ein Diagramm, das die benötigten Prozesse korrekt abbildet. Dies ist wichtig für die folgenden Schritte des Threat-Modelings.

Schritt 2: Was kann passieren?

Aufbauend auf dem Diagramm der Anwendung erfolgen im nächsten Schritt mögliche Szenarien, denen die Architektur ausgesetzt sein kann. Mithilfe von Annahmen grenzt dieser Schritt des Threat-Modelings mögliche Bedrohungen ein.

Grundlegende Fragen können zum Beispiel sein: Sind Bedrohungen beim Einsatz bestimmter Gerätekategorien auszuschließen? Sorgen aktuelle Betriebssysteme für den Ausschluss bestimmter Gefahren?

Aufbauend auf grundlegenden Fragen zum Einsatz einer Anwendung können theoretisch unendlich viele Detailprobleme überprüft werden. Beispiele bei einer Webanwendung sind:

• Ist die Identität des Web-Servers der Benutzer:innen korrekt?
• Können Benutzer:innen auch die Infrastruktur hinter dem Frontend sehen?
• Können Dritte auf den Datentransfer zwischen Webanwendung und Proxy-Server zugreifen?
• Verkraftet die Web-Applikation einen hohen Workload, etwa bei einem Online-Shop?
• Sind User:innen nur zu Dingen berechtigt, die für sie vorgesehen sind?

Diese Liste kann je nach Anwendung viele weitere Fragen nach sich ziehen. Um allerdings keine wichtigen Dinge innerhalb dieses Prozesses zu übersehen, haben Entwickler:innen bei Microsoft die sogenannte „STRIDE-Methode“ etabliert. Damit entstehen Kategorien für die oben beispielhaft vorgestellten Fragen, die ein strukturiertes Vorgehen ermöglichen.

Üblicherweise folgt dieses Vorgehen demnach dem folgenden Prozess:

• S = Spoofing (Identitätsverschleierung)
• T = Tampering (Manipulation)
• R = Repudiation (Verleugnung der Urheberschaft)
• I = Information Disclosure (Datenpannen)
• D = Denial of Service (Verweigerung des Dienstes)
• E = Elevation of Privilege (Ausweitung der Rechte)

Jedwede Schnittstelle muss also bei der Überprüfung diesen sechs bei Angriffen üblichen Methoden standhalten. Ist dies nicht der Fall, liegt eine Bedrohung vor.

Schritt 3: Wie sehen Gegenmaßnahmen aus?

Am Ende des STRIDE-Prozesses bleiben üblicherweise eine Reihe von Bedrohungen übrig. Diese lassen sich anhand des Datenfluss-Diagramms meist genau lokal zuordnen – oder können sogar übergeordnete Fragen nach sich ziehen, die die Struktur der gesamten Anwendung betreffen.

Die gefundenen Bedrohungen werden auf die folgenden vier Arten adressiert:

• Mitigation: Dies beinhaltet die Ergreifung von Maßnahmen, die eine Bedrohung abschwächen. Dies kann zum Beispiel einen zusätzlichen Passwortschutz an einer bestimmten Schnittstelle beinhalten oder eine Zwei-Faktor-Authentifizierung für einen bereits bestehenden Kennwortzwang.
• Eliminierung: Potenziell gefährliche Funktionalitäten, wie zum Beispiel Programmierschnittstellen, können durch zusätzliche Authentifizierungen geschützt werden. Eine Überprüfung kann sie aber auch gänzlich in Frage stellen: Benötigt die Anwendung die Funktionalität zwingend? Eine Entfernung oder Deaktivierung der Schnittstelle könnte das Problem unter Umständen leicht beheben und zu keiner (signifikanten) Reduzierung des Funktionsumfangs führen.
• Transfer: Muss eine potenziell gefährliche Funktion genau an dieser Stelle der Anwendung stattfinden? Muss der konkret dafür beauftragte Dienst dies tun? Könnte beispielsweise ein Transfer der Authentifizierung zu einem Active-Directory-Verzeichnisdienst die Schnittstelle schützen?
• Akzeptanz: Auch wenn die Gefahr adressiert ist, können die Entwickler:innen entscheiden, sie dennoch nicht zu beseitigen. Dies kann sein, weil sie diese als sehr gering einschätzen oder die Kosten für eine solche Maßnahme in keiner Relation zum Nutzen stehen.

Schritt 4: Lagebewertung

Wenn die bisherigen Schritte erfolgt sind, liegt gewöhnlich eine Liste mit möglichen Gefahren inklusive passender Gegenmaßnahmen vor. Bevor sie diese umsetzen, priorisieren die Entwickler:innen allerdings die identifizierten Bedrohungen. Dafür definieren sie einen Faktor für einen Bedrohungsrisiko, der sich aus der Wahrscheinlichkeit des Eintritts der Bedrohung multipliziert mit deren potenziellen Auswirkungen ergibt:

Bedrohungswahrscheinlichkeit x potenzielle Auswirkungen

Ein Beispiel: Können Hacker:innen auf einfache Weise über eine administrative Schnittstelle den Account eines Online-Shops kapern, damit Kundendaten auslesen und sogar fingierte Bestellungen tätigen, ergibt dies einen enorm hohen Bedrohungsfaktor.

Entsprechend niedriger fällt der Faktor aus, wenn etwa ein inkompatibles Skript unter bestimmten Voraussetzungen bei einem Bestellvorgang von Kund:innen für einen Grafikfehler sorgen könnte, aber abgesehen davon keinen Schaden anrichtet.

Die konkrete Kategorisierung des Bedrohungsrisikos hängt üblicherweise von der Security-Policy des jeweiligen Unternehmens ab, fällt aber meist grob in vier Kategorien: niedrig, mittel, hoch, sehr hoch. Microsoft bietet mit dem Programm Bug Bar ein Analyse-Tool, um das Risiko richtig einzuschätzen. Eine andere Methode ist der Industriestandard Common Vulnerability Scoring System (CVSS) von Unternehmen wie Cisco, CERT, IBM und weiteren.

Wichtig ist bei diesem Schritt des Threat-Modelings vor allem, die Reihenfolge der Gegenmaßnahmen auf Basis der Priorisierung und Kategorisierung festzulegen und entsprechend aufeinander abgestimmt durchzuführen. Dieses Vorgehen sollte dokumentiert werden, um es später nachvollziehen zu können.

Schritt 5: Evaluation

Im abschließenden Schritt erfolgt eine Qualitätsbewertung der Analyse, sozusagen die Evaluation der vorangegangenen Schritte. Dazu gehören:

• Überprüfung der Architektur: Erneut überprüfen die Entwickler:innen, ob die im Datenfluss-Diagramm entwickelte Architektur der Anwendung noch präzise ist. Außer den Gegenmaßnahmen können beispielsweise andere Faktoren die Struktur geändert haben, wie etwa Use-Cases oder Kundenwünsche. In diesen Fällen kommt es zu einer Wiederholung der vorherigen Schritte.
• Überprüfung der Bedrohungen: Durch Änderungen der Architektur können neue Bedrohungen entstanden sein. Die am Threat-Modeling beteiligten Personen sollten sowohl diese als auch die tatsächliche Beseitigung bereits identifizierter Bedrohungen überprüfen.
• Tests: Schließlich müssen die Entwickler:innen sämtliche Maßnahmen überprüfen und ausführlichen Tests unterziehen. Dies kann im Rahmen der normalen Anwendungstests des Entwicklers erfolgen, aber auch durch zusätzliche Use-Cases und Stresstests.

Welche Vorteile bietet Threat-Modeling in der Praxis?

Threat-Modeling in der Anwendungsentwicklung bietet Ihnen als Unternehmen vor allem eines: Die Gewissheit, dass die von Ihnen verwendete Software nahezu keine augenfälligen Gefahrenpotenziale für Ihren Geschäftsprozess und die Sicherheit der von Ihnen verarbeiteten Daten aufweist. Angreifende haben es damit wesentlicher schwerer, Schwachstellen in Ihrer betrieblichen Software zu identifizieren und zu Ihrem Schaden auszunutzen.

Die „Reparatur“ einer unausgereiften und unsicheren Anwendung im laufenden Betrieb wäre stattdessen sowohl für Sie als auch für den Hersteller der Anwendung mit enormen Kosten, Aufwand und höchstwahrscheinlich Ärger verbunden.

Je besser Entwickler: innen also ihr Programm vor der Markteinführung im Rahmen des Threat-Modelings auf Bedrohungen hin überprüft haben, desto unnötiger sind zudem umfangreiche Sicherheitsupdates. Diese können nicht nur die täglichen Arbeitsabläufe stören, sondern ihrerseits zu neuen Instabilitäten und vor allem Inkompatibilitäten im Zusammenspiel mit anderen Anwendungen führen.

Sie erwerben auf diese Weise neben der reinen Funktionalität des Programms vor allem Verlässlichkeit. Sie können sich darauf verlassen, dass die Software je nach Einsatzbereich Ihre Geschäftsabläufe gewinnbringend unterstützt. Somit können Sie sich damit befassen, die Funktionen für den Einsatz in Ihrem Unternehmen zu optimieren; anstatt sich um die Sicherheit der Prozesse und Daten sorgen zu müssen.

Im Übrigen beinhaltet Threat-Modeling auch die Überprüfung standardisierter Updates und Programmerweiterungen – spätere Softwareaktualisierungen sollen ja vor allem deren bessere Funktionalität und größere Sicherheit gewährleisten.

Threat-Modeling: Das Wichtigste in Kürze

• Threat-Modeling ist eine Bedrohungsanalyse von Anwendungen, Schnittstellen und IT-Systemen schon vor der Erstellung der ersten Codezeilen.
• Auf diese Weise vermeiden Entwickler: innen falsche Entscheidungen hinsichtlich der Struktur und Sicherheit eines Programms oder IT-Systems.
• Die meisten Gefahrenpotenziale sind also beseitigt, wenn Sie die Anwendung für den Einsatz in Ihrem Unternehmen erwerben.
• Das Threat-Modeling folgt einem in Grundzügen standardisierten Verfahren, das aus fünf Schritten besteht. Diese reichen von der Identifizierung und Adressierung potenzieller Bedrohungen über deren Beseitigung bis hin zu einer Evaluation des gesamten Analyseprozesses.
• Sorgfältiges Threat-Modeling sorgt dafür, dass Sie sich beim Einsatz von Anwendungen in Ihrem Unternehmen auf deren Sicherheit verlassen und auf die Kerntätigkeiten Ihres Geschäftsprozesses konzentrieren können.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/threat-modeling-wie-sie-it-risiken-bekaempfen-bevor-sie-akut-werden/