Cybersecurity
Empfehlungen von Yubico zur Informationssicherheit im Jahr 2022
Von Alexander Koch, VP Sales EMEA
Im Jahr 2021 erlebten wir eine steigende Zahl spektakulärer Sicherheitsverletzungen, die vielfach in verheerende Ransomware-Attacken mündeten. Dabei hatten es die Angreifer weiterhin auf die Lieferketten abgesehen, nahmen aber auch herkömmlicherweise weichere Ziele wie Krankenhäuser, Schulen und Kommunalverwaltungen ins Visier. Und wenngleich die zugrundeliegenden Ursachen dieser Cyberangriffe vielfältig waren, profitierten alle Angriffe von Ein-Faktor-Authentifizierung oder einer schwachen Multi-Faktor-Authentifizierung (z. B. OTP) und ungeschützten Geheimnissen (z. B. SAML-Signaturschlüsseln).
Für 2022 erwartet Chad Thunberg, CISO von Yubico , eine weitere Zunahme von Angriffen, bei denen Lösegelder erpresst werden, was zum großen Teil auf die Erfolge zurückzuführen ist, die Ransomware-Gruppen im Jahr 2021 erzielten. Darüber hinaus ist davon auszugehen, dass die Regierungen noch stärker auf Vorschriften setzen werden, um ausgereiftere IT-Sicherheitspraktiken und -prinzipien in anfälligen Sektoren voranzutreiben.
Hier die wichtigsten Empfehlungen von Yubico zur Informationssicherheit im Jahr 2022:
Unternehmen sollten eine Zero-Trust-Architektur anstreben
Der SolarWinds-Hack und die vor kurzem bekannt gewordene Sicherheitslücke in Log4j haben eindrucksvoll gezeigt, wie kritische interne Systeme in manchen Unternehmen freien Zugriff auf das Internet und nicht vertrauenswürdige Systeme haben, obwohl seit Jahrzehnten für das Least-Privilege-Prinzip und für Isolierung plädiert wird.
Zero-Trust-Sicherheitsmodelle eröffnen neue Perspektiven, erfordern allerdings eine grundlegend veränderte Herangehensweise an die Informationssicherheit. Anstatt einfach vorauszusetzen, dass der internen IT-Umgebung vertraut werden kann, geht Zero Trust von der Annahme aus, dass die Umgebung feindlich ist. Vertrauen wird durch Prüfung und starke Authentifizierung gewährleistet, ist jedoch kurzlebig und muss deshalb immer wieder neu hergestellt werden. Dies sollte, so die Theorie, die Auswirkungen einer erfolgreichen Sicherheitsverletzung begrenzen, da sich das Zeitfenster verkleinert und die Systeme besser isoliert werden.
Phishing-resistente Multi-Faktor-Authentifizierung ist unerlässlich
Phishing, Credential Stuffing und andere Bedrohungen im Zusammenhang mit passwortbasierter Authentifizierung werden für Unternehmen ein erhebliches Risiko bleiben. Die Angreifer haben bewiesen, dass sie sich Zugang zu internen Netzwerken verschaffen können, in denen Ein-Faktor-Authentifizierung und schwache MFA immer noch weit verbreitet sind. Gestohlene Anmeldedaten befähigen Angreifer, sich in einer Umgebung festzusetzen, ohne dass sie dazu Schwachstellen ausnützen oder andere Aktionen durchführen müssen, die die Wahrscheinlichkeit einer Entdeckung vergrößern würden.
Der YubiKey, der mehrere Authentifizierungsprotokolle unterstützt, kann Unternehmen als Brücke dienen, wenn sie schrittweise von der Ein-Faktor-Authentifizierung und älteren MFA-Verfahren wie OTP auf moderne, FIDO-basierte Protokolle umsteigen möchten, die gegen gängige Angriffe wie Phishing resistent sind.
Unternehmen müssen die Angst vor der Cloud überwinden
Manche Unternehmen und Branchen betrachten die Cloud nach wie vor als Bedrohung, vor allem, weil sie Sicherheitsvorteile darin sehen, selbst die Kontrolle zu behalten. Mag diese Annahme nun berechtigt sein oder nicht – auf jeden Fall bietet die Cloud eine Reihe robuster Sicherheitsfunktionen und -protokolle. Wenn diese richtig genutzt werden, lassen sich viele Bedrohungen weitgehend entschärfen, mit denen große Unternehmen heute zu kämpfen haben, wie etwa Ransomware und die Kompromittierung geschäftlicher E-Mails. Die Kombination aus föderierten Identitäten, starker Multi-Faktor-Authentifizierung und cloudbasierter Dateispeicherung ist für große wie auch kleine Unternehmen von großem Nutzen. Gegenseitige TLS-basierte Authentifizierung und Verschlüsselung lassen sich in der Regel einfach über ein Kontrollkästchen aktivieren, während die komplexen PKI-Verfahren im Backend abgewickelt und automatisiert werden. Außerdem stehen zusätzliche Überwachungs- und Kontrollmöglichkeiten für diejenigen Anwender zur Verfügung, die willens und erfahren genug sind, ihre Geheimnisse selbst zu verwalten.
Um von den Vorteilen föderierter Identitäten und einer starken Multi-Faktor-Authentifizierung profitieren zu können, müssen Unternehmen auch nicht komplett auf die Cloud umsteigen. Die meisten modernen Identity-Lösungen unterstützen die FIDO-Protokolle, SAML und OpenID Connect, um die Integration von On- und Off-Premises-Anwendungen zu erleichtern. Eine umfassende Übersicht über die Identity-Provider, die FIDO2/WebAuthn unterstützen, bietet die Liste Works with YubiKey von Yubico.
Unternehmen müssen sich auf Ransomware vorbereiten
Unternehmen, die herkömmliche Perimeter-Modelle und Legacy-Infrastrukturen auf Basis von Technologien wie Active Directory anwenden, müssen über einen soliden Plan zur Reaktion auf Ransomware-Angriffe verfügen. Neben der Erkennung und Wiederherstellung muss ein solcher Reaktionsplan auch andere Aspekte berücksichtigen, wie etwa Versicherungsschutz, externe Beratung und Pläne zur Lösegeldzahlung für den Fall, dass die Wiederherstellung fehlschlägt. Eine Versicherung deckt möglicherweise die Kosten für externe Dienstleister ab, jedoch nur, wenn es sich um autorisierte Anbieter handelt. Der Versicherungsschutz kann auch eingeschränkt sein. In letzter Zeit beobachten wir, dass der Versicherungsschutz unterschiedlich geregelt sein kann, je nachdem, ob es sich bei dem Angreifer um einen Staat handelt oder nicht.
Sobald der Plan aufgestellt ist, sollte er getestet werden – insbesondere sollten alle Backups geprüft werden.
Die Sicherheit der Lieferkette muss stärker beachtet werden
Der SolarWinds-Hack und die Log4j-Schwachstelle haben uns letztes Jahr nicht nur die Anfälligkeit unserer Lieferketten vor Augen geführt, sondern auch gezeigt, dass geschäftskritische und hochsensible Systeme immer noch in der Lage sind, sich beliebig mit nicht vertrauenswürdigen Systemen im Internet zu verbinden. Wir sollten uns daran erinnern, dass wir alle gemeinsam für die sichere Gestaltung, Entwicklung und Anwendung von Technologien verantwortlich sind. Lieferantenbewertungen mit einer Menge nicht genormter Fragebögen allein können die Lieferkette nicht absichern.
Die Unternehmen in einer Lieferkette müssen gegenseitiges Vertrauen aufbauen, indem sie in allen Stadien des Entwicklungsprozesses bewährte Verfahren der Informationssicherheit anwenden und diese auch nach außen hin demonstrieren können. Im Idealfall ist der gesamte Entwicklungsprozess von der Code-Freischaltung bis zum Release durch starke Authentifizierung, robuste Integritätskontrollen und Autorisierungsmodelle mit geringsten Rechten abgesichert. Die Unternehmen, die die Technologie implementieren, müssen branchenweit anerkannte Praktiken einhalten (z. B. Zero Trust), die durch Isolierung, Patches und robuste Zugriffskontrollmodelle gewährleisten, dass die Technologie sicher bleibt.
Die Sicherheitslücke in Log4j hat gezeigt, wie wichtig es ist, weit verbreitete und kritische Open-Source-Software abzusichern. Wenn eine Software frei verfügbar ist, wer ist dann für ihre Sicherheit verantwortlich? Wir erwarten ein Wiederaufleben der Diskussionen über eine „Cyber UL“-Zertifizierung sowie staatliche Zuschüsse für die Erfüllung noch zu definierender FAR- und DFAR-Anforderungen. Der jüngste Open Source Security Summit könnte der Vorläufer für formellere Initiativen seitens der US-Regierung sein.
Der Schutz der Privatsphäre wird weiterhin im Fokus der Regulierungsbehörden stehen
Laut kürzlichen Prognosen von Gartner werden bis Ende 2023 moderne Datenschutzgesetze für die persönlichen Daten von 75 % der Weltbevölkerung gelten. Da weltweit immer mehr Verordnungen wie die DSGVO und der CCPA eingeführt werden, um Sicherheit und Datenschutz für Millionen von Menschen zu gewährleisten, werden Unternehmen mit einem neuen Problem konfrontiert sein – nämlich mehrere Datenschutzgesetze in verschiedenen Ländern einhalten zu müssen.
Unternehmen müssen die Informationen, die solchen Regelungen unterliegen, nicht nur da schützen, wo sie eingehen, sondern über ihren gesamten Lebenszyklus hinweg. Während der CCPA und die DSGVO keine Anforderungen für die Authentifizierung enthalten, gehen wir davon aus, dass andere Länder ihre eigenen Anforderungen aufstellen und zunehmend Vorschriften erlassen werden.
