Der Cybersecurity-Bereich ist leider berühmt-berüchtigt für den ausladenden Gebrauch von Fachbegriffen. Wir erklären in einem Doppel-Blog die 23 gängigsten Fachbegriffe und zeigen auf, wie diese Konzepte in der Praxis umgesetzt werden. Hier im zweiten Teil fokussieren wir auf die Begriffe Nr. 12 - 23.
Mit Ethical Hacking ist die gezielte Suche nach Schwachstellen in IT-Systemen gemeint, um diese besser vor echten Angriffen zu schützen. Dabei handeln sogenannte «Ethical Hacker» im Auftrag eines Unternehmens, um Sicherheitslücken aufzudecken und Handlungsempfehlungen zur Behebung zu geben.
In der Praxis wird Ethical Hacking mit sogenannten «Bug Bounty Programmen» durchgeführt:
Unternehmen kommuniziert Bug Bounty Programm: Unternehmen schreiben Belohnungen aus für das Auffinden von Schwachstellen und Fehlfunktionen. Dies passiert öffentlich oder privat und gezielt auf Einladung.
Ethical Hackers suchen nach Schwachstellen: Bounty Hunters greifen das im Fokus des Programms stehenden IT-Asset an und reichen ihre Funde ein.
Unternehmen prüft eingereichte Meldungen und belohnt: Die gefundenen Bugs und Schwachstellen werden vom Unternehmen bewertet, die Finder werden belohnt.
Penetration Testing, auch «Pentesting» genannt, ist ein kontrollierter Test, bei dem IT-Systeme gezielt angegriffen werden, um Schwachstellen und Sicherheitslücken aufzudecken. Es ist dem Ethical Hacking sehr ähnlich.
In der Praxis geschieht Penetration Testing in folgenden Schritten:
Planung und Zieldefinition: Festlegen des Umfangs und der Zielsysteme für den Test, z. B. Netzwerke, Webanwendungen oder Endpunkte.
Durchführung von Schwachstellenanalysen: Identifikation potenzieller Sicherheitslücken mithilfe von Tools und manuellen Techniken.
Simulation von Angriffen: Testen der gefundenen Schwachstellen durch gezielte Angriffe, um die Auswirkungen zu bewerten und Schwachstellen zu validieren.
Red Team Testing ist ein umfassender Sicherheitstest, bei dem ein Team von Sicherheitsexperten versucht, die IT-Infrastruktur eines Unternehmens wie ein echter Angreifer zu kompromittieren. Ziel ist es, Schwachstellen aufzudecken, die Abwehrstrategien zu testen und die Sicherheitsresilienz des Unternehmens zu bewerten.
Red Teams beschäftigen sich in der Praxis mit folgenden Vorgehen:
Angriffssimulationen: Durchführung realistischer Angriffe auf Netzwerke, Anwendungen und physische Systeme, um Schwachstellen zu identifizieren.
Social Engineering: Testen der menschlichen Sicherheitsbarriere durch Phishing, Vishing oder andere Techniken.
Abschlussbericht mit Handlungsempfehlungen: Detaillierte Analyse der gefundenen Schwachstellen und Vorschläge zur Verbesserung der Sicherheitsarchitektur.
Der Begriff «Red Team Testing» stammt aus militärischen Übungen, bei denen ein «Red Team» (rotes Team) die Rolle des Gegners übernimmt, um Schwachstellen in der Verteidigung des «Blue Teams» (blaues Team) aufzudecken. Diese Methodik wurde später auf die Cybersicherheit übertragen, um IT-Systeme und -Prozesse unter realistischen Angriffsszenarien zu testen und ihre Widerstandsfähigkeit zu verbessern.
Eine Firewall ist ein Gerät, welches den Datenverkehr zwischen verschiedenen Netzwerken kontrolliert. Sie dient dazu, unerlaubte Zugriffe auf ein Netzwerk zu blockieren und autorisierten Datenverkehr zuzulassen. Dies geschieht durch das Scannen und Bewerten des gesamten Datenverkehrs, welcher durch die Hardware traversiert.
Firewalls sind elementare Bausteine eines verlässlichen und sicheren Unternehmensnetzwerks.
In der Praxis werden Firewalls folgendermassen eingesetzt:
Regelbasierte Zugriffskontrolle: Definieren von Regeln, die festlegen, welche Arten von Datenverkehr erlaubt oder blockiert werden.
Schutz vor unerwünschtem Zugriff: Blockierung verdächtiger IP-Adressen und unerlaubter Ports.
Intrusion Prevention: Moderne Firewalls können Angriffsversuche erkennen und automatisch verhindern, bevor sie Schaden anrichten.
Das NIST Cybersecurity Framework (CSF) ist ein weltweit anerkannter und etablierter Standard, der von der National Institute of Standards and Technology entwickelt wurde. Es wurde 2014 publiziert und 2024 auf die Version 2.0 aktualisiert.
Es bietet einen strukturierten Ansatz, um Risiken zu identifizieren, zu minimieren und die Cyberresilienz zu erhöhen. Das Framework besteht aus diesen sechs Bausteinen:
Identify: Erfassung und Dokumentation aller sicherheitsrelevanten IT-Assets, Prozesse und Risiken.
Protect: Implementierung von Sicherheitsmechanismen und Richtlinien, um die Integrität der Systeme und Daten zu schützen.
Detect: Kontinuierliche Überwachung, um Bedrohungen und Sicherheitsverstösse schnell zu erkennen.
Respond: Reaktion auf Sicherheitsvorfälle, einschliesslich Eindämmung und Schadensbegrenzung.
Recover: Wiederherstellung von Systemen und Prozessen nach Sicherheitsvorfällen.
Govern: Integration von Governance und Compliance-Richtlinien, um Sicherheitsmassnahmen kontinuierlich zu verbessern.
In der Praxis wird NIST CSF durch folgende Massnahmen angewendet. Dabei ist zu beachten, dass jedes Unternehmen von einer individuellen Ausgangslage herkommt und die Implementierung des NIST CSF nicht «auf Knopfdruck» passiert. Es ist ein stetiger Prozess.
Entwicklung eines eigenen Sicherheitsprogramms: Unternehmen erarbeiten eine eigene IT-Security entlang der NIST CSF Empfehlungen.
Regelmässige Bewertungen: Organisationen führen Audits und Analysen durch, um die Sicherheitspostur laufend zu bewerten und Schwachstellen zu schliessen.
Integration mit bestehenden Systemen: Das Framework wird in bestehende Sicherheits- und IT-Systeme eingebunden, um eine ganzheitliche Sicherheitsüberwachung zu ermöglichen.
Ein Informationssicherheits-Managementsystem (ISMS) ist ein systematischer Ansatz mit Richtlinien, Prozessen und Technologien, die zum Schutz von Daten vor Bedrohungen wie unautorisiertem Zugriff, Verlust oder Beschädigung eingesetzt werden. Ein ISMS wird oft durch Standards wie ISO/IEC 27001 definiert und hilft Unternehmen, ihre Sicherheitsziele zu erreichen.
Wir selber sind nach ISO 9001 und ISO 27001 zertifiziert.
In der Praxis werden spezialisierte ISMS-Softwaretool eingesetzt oder mit Plattform-Technologien wie bspw. Microsoft SharePoint Online und Microsoft Power Platform realisiert. Einige der Funktionen, die ein ISMS erfüllen muss:
Phishing bezeichnet eine weitverbreitete Cyberangriffsmethode, bei der Angreifer gefälschte E-Mails oder Websites verwenden, um sensible Informationen wie Passwörter oder Kreditkartendaten zu stehlen.
Im Phishing wenden die Angreifer «Social Engineering» an, um vertrauenswürdig zu wirken und die anvisierten Zielpersonen des Phishings zu einem bestimmten Verhalten zu bewegen, beispielsweise auf einen Link zu klicken oder Informationen bekannt zu geben.
Vishing, auch Voice-Phishing genannt, ist eine Variante des Phishings, bei der Angreifer Telefonanrufe nutzen, um vertrauliche Informationen zu erlangen. Häufig geben sie sich dabei als Bankmitarbeiter oder andere vertrauenswürdige Personen aus.
Smishing (SMS-Phishing) ist eine Methode, bei der Angreifer über Textnachrichten (SMS) versuchen, Opfer dazu zu bringen, auf schädliche Links zu klicken oder sensible Informationen preiszugeben. Diese Nachrichten enthalten oft Links zu gefälschten Websites oder Aufforderungen zur Eingabe von persönlichen Daten.
Privileged Access Management (PAM) ist ein Sicherheitsansatz, der den Zugriff auf besonders sensible Systeme, Anwendungen und Daten auf privilegierte Benutzer beschränkt. Ziel ist es, das Risiko von Sicherheitsverletzungen zu minimieren, indem privilegierte Konten überwacht, verwaltet und geschützt werden.
Microsoft Entra ID ist das wahrscheinlich am weitesten verbreitete Werkzeug zur Verwaltung von Benutzeridentitäten. Es bietet in der Praxis folgende Funktionen für das Management privilegierter Zugänge:
Zeitgesteuerter Zugriff: Privilegierte Rollen können zeitlich begrenzt aktiviert werden, um Risiken durch übermässige oder missbrauchte Berechtigungen zu minimieren.
Genehmigungsbasierte Aktivierung: Benutzer benötigen eine Freigabe, bevor sie eine privilegierte Rolle aktivieren können.
Justification Tracking: Benutzer müssen Begründungen für die Aktivierung ihrer Rollen angeben.
Benachrichtigungen: Sicherheitsverantwortliche werden informiert, sobald privilegierte Rollen aktiviert werden.
Zugriffsüberprüfungen: Regelmässige Prüfungen stellen sicher, dass Benutzer nur die Rollen behalten, die sie tatsächlich benötigen.
Auditprotokolle: Aktivierung und Nutzung privilegierter Rollen werden protokolliert und stehen für interne oder externe Audits bereit.
Bei der sicheren Verwaltung privilegierter Zugänge setzen wir die Technologien von Fudo ein. Diese gehen über die Standardfunktionalitäten in Entra ID hinaus und beinhalten beispielsweise KI-gestützte Analysen von Usersessions hinsichtlich verdächtiger Verhaltensweisen.
Ein Security Audit ist eine systematische Überprüfung der IT-Sicherheitsmassnahmen eines Unternehmens. Ziel ist es, Schwachstellen aufzudecken, die Einhaltung von Compliance-Vorgaben zu überprüfen und die Sicherheitslage insgesamt zu bewerten.
Bei Security Audits werden typischerweise die folgenden Schritte durchgegangen:
Bestandsaufnahme und Dokumentation: Erfassung der bestehenden IT-Systeme, Anwendungen und Sicherheitskontrollen.
Schwachstellenanalyse: Identifikation von Sicherheitslücken durch Tools wie Penetrationstests oder automatisierte Scanner.
Berichterstattung: Erstellung eines Auditberichts mit Empfehlungen zur Behebung der gefundenen Schwachstellen und Verbesserung der Sicherheitsstrategie.
Security Awareness beschreibt das Bewusstsein und die Kenntnisse von Mitarbeitenden in Bezug auf Cybersicherheitsbedrohungen und deren Vermeidung. Ziel ist es, das Verhalten der Belegschaft so zu schulen, dass sie Sicherheitsrisiken erkennen und vermeiden, um das Unternehmen vor potenziellen Angriffen zu schützen.
In der Praxis werden folgende Massnahmen umgesetzt:
Regelmässige Schulungen und Workshops: Vermittlung aktueller Bedrohungsszenarien wie Phishing, Social Engineering und Malware.
Simulierte Angriffe: Testen der Aufmerksamkeit der Mitarbeitenden durch simulierte Phishing-Kampagnen, inkl. Bekanntgabe der Resultate.
Einsatz von Gamification-Ansätzen: Interaktive Lernelemente, um Mitarbeitende für Cybersicherheitsgefahren zu sensibilisieren.
Regelkommunikation: Erinnerungen und Updates zu Sicherheitsrichtlinien über die Kanäle der internen Kommunikation.
Vulnerability Management ist der systematische Prozess zur Identifizierung, Bewertung und Behebung von Schwachstellen in IT-Systemen, Anwendungen und Netzwerken. Ziel ist es, Risiken zu minimieren und die Sicherheit kontinuierlich zu verbessern, bevor Schwachstellen von Angreifern ausgenutzt werden können.
In der Praxis werden folgende Massnahmen umgesetzt. Dabei spielt das CVE-Programm eine wichtige Rolle. Die Abkürzung steht für Common Vulnerabilities and Exposures. Hier werden Bekannte Schwachstellen öffentlich publiziert.
Regelmässige Schwachstellenscans: Einsatz von Tools zur automatisierten Überprüfung von Systemen und Anwendungen auf bekannte Schwachstellen aus dem CVE-Programm.
Priorisierung von Risiken: Bewertung gefundener Schwachstellen nach ihrem Schweregrad und potenziellen Auswirkungen, um die dringendsten Probleme zuerst zu beheben.
Patch-Management: Regelmässige Installation von Updates und Patches, um Schwachstellen zu schliessen und Systeme sicher zu halten.
Ausserdem zeige ich in der Artikelserie «Philippes monthly Report» auf, welche Sicherheitslücken besonders kritisch sind, oder gar bereits ausgenutzt werden.
Zero Trust ist ein Sicherheitsmodell, bei dem alle Zugriffe auf Ressourcen explizit verifiziert werden. Die Ursprünge dieses Konzepts reichen bis 1990 zurück und stammen aus dem Netzwerkbereich. Damals waren Computer so gross wie ein Zimmer und nicht wirklich mobil. Man konnte Zugriffe von diesem Computer einfach erlauben, weil es nur den einen Computer gab.
Irgendwann hatte jeder seinen eigenen stationären PC und das Konzept des «vertrauenswürdigen Standorts» wurde beibehalten. Mit der Einführung von Notebooks war dieses Konzept überholt und spätestens seit Smartphones und Clouds ist es völlig unpraktikabel.
Es gibt verschiedene Modelle, wie Zero Trust genau abgebildet wird. Wir orientieren uns an den Konzepten von Microsoft und CISA. Es gibt die folgenden Konzepte:
Diese Zero Trust Prinzipien werden auf verschiedene Kategorien von Ressourcen angewendet. Diese Kategorien sind: Benutzeridentitäten, Geräte, Netzwerke, Anwendungen, Dateien.
Massnahmen zur Implementierung von Zero Trust sind beispielsweise:
Identitätsbasierte Zugriffssteuerung: Jeder Benutzer und jedes Gerät muss authentifiziert und autorisiert werden, bevor der Zugriff auf Ressourcen erfolgt.
Segmentierung des Netzwerks: Ressourcen werden in kleinere, isolierte Zonen unterteilt, um lateral bewegende Angriffe zu verhindern.
Kontinuierliche Überwachung: Aktivitäten und Zugriffe werden in Echtzeit überwacht, um verdächtige Aktionen frühzeitig zu erkennen.
Multifaktor-Authentifizierung (MFA): MFA wird standardmässig eingesetzt, um die Sicherheit bei der Benutzeranmeldung zu erhöhen.
Verwendung von Datenverschlüsselung: Sensible Daten werden verschlüsselt, sowohl im Ruhezustand als auch während der Übertragung.