Ivanti Blog: Sicherheit

Digitale Souveränität und Sovereign Cloud: Schutz von EU-Cloud-Daten für operative Resilienz

Fri, 17 Apr 2026 12:30:01 Z

Der traditionelle Datenschutz folgte einem einfachen Prinzip: Daten, die in Land A gespeichert sind, werden durch die Gesetze von Land A geschützt; Daten, die in Land B gespeichert sind, werden durch die Gesetze von Land B geschützt. In der heutigen globalen Wirtschaft bestimmt der physische Speicherort Ihrer Daten jedoch nicht mehr, welche Regierungen Zugriff darauf verlangen können.

Cloud-Infrastrukturen haben neue rechtliche Komplexität geschaffen. Der physische Standort von Rechenzentren, die Nationalität des Hauptsitzes des Cloud-Anbieters und die für den Betrieb verantwortliche Einheit können jeweils konkurrierende Zuständigkeitsansprüche begründen. Dadurch können potenziell mehrere Regierungen Zugriff auf dieselben Daten verlangen.

Was ist digitale Souveränität?

Diese Herausforderung hat einen Namen: digitale Souveränität. Digitale Souveränität bezeichnet das Prinzip, dass Organisationen innerhalb des rechtlichen Rahmens ihrer Heimatjurisdiktion die vollständige Kontrolle über ihre Daten behalten. Dieses Konzept ist zu einer Notwendigkeit für die organisatorische Resilienz geworden, da Unternehmen in einer stärker fragmentierten geopolitischen Welt mit geringerem Vertrauen agieren. Private und öffentliche Organisationen benötigen sicheren Zugriff auf cloudbasierte Plattformen, die lokale regulatorische Anforderungen erfüllen und vor den bekannten oder unbekannten geopolitischen Risiken geschützt sind, denen ihre Region ausgesetzt ist.

Wie sich der US CLOUD Act auf die Datenresidenz in der EU auswirkt

Der US CLOUD (Clarifying Lawful Overseas Use of Data) Act von 2018 hat diese Bedenken für EU-Organisationen weiter verstärkt. Dieses Gesetz ermächtigt US-Strafverfolgungsbehörden, jeden in den USA ansässigen Cloud-Anbieter zur Herausgabe weltweit gespeicherter Daten zu verpflichten – unabhängig vom physischen Speicherort der Daten oder der Nationalität des Kunden.

Sowohl der US CLOUD Act als auch der Foreign Intelligence Surveillance Act (FISA) haben Unternehmen in der Europäischen Union Anlass zur Sorge gegeben. Durch diese beiden Regelungen könnten US-Behörden auf Daten zugreifen, die sich in Cloud-Plattformen von Organisationen mit Hauptsitz in den USA befinden – selbst wenn sich das Cloud-Rechenzentrum in einem anderen Land befindet.

Für Unternehmen mit Sitz in der EU löst die Nutzung US-basierter Tools bestimmte DSGVO-Pflichten aus, da personenbezogene Daten die EU verlassen. Und seit der EU-US Privacy Shield für ungültig erklärt wurde (bekannt als „Schrems II“), benötigen EU-Unternehmen andere Schutzmaßnahmen. Standardvertragsklauseln (SCCs) bleiben gültig, sind jedoch an Bedingungen geknüpft und komplex, da sie eine Einzelfallprüfung erfordern.

Seitdem wurde ein nachfolgendes Data Privacy Framework eingeführt, doch das grundlegende Vertrauen zwischen den beteiligten Staaten reicht nur bis zu einem gewissen Punkt. Diese Entwicklungen erhöhten den Druck, den Datenschutz, sicherzustellen; daher wurden Sovereign-Cloud-Lösungen benötigt, um operative Resilienz zu gewährleisten.

Ivanti Neurons for MDM – Sovereign Edition: entwickelt für Cloud-Souveränität in der EU

Für unsere Partner und Kunden in der EU erfüllt Ivanti Neurons for MDM Sovereign Edition diese Anforderungen durch eine grundlegend andere Architektur und Betriebsweise. In Deutschland angesiedelt und unabhängig betrieben, wurde diese Lösung so konzipiert, dass sie am Cloud Sovereignty Framework der Europäischen Kommission ausgerichtet ist, und von dem renommierten cyberintelligence.institute bewertet wurde; in der Expertenbewertung heißt es:

„Die Ivanti Sovereign Cloud zeigt ein hohes Maß an europäischer Kontrolle in den Bereichen Datenverarbeitung, Sicherheit und Compliance-Governance. In ihrer aktuellen Konfiguration erreicht die Ivanti Sovereign Cloud mindestens die SEAL-2-Zertifizierung. Das bedeutet, dass die Datensouveränität in allen Bereichen gewährleistet ist. Darüber hinaus erfüllt die Ivanti Sovereign Cloud in vielen relevanten Bereichen die Anforderungen für die SEAL-3-Zertifizierung und erreicht damit digitale Resilienz.“

Weitere Informationen finden Sie in der vollständigen technischen Bewertung.

Compliance-Anforderungen an die Datensouveränität sicher erfüllen

Neurons for MDM – Sovereign Edition – EU bietet europäischen Unternehmen eine strategische Grundlage für ihre IT- und Sicherheitsplattform aus der Hand eines vertrauenswürdigen Marktführers und wahrt zugleich lokale jurisdiktionelle Schutzmechanismen für das Risikomanagement. Das bedeutet, dass öffentliche und private Einrichtungen ihre digitale Transformation mit der Gewissheit fortsetzen können, dass ihre Cloud-Daten geschützt bleiben und ihre Betriebsabläufe resilienter werden.

Nächste Schritte? Lesen Sie unser Whitepaper Sovereign Cloud als strategische Notwendigkeit für europäische Organisationen, und erfahren Sie, wie Ivanti Neurons for MDM Sovereign Edition die SEAL-2-Zertifizierung erreicht und übertrifft und die Sovereign-Cloud-Architektur bereitstellt, die europäische Organisationen benötigen, um Datensouveränität zu wahren und gleichzeitig eine sichere digitale Transformation zu ermöglichen.

Trusted Ownership: Wie Ivanti Application Control über Allowlisting hinaus skaliert

Wed, 25 Feb 2026 14:25:15 Z

Anwendungskontrolle ist eines dieser Sicherheitsthemen, bei denen viele Menschen an überholten Annahmen festhalten. Klassisches Allowlisting wirkt sicher, wird aber schnell zum Wartungsaufwand. Blocklisting wirkt reaktiv und unvollständig. Und obwohl Tools wie Microsoft AppLocker viele zu der Annahme verleitet haben, dass striktes Allowlisting der Goldstandard sei, haben moderne Angriffe das Gegenteil bewiesen. Angreifer setzen zunehmend auf legitime, signierte Tools – die im falschen Kontext verwendet werden –, um listenbasierte Kontrollen vollständig zu umgehen.

Wenn Unternehmen also Ivanti Application Control oder Ivanti Neurons for App Control evaluieren und dabei auf Trusted Ownership stoßen, kann dies zunächst wie Blocklisting wirken, da explizite Sperren möglich sind. Tatsächlich ist Trusted Ownership ein deutlich breiteres und operativ wesentlich schlankeres, inspiriertes Durchsetzungsmodell, das die Ausführung auf Basis der Herkunft steuert – nicht nur anhand der Identität.

Statt wachsende Listen zu verwalten, setzt es Sicherheit auf Basis der Frage durch, wer Software auf dem System abgelegt hat, und fügt sich damit nahtlos in moderne Verfahren der Softwareverteilung und Zero-Trust-Prinzipien ein. Am besten versteht man es nicht als weiteren Listenmechanismus, sondern als provenienzorientiertes Durchsetzungsmodell, das die Ausführung auf Basis der Herkunft steuert – nicht nur anhand der Identität.

Dieser Perspektivwechsel führt zu einer besseren Frage für moderne Anwendungskontrolle: nicht nur, was eine Datei ist, sondern wie sie dorthin gelangt ist.

Über Listen hinaus: Warum Provenienzsteuerung heute wichtig ist

Die Frage, wie eine Datei auf das System gelangt ist, steht im Mittelpunkt der Provenienzsteuerung. Statt Dateien ausschließlich anhand von Herausgeber, Pfad oder Hash zu vertrauen, bewertet die Provenienzsteuerung Herkunft und Prozess, durch die sie eingeführt wurden. Wer hat die Datei auf den Datenträger geschrieben? Über welchen Mechanismus? Folgte die Installation einem kontrollierten IT-Workflow? Diese Bewertung verlagert die Anwendungskontrolle vom Objektvertrauen zum Prozessvertrauen und schafft damit eine wesentlich stärkere Sicherheitsgrenze.

In Ivanti Application Control wird Provenienzsteuerung als Trusted Ownership umgesetzt. Jede Datei, die von einem vertrauenswürdigen Eigentümer abgelegt wurde, wird zugelassen; alles, was von einem Benutzer eingebracht wurde, wird standardmäßig abgelehnt. Dies gilt konsistent für ausführbare Dateien, DLLs, Installer und Skripte. Da Identitäten wie SYSTEM, TrustedInstaller und Administrators standardmäßig vertrauenswürdig sind, läuft Software, die über Standard-Bereitstellungskanäle wie MS Intune, MECM, Ivanti Endpoint Manager (EPM) oder andere Enterprise-Tools bereitgestellt wird, sofort – ohne Regelpflege oder Ausnahmen.

Das ist ein grundlegender Bruch mit klassischem Allowlisting. AppLocker-Regeln stehen und fallen mit exakten Definitionen von Herausgeber, Pfad oder Hash. AppLocker bewertet die Installationsherkunft nicht und vertraut Ihren Bereitstellungsmechanismen nicht automatisch. Über Intune bereitgestellte Software erfordert weiterhin eine bereits vorhandene Allow-Regel, häufig gestützt auf breite Standardeinstellungen, die die Verzeichnisse „Program Files“ oder Windows zulassen.

Diese Unterscheidung ist wichtig, weil moderne Angriffe legitime Tools zunehmend in ungeeigneten Kontexten missbrauchen. Provenienzsteuerung neutralisiert einen großen Teil dieses Risikos, indem sie Vertrauen daran knüpft, wie Software ankommt – nicht nur daran, was sie ist. Sie entspricht Zero-Trust-Prinzipien, reduziert Risiken in der Lieferkette und begrenzt standardmäßig die Möglichkeiten für Living-off-the-Land-Missbrauch (LotL) erheblich.

Wenn Sie die Bedeutung der Herkunft verstanden haben, stellt sich als Nächstes die Frage: Wie lässt sich dies in großem Maßstab durchsetzen?

Die Antwort: Provenienz konsequent auf alle Arten anwenden, wie Software ausgeführt und bereitgestellt wird.

Über Blocklists hinaus: Breite Abdeckung für moderne Softwarebereitstellung

Provenienzsteuerung verlagert Anwendungssicherheit weg von der Verwaltung endloser Listen hin zur Validierung des Prozesses, über den Software auf das System gelangt. Aus dieser Perspektive wird klar, dass Trusted Ownership kein Blocklist-Ansatz ist. Es handelt sich um eine herkunftsbasierte Vertrauensgrenze, die sich deutlich anders verhält als klassisches Allowlisting.

Ein häufiges Missverständnis ist, dass Trusted Ownership dem Blocklisting ähnelt, weil Administratoren mitunter gezielte Deny-Regeln für bekannte Windows-Tools hinzufügen. In der Praxis sind diese Deny-Regeln Maßnahmen zur defensiven Härtung gegen Living-off-the-Land-Techniken. Jede ernstzunehmende Methode der Anwendungskontrolle nutzt solche gezielten Einschränkungen. Der Kern von Trusted Ownership ist das Gegenteil von Blocklisting: Software, die über einen kontrollierten und vertrauenswürdigen Prozess bereitgestellt wird, ist standardmäßig erlaubt, während von Benutzern eingebrachte Inhalte standardmäßig abgelehnt werden.

Ein wichtigeres Unterscheidungsmerkmal ist die Abdeckung. Viele Unternehmen, die sich auf klassische Allowlists verlassen, konzentrieren sich am Ende fast ausschließlich auf ausführbare Dateien. Sie vermeiden es häufig, dieselbe Durchsetzung auf DLLs, Skripte und MSI-Pakete anzuwenden, weil diese Dateitypen die Regelpflege erheblich komplexer machen. Dadurch entstehen Lücken, die moderne Angreifer häufig ausnutzen.

Trusted Ownership vermeidet diese Lücken, indem dieselbe herkunftsbasierte Durchsetzung auf die gesamte Ausführungskette angewendet wird. Ausführbare Dateien, DLLs, Skripte, MSI-Installer und zugehörige Komponenten werden nach demselben Vertrauensmodell bewertet. Da Vertrauen davon abhängt, wer die Datei eingebracht hat, benötigen Sie keine separaten Richtlinien für jeden Dateityp. Ein Skript im Downloads-Ordner, eine in einem temporären Build-Verzeichnis erstellte DLL oder eine aus einem Benutzerprofil ausgeführte EXE werden alle standardmäßig abgelehnt, wenn sie außerhalb eines kontrollierten Installationsprozesses entstanden sind.

Dieses Vertrauensmodell passt auch auf natürliche Weise dazu, wie moderne Endpoint-Management-Plattformen Software bereitstellen. Lösungen wie Intune, MECM, Ivanti Neurons for MDM, Ivanti Endpoint Manager und ähnliche Systeme installieren Anwendungen in der Regel über die SYSTEM-Identität oder ein anderes vertrauenswürdiges Dienstkonto.

Da diese Identitäten bereits Trusted Owners sind, läuft über diese Kanäle bereitgestellte Software sofort, ohne Allow-Regeln zu erstellen, Dateipfade zu pflegen oder Richtlinien zu aktualisieren. Nur wenn Sie bewusst alternative Installationskonten verwenden, etwa benutzerdefinierte DevOps-Agents oder skriptgesteuerte Installationen im Benutzerkontext, müssen Sie diese Identität als Trusted Owner festlegen.

Das Ergebnis ist ein Modell mit breiter und konsistenter Abdeckung über alle relevanten Dateitypen hinweg. Es arbeitet nahtlos mit modernen Softwareverteilungen zusammen und vermeidet den operativen Aufwand klassischer Allowlists, die sich hauptsächlich auf ausführbare Dateien konzentrieren.

Trusted Ownership setzt Vertrauen nicht in einzelne Objekte, sondern in die kontrollierten Prozesse, über die Software bereitgestellt wird. So entsteht ein skalierbarerer und sichererer Ansatz für Anwendungskontrolle.

Wo WDAC (App Control for Business) einzuordnen ist

Microsoft unterhält zwei Technologien für die Anwendungskontrolle: AppLocker und App Control for Business (früher WDAC). Obwohl beide weiterhin existieren, ist Microsoft hinsichtlich ihrer Rollen klar. AppLocker hilft dabei, Benutzer an der Ausführung nicht genehmigter Anwendungen zu hindern, erfüllt jedoch nicht die Wartungskriterien für moderne Sicherheitsfunktionen und wird daher als Defense-in-Depth-Mechanismus und nicht als strategische Sicherheitskontrolle eingestuft.

Microsofts Zukunftspfad für Anwendungskontrolle ist App Control for Business; Microsoft erklärt ausdrücklich, dass AppLocker – abgesehen von wichtigen Sicherheitsupdates – funktional abgeschlossen ist und nicht mehr aktiv weiterentwickelt wird. Das bedeutet, dass alle neuen Funktionen nur in WDAC und nicht in AppLocker bereitgestellt werden.

App Control for Business führt das Konzept Managed Installer ein. Dadurch kann Windows Anwendungen automatisch vertrauen, die über bestimmte Bereitstellungsplattformen wie Intune oder MECM installiert wurden. Vertrauen wird aus dem Verteilungskanal statt aus einzelnen Dateien abgeleitet, was die Regelpflege erheblich reduziert.

Dies steht in enger Übereinstimmung mit dem Trusted-Ownership-Modell von Ivanti Application Control. Beide Ansätze vertrauen Software auf Basis des kontrollierten Prozesses, der sie installiert hat, statt auf diskrete Dateiattribute. Trusted Ownership wendet dieses Konzept jedoch einfacher und im Betrieb zugänglicher an. Ivanti vertraut Identitäten wie SYSTEM und festgelegten Dienstkonten, ohne komplexe Richtlinienebenen, XML-Definitionen oder tiefgehende WDAC-Expertise zu erfordern.

Ivanti hört von vielen Unternehmen, dass sie Schwierigkeiten haben, WDAC operativ umzusetzen. WDAC-Richtlinien erfordern sorgfältiges Design, umfangreiche Tests im Audit-Modus, Treiber- und Kernel-Ausnahmemanagement sowie die laufende Pflege mehrerer Richtliniensätze. Dies führt häufig dazu, dass Unternehmen WDAC mit AppLocker kombinieren, um sowohl Low-Level-Durchsetzung als auch alltägliche Kontrolle im Benutzerbereich abzudecken – und am Ende zusätzlichen Verwaltungsaufwand haben.

Ivanti Application Control bietet eine einheitliche Alternative. Durch Trusted Ownership, Trusted Vendors und die Validierung digitaler Signaturen stellt es ein provenienzbasiertes Default-Deny-Modell mit konsistenter Abdeckung über ausführbare Dateien, DLLs, Skripte und MSI-Pakete hinweg bereit.

Statt zwei Microsoft-Steuerungsebenen mit unterschiedlichem Umfang zu pflegen, verwalten Unternehmen eine einzige, optimierte Richtlinie, die Vertrauen danach durchsetzt, wie Software in das System eingebracht wird. Dies erfüllt viele der praktischen Ziele, die Kunden mit einer kombinierten WDAC- und AppLocker-Bereitstellung erreichen möchten – jedoch mit geringerer operativer Komplexität und einem einheitlichen Vertrauensmodell.

LOLBins und Steuerung auf Argumentebene

Nachdem eine breite Abdeckung etabliert ist, stellt sich als Nächstes die Frage, wie mit den legitimen Tools umzugehen ist, die bereits auf jedem Computer vorhanden sind und die Angreifer gerne missbrauchen.

Moderne Angreifer verzichten häufig auf klassische Malware und nutzen stattdessen die Tools, die bereits auf jedem Windows-Gerät vorhanden sind. Diese Living-off-the-Land-Tools (LOLBins) sind legitim und für den normalen Betrieb erforderlich, wodurch sie schwer zu blockieren sind, ohne die Produktivität zu beeinträchtigen. Klassisches Allowlisting stößt hier an Grenzen, weil breit angelegtes Blockieren Workflows unterbricht, während breit angelegtes Zulassen gefährliche Lücken offenlässt.

Ein provenienzbasiertes Modell wie Trusted Ownership verändert diese Dynamik. Selbst wenn ein Angreifer versucht, ein integriertes Tool zu verwenden, stammt der Inhalt, den er ausführen möchte, in der Regel nicht aus einem vertrauenswürdigen Installationsprozess. Da Ivanti die Herkunft dieses Inhalts bewertet, scheitern die meisten Missbrauchsversuche automatisch. Das Tool mag legitim sein, der Inhalt, den es ausführen soll, ist es nicht – und Trusted Ownership stoppt ihn vor der Ausführung.

Wichtig ist außerdem, nicht nur zu verstehen, welche Tools ausgeführt werden, sondern auch, wozu sie aufgefordert werden. Viele Interpreter und Laufzeitumgebungen wie PowerShell, Python oder Java können in einem Kontext vollkommen sicher und in einem anderen riskant sein. Eine Geschäftsanwendung kann auf Java angewiesen sein, um einen bestimmten, genehmigten Prozess zu starten, während eine von einem Benutzer heruntergeladene JAR-Datei ein völlig anderes Szenario darstellt.

Ivanti löst dies mit einem mehrschichtigen Ansatz. Eine JAR-Datei wird zunächst mithilfe von Trusted Ownership bewertet und sofort blockiert, wenn sie von einem Benutzer und nicht über einen kontrollierten Bereitstellungsprozess eingebracht wurde. Darüber hinaus können Administratoren einfache Allow-Regeln erstellen, die genau festlegen, welche Java-Befehle erlaubt sind. So wird sichergestellt, dass nur legitime Java-basierte Anwendungen ausgeführt werden, während Versuche, nicht genehmigte JAR-Dateien zu starten, unauffällig abgelehnt werden.

Dasselbe Prinzip gilt auch für andere Tools. Richtlinien können genau das Verhalten genehmigen, das Ihr Unternehmen benötigt, und gleichzeitig Aktivitäten blockieren, die außerhalb dieser Grenzen liegen. Dadurch werden breite, anfällige Regeln vermieden, und die tägliche Arbeit läuft reibungslos weiter.

Das Ergebnis ist ein ausgewogener und moderner Ansatz. Trusted Ownership stoppt nicht vertrauenswürdige Inhalte standardmäßig. Gezielte Härtung entspricht Best Practices von Behörden und Community zur Reduzierung von Living-off-the-Land-Missbrauch, und absichtsorientierte Kontrollen stellen sicher, dass legitime Prozesse weiterhin funktionieren, ohne Angreifern Türen zu öffnen.

Dieser Ansatz steht in enger Übereinstimmung mit aktuellen Empfehlungen von Community und Behörden zur Eindämmung von Living-off-the-Land-Techniken. Behörden wie CISA, NSA, FBI und das Australian Cyber Security Centre betonen, dass Angreifern weniger Möglichkeiten gegeben werden sollten, integrierte Tools zu nutzen, indem deren Verwendung kontrolliert und die nicht vertrauenswürdigen Inhalte eingeschränkt werden, auf die sie zugreifen. Die gemeinsamen Leitlinien heben hervor, dass LOTL-Angriffe auf dem Missbrauch nativer Tools beruhen, und unterstreichen die Notwendigkeit von Kontrollen, die diesen Missbrauch begrenzen, ohne legitime Systemprozesse zu blockieren.

Das Modell von Ivanti spiegelt diese Empfehlungen wider. Trusted Ownership blockiert automatisch die nicht vertrauenswürdigen Inhalte, auf die Angreifer angewiesen sind, während eine kleine Zahl gezielter Einschränkungen die wenigen Tools adressiert, die besondere Aufmerksamkeit erfordern.

Trusted Ownership in der Praxis: Szenarien aus der realen Welt

Hier einige operative Beispiele dafür, wie Ivanti Application Control und Trusted Ownership in der Praxis funktionieren.

Eine portable Anwendung wird in das Benutzerprofil kopiert. Ivanti blockiert sie, weil sie im Besitz des Benutzers ist. AppLocker blockiert nur, wenn passende Regeln vorhanden sind. Ohne die richtigen Pfad- oder Herausgeberregeln kann sich das Verhalten unterscheiden.
Ein E-Mail-Anhang startet ein PowerShell-Skript aus „Downloads“. Ivanti lehnt es aufgrund des Benutzerbesitzes ab. AppLocker hängt von Skriptregeln ab und versetzt PowerShell bei Blockierungsereignissen in den Constrained Language Mode, der das Skript dennoch ausführt.
Missbrauch von Betriebssystem-Tools wie rundll32 oder mshta. Beide Modelle benötigen gezielte Deny-Härtung. Ivanti kombiniert dies mit Provenienzsteuerung, wodurch sich die Anzahl der benötigten Ausnahmen in der Regel reduziert. AppLocker stützt sich auf kuratierte Deny-Sets und erfordert regelmäßige Feinabstimmung.
Ein Hersteller-Update liefert neue signierte Dateien aus. Ivanti lässt das Update zu, wenn es aufgrund von Trusted Ownership über den vertrauenswürdigen Bereitstellungskanal ankommt. AppLocker kann dies mit Herausgeberregeln abbilden, doch die Wiederverwendung von Signaturen über mehrere Produkte hinweg oder ungewöhnliche Installationspfade führen häufig zu zusätzlicher Wartung und breiterem Vertrauen als beabsichtigt.
Ein Benutzer lädt eine JAR herunter und versucht, sie mit Java auszuführen. Ivanti blockiert den Versuch, weil die JAR vom Benutzer eingebracht wurde und Trusted Ownership nicht erfüllt. Bei Bedarf können Administratoren nur den exakt genehmigten Aufruf zulassen, indem sie die vollständige Befehlszeile abgleichen. AppLocker kann keine Argumente abgleichen und stützt sich auf Herausgeber-, Pfad- oder Hash-Regeln.

Fazit

Provenienzsteuerung verlagert Anwendungskontrolle von einem Verwaltungsproblem hin zu einem Vertrauensmodell. Statt einzelnen Dateien zu vertrauen, vertraut sie dem Prozess, über den Software auf ein System gelangt. So wird Sicherheit sowohl skalierbar als auch praktikabel.

Trusted Ownership passt genau in diesen Ansatz. Es ist weder eine Blocklist noch eine klassische Allowlist, sondern ein Modell, bei dem Software, die über einen kontrollierten IT-Prozess ankommt, standardmäßig erlaubt wird, während alles außerhalb dieses Prozesses standardmäßig abgelehnt wird. Durch die Durchsetzung auf Basis von Herkunft und Besitz statt auf Basis einzelner Ad-hoc-Dateien sind Ivanti Application Control und Ivanti Neurons for App Control deutlich besser auf moderne Angriffstechniken und die heutige Softwareverteilung ausgerichtet.

Wenn Sie Anwendungskontrolle weiterhin als Listenverwaltung behandeln, werden Sie den administrativen Aufwand spüren. Wenn Sie sie als Vertrauensgrenze betrachten, gewinnen Sie Skalierbarkeit, Sicherheit und operative Umsetzbarkeit.

Wie CISOs die Cyber-Risiko-Management-Strategie aus Sicht der CEOs kommunizieren sollten

Tue, 17 Feb 2026 13:00:01 Z

Die meisten CEOs können ihre vierteljährlichen Benchmarks und Umsätze bis auf die Nachkommastelle nennen. Fragt man sie jedoch nach der Cyberrisiko-Exposition ihres Unternehmens, werden die Antworten ungenauer. Das liegt nicht daran, dass CEOs heute Sicherheit nicht wichtig finden – Cybersicherheit zählt zu den wichtigsten Anliegen von Aufsichtsgremien und Führungsteams. Das Problem liegt tiefer: ein grundlegender Bruch in der Art und Weise, wie Sicherheitsrisiken Führungskräften erläutert werden, bei dem die Auswirkungen auf Geschäftsergebnisse außer Acht bleiben.

Mangelnde Kompetenz ist nicht die Ursache der meisten Kommunikationsprobleme zwischen CISOs und CEOs. Sie entstehen aus einem bekannten Problem: dem Fluch des Wissens. Der Fluch des Wissens ist eine häufige Herausforderung, bei der Fachleute – in diesem Fall Sicherheitsverantwortliche – möglicherweise davon ausgehen, dass alle im Raum ein grundlegendes Verständnis technischer Informationen und Begriffe haben. Deshalb versäumen sie es, komplexe Risiken in verständlicher Sprache aufzuschlüsseln und anhand eines realen Kontexts zu erläutern.

Der 2026 State of Cybersecurity Report von Ivanti unterstreicht diese Diskrepanz. Fast sechs von zehn Sicherheitsexperten geben an, dass ihre Teams nur mäßig effektiv darin sind, die Risikoexposition gegenüber der Unternehmensführung zu kommunizieren.

Wenn CEOs und CISOs nicht dieselbe Sprache sprechen, können kritische geschäftliche Schwachstellen hinter technischem Fachjargon verborgen bleiben. Wenn die Kommunikation scheitert, verschwenden Unternehmen Zeit und Geld für fehlgeleitete Investitionen, während Schutzlücken unbemerkt bleiben, bis ein Sicherheitsvorfall die Diskussion erzwingt.

Angesichts steigender Bedrohungslagen werden KI-gestützte Angriffe immer ausgefeilter, und Datenschutzverletzungen sorgen wöchentlich für Schlagzeilen. Die Bedeutung klarer Kommunikation zwischen CISOs und Unternehmensführung war nie größer.

Um zu verstehen, warum diese Kommunikationslücke fortbesteht, müssen wir sowohl die grundlegenden Herausforderungen als auch die Kennzahlen betrachten, mit denen Erfolg gemessen wird.

Warum die Kommunikation über Cyberrisiken scheitert: der Fluch des Wissens

Diese Diskrepanz zwischen CEOs und CISOs ist nicht auf fehlende Daten zurückzuführen. Wenn überhaupt, ist das Gegenteil der Fall. Aus Sicht des CEO besteht die Herausforderung nicht in fehlender Aufmerksamkeit oder Absicht. Vielmehr sehen sie Dashboards, Kennzahlen, Akronyme und Schweregradbewertungen, ohne zu verstehen, welche Auswirkungen diese Ergebnisse auf das gesamte Unternehmen haben.

Sicherheitsverantwortliche müssen davon ausgehen, dass viele im Raum die Bedeutung von Begriffen wie CVSS-Scores, Angriffsflächen und Zero-Day-Schwachstellen nicht verstehen. CEOs erwarten mehr als Dashboards voller Kennzahlen, Akronyme und Schweregradbewertungen.

Cybersicherheits-Briefings müssen einen Schritt weiter gehen und die finanziellen, rechtlichen und reputationsbezogenen Auswirkungen dieser Ergebnisse auf das Unternehmen aufzeigen. Ein CISO könnte berichten: „In diesem Monat wurden 587 kritische Schwachstellen erkannt.“ Was der CEO tatsächlich wissen muss, ist jedoch: „Welche davon gefährden unsere Fähigkeit, Kunden zu bedienen, und wie sieht unser Plan aus, sie zu beheben?“

Cybersicherheits-KPIs, die für CEOs relevant sind

Nützliche KPIs stellen einen klaren Zusammenhang zwischen Maßnahmen im Schwachstellenmanagement und Geschäftsrisiken her. Unsere Cybersicherheitsforschung zeigt jedoch, dass die von Sicherheitsteams am häufigsten verwendeten KPIs den Risikokontext nicht abbilden.

Derzeit erfasst nur die Hälfte der Unternehmen (51 %) Cybersicherheits-Exposure-Scores oder andere risikobasierte Indizes. Viele Sicherheitsteams stützen sich weiterhin auf Prozesskennzahlen wie die mittlere Zeit bis zur Behebung (Mean Time to Remediate, 47 %) oder den Prozentsatz behobener Exposures (41 %).

Kennzahlen wie MTTR, Patch-Geschwindigkeit und Prozentsatz behobener Schwachstellen sind für Sicherheitsteams wichtig, messen jedoch die operative Effizienz, nicht die geschäftliche Exposition oder potenzielle finanzielle Auswirkungen. Isoliert betrachtet können sie beruhigend wirken und gleichzeitig die eigentliche Frage verdecken: Managen wir unser Risiko effektiv?

Diese Kennzahlen, die sich auf Geschwindigkeit und Abdeckung konzentrieren, mögen für sich genommen positiv erscheinen, zeigen aber kaum, ob aktuelle Behebungsmaßnahmen die Risikoposition tatsächlich verbessern. Weniger entscheidend ist, wie schnell Schwachstellen behoben werden und wie viele adressiert werden. Wichtiger ist, ob die richtigen Probleme angegangen werden.

Ein gemeinsames Verständnis zwischen Sicherheitsteams, Vorstand und C-Suite erfordert, schwer verständliche Kennzahlen in reale Auswirkungen einzuordnen. Für CEOs bedeutet das, sich mit dem CISO über die wichtigsten Risiken für das eigene Unternehmen abzustimmen – sind Sie ein Finanzinstitut, das häufig mit ausgefeilten Betrugsschemata, strengen Compliance-Anforderungen wie PCI-DSS und SOX sowie der ständigen Bedrohung durch Ransomware konfrontiert ist, die auf Finanzdaten von Kunden abzielt?Oder sind Sie eine Organisation im Gesundheitswesen, die ein wachsendes Netzwerk vernetzter medizinischer Geräte absichern und zugleich strenge Compliance-Standards zum Schutz sensibler Patientendaten einhalten muss?

Verdeutlichen wir den Unterschied zwischen einem Sicherheitsbriefing für Führungskräfte, das sich ausschließlich auf technische Kennzahlen stützt, und einem, das Kontext und geschäftliche Auswirkungen ergänzt.

Was der CISO sagt:

„Wir haben 11.000 Schwachstellen entdeckt.“
„Die MTTR wurde von 25 Tagen auf 15 Tage reduziert.“
„Wir haben bei kritischen CVEs eine Behebungsrate von 88 % erreicht.“

Was der CEO tatsächlich wissen muss:

„Wir haben zehn kritische Schwachstellen identifiziert, die sich auf umsatzgenerierende Systeme auswirken könnten.“
„Bei einem heutigen Angriff können wir kritische Abläufe innerhalb von sechs Stunden wiederherstellen, verglichen mit 48 Stunden im vergangenen Jahr.“
„Dieser Schutz ermöglicht uns eine Expansion in die EU ohne zusätzliches Compliance-Risiko.“

Aufbau eines Risk-Appetite-Frameworks auf Führungsebene

Kommunikation mit der Unternehmensführung hängt von gemeinsamen Frameworks und einem gemeinsamen Bezugspunkt dafür ab, wie Risiken definiert, gemessen und besprochen werden. Um Inkonsistenzen und Verwirrung zu vermeiden, sollten alle Stakeholder an der Erstellung und Durchsetzung eines Risk-Appetite-Frameworks.

Ein wesentliches Ziel dieser Gespräche besteht darin, Führungskräften zu vermitteln, dass das Ziel des Cybersicherheitsprogramms nicht darin besteht, vollständig „risikofrei“ zu sein – für moderne Unternehmen ist es unmöglich, völlig risikofrei zu werden. Mit anderen Worten: CEOs müssen zwischen ihrer Risikobereitschaft und ihrer Risikoposition unterscheiden können.

1. Risikobereitschaft: wie viel Risiko ihr Unternehmen derzeit bereit ist, bei der Verfolgung seiner übergeordneten Ziele zu tolerieren.

2. Risikoposition: die tatsächliche aktuelle Risikoexposition des Unternehmens.

Die meisten Unternehmen erkennen inzwischen die Notwendigkeit, formal festzulegen, wie viel Cyberrisiko sie zu akzeptieren bereit sind. Ivantis Forschung zeigt, dass mehr als 80 % der Unternehmen über ein dokumentiertes Risk-Appetite-Framework verfügen.

Allerdings gibt weniger als die Hälfte der Unternehmen an, dass diese Frameworks im Tagesgeschäft konsequent befolgt werden. Wenn Frameworks zwar auf dem Papier existieren, aber tatsächliche Entscheidungen nicht steuern, ist es sehr wahrscheinlich, dass Risikobereitschaft und Risikoposition Ihres Unternehmens nicht aufeinander abgestimmt sind.

Wie Exposure Management die Kommunikationslücke schließt

Exposure Management ist ein risikobasierter Ansatz, der den Umfang potenzieller Bedrohungen über die gesamte Angriffsfläche hinweg kontinuierlich identifiziert, priorisiert und validiert. Die Praxis des Exposure Managements hilft, Sicherheits- und Führungskräfte auf eine einheitliche, umfassende Strategie auszurichten, die Cybersicherheit auf geschäftskritische Risiken fokussiert.

Anstatt alle Schwachstellen gleich zu behandeln, konzentriert sich Exposure Management darauf, die größten Risiken des Unternehmens zu identifizieren und zu priorisieren, indem es folgende Fragen stellt:

Welche aktuellen Exposures nutzen Bedrohungsakteure aktiv aus?
Welche Assets müssen basierend auf den aktuellen Geschäftsabläufen priorisiert werden?
Welche Assets hätten bei einer Kompromittierung die größten Auswirkungen in Form von Reputations-, Kunden- oder rechtlichen Schäden?

Der Forschungsbericht von Ivanti zeigt, dass inzwischen fast zwei Drittel der Unternehmen in Exposure Management investieren und das Verständnis auf Führungsebene im Jahresvergleich gestiegen ist. Doch die Umsetzung hinkt weiterhin hinterher: Nur etwa ein Viertel der Unternehmen bewertet seine Fähigkeit, Risikoexposition zu bewerten, als ausgezeichnet.

Um diese Lücke zu schließen und Exposure Management effektiv zu operationalisieren, sollten CISOs die Kommunikation mit der Unternehmensführung an drei Prinzipien ausrichten

1. Technische Signale in geschäftlichen Kontext übersetzen. Statt die Anzahl von Schwachstellen zu melden, erläutern Sie, welche Exposures umsatzgenerierende Systeme, Kundendaten oder regulierte Umgebungen betreffen.

2. Neue Bedrohungen nach Auswirkungen priorisieren, nicht nach Volumen. Führungskräfte müssen nicht jede neue Angriffstechnik verfolgen. Sie müssen verstehen, welche Situationen das Geschäft erheblich stören könnten und wie gut das Unternehmen darauf vorbereitet ist, zu reagieren.

3. Szenarien verwenden, keine Tabellen. Datengestützte Narrative, die Ursache, Auswirkung und Ergebnis miteinander verknüpfen, helfen Führungskräften, Risiken zu verinnerlichen und schneller Entscheidungen zu treffen.

Dieser Ansatz verlagert Ihre Strategie zur Risikominderung von reaktiver Verteidigung hin zu proaktiver Entscheidungsfindung.

Der Weg nach vorn

Wenn Führungskräfte und Sicherheitsverantwortliche dieselbe Sprache sprechen, kann der Fluch des Wissens überwunden werden, und Cybersicherheit wird zu einem strategischen Enabler, der Unternehmenswert schützt, Wachstum ermöglicht und Sicherheitsstärke in einen Wettbewerbsvorteil verwandelt.

Der Fluch des Wissens lässt sich überwinden – mit jeder übersetzten Kennzahl, jedem geschäftsorientierten Gespräch und jeder klaren Entscheidung.

Exposure Management vs. Schwachstellenmanagement: Was führt zu echter Risikoreduzierung?

Thu, 29 Jan 2026 13:00:01 Z

Das Schwachstellenmanagement hat Unternehmen und der Cybersicherheitsbranche über Jahre hinweg gute Dienste geleistet. Es ist eine leistungsfähige Praxis, die Unternehmen dabei geholfen hat, ihre Angriffsfläche zu schützen und zu verhindern, dass Angreifer Schwachstellen ausnutzen.

Doch Technologie und IT-Infrastrukturen haben sich weiterentwickelt. Das Schwachstellenmanagement kann die Herausforderungen, die mit dieser Entwicklung einhergehen, nicht mehr bewältigen. Jetzt bietet Exposure Management einen noch ganzheitlicheren Ansatz für Endpoint-Sicherheit, der die Bereiche abdeckt, in denen Schwachstellenmanagement an seine Grenzen stößt.

Sehen wir uns die Unterschiede genauer an, damit Sie entscheiden können, wie Sie Ihr Unternehmen schützen.

Was ist Schwachstellenmanagement?

Schwachstellenmanagement ist eine Cybersicherheitspraxis, die die kontinuierliche und proaktive Identifizierung, Bewertung, Priorisierung und Behebung von Schwachstellen umfasst, die Hacker nutzen können, um in Ihr Unternehmen einzudringen.

Dabei ist jedoch wichtig zu wissen, dass es zwei verschiedene Arten des Schwachstellenmanagements gibt:

Traditionelles Schwachstellenmanagement	Risikobasiertes Schwachstellenmanagement
Zielt darauf ab, möglichst viele Schwachstellen zu beheben. Dies führt häufig zu erheblichem Aufwand und unrealistischen Erfolgserwartungen – und vermittelt gleichzeitig ein falsches Sicherheitsgefühl.	Eine weiterentwickelte Praxis des Schwachstellenmanagements, die Risiken bei der Priorisierung von Schwachstellen berücksichtigt. So können Unternehmen kritische Schwachstellen patchen, die eine reale Bedrohung darstellen. Das schützt Ihr Unternehmen vor Angreifern, gewährleistet zugleich eine starke Sicherheitslage und ermöglicht einen effektiven Ressourceneinsatz.

Ein Ansatz für risikobasiertes Schwachstellenmanagement geht über traditionelles Schwachstellenmanagement hinaus und bietet Ihrem Unternehmen die folgenden Vorteile:

Überwacht Schwachstellen kontinuierlich für proaktive Sicherheit.
Identifiziert aktiv ausgenutzte Exposures.
Ermöglicht wirksame Behebungsmaßnahmen.
Reduziert Risiken.
Unterstützt Unternehmen beim Erreichen von Compliance-Anforderungen.

Auch wenn risikobasiertes Schwachstellenmanagement viele Bereiche abdeckt, bietet es dennoch nicht den ganzheitlichen Cybersicherheitsansatz, den Unternehmen benötigen, um geschützt und sicher zu bleiben. Genau hier kommt Exposure Management ins Spiel.

Was ist Exposure Management?

Exposure Management ist eine sich weiterentwickelnde Cybersicherheitspraxis, die umfassende Transparenz über Ihre gesamte Angriffsfläche bietet. Sie ermöglicht IT- und Sicherheitsteams, genau zu erkennen, wo Ihr Unternehmen exponiert sein könnte, und umfasst zugleich risikobasierte Priorisierung, Behebung und mehr. Exposure Management konzentriert sich auf die Einhaltung der von einer Organisation selbst festgelegten Risikobereitschaft. Daher umfasst es vier Phasen:

Wie risikobasiertes Schwachstellenmanagement hilft Exposure Management dabei, anhand realer Risiken zu priorisieren, welche Schwachstellen und Exposures zuerst behoben werden sollten. Es geht jedoch weiter, indem es berücksichtigt, was für Ihr spezifisches Unternehmen am relevantesten ist. Dieser Cybersicherheitsansatz stellt sicher, dass Exposures mit dem höchsten Risiko proaktiv behoben werden, bevor Angreifer sie ausnutzen können.

Exposure Management vs. Schwachstellenmanagement: Was ist der Unterschied?

Exposure Management stellt die nächste Entwicklungsstufe über das traditionelle Schwachstellenmanagement hinaus dar. Während sich Schwachstellenmanagement in erster Linie darauf konzentriert, Schwachstellen in Servern und Endpoints zu identifizieren und zu beheben, erweitert Exposure Management diesen Umfang, indem es vollständige Transparenz über die gesamte Angriffsfläche bietet.

Zu den wichtigsten Unterschieden gehören:

Exposure Management ist für neuere Asset-Typen konzipiert: Moderne IT-Umgebungen sind zunehmend komplex geworden und umfassen heute Assets wie Software-as-a-Service(SaaS)-Anwendungen, IoT-Geräte, Cloud-Infrastruktur und mehr. Exposure Management ist darauf ausgelegt, diese neueren Asset-Typen zu berücksichtigen, damit IT- und Sicherheitsteams Risiken überall dort identifizieren können, wo sie im Unternehmen bestehen. Dadurch bietet Exposure Management ein umfassendes Verständnis aller potenziellen Einstiegspunkte. Das versetzt Unternehmen in die Lage, Risiken effektiver als je zuvor zu steuern und zu reduzieren.
Exposure Management berücksichtigt die Realität und verfolgt einen Ansatz auf Basis der Risikobereitschaft: Auch hier gilt: Schwachstellenmanagement konzentriert sich auf das Patchen von Schwachstellen. Zwar bietet risikobasiertes Schwachstellenmanagement eine Risikopriorisierung und Orchestrierung der Behebung, doch der Ansatz berücksichtigt nicht, dass es für ein Unternehmen unrealistisch ist, jede Schwachstelle zu patchen. Der Begriff Risikobereitschaft beschreibt das von einer Organisation selbst festgelegte Maß dafür, wie viel Risiko sie zu akzeptieren bereit ist. Das ist ein deutlich realistischerer Ansatz, der die Organisation zusammenbringt, um gemeinsame KPIs zu erreichen und den Erfolg teamübergreifend einheitlich zu messen.
Exposure Management geht über CVEs und CVSS hinaus: Schwachstellenmanagement konzentriert sich vor allem auf Common Vulnerabilities and Exposures (CVEs). CVEs sind zwar für die meisten Unternehmen ein wichtiges Ziel, aber sie sind nicht die einzigen Faktoren, die Angreifer nutzen können, um Ihrem Unternehmen zu schaden. Hacker können weiterhin die folgenden Exposures ausnutzen, die das Schwachstellenmanagement nicht abdeckt, um in Ihr Unternehmen einzudringen:
Fehlkonfigurationen.
Probleme mit der Anwendungssicherheit.
IT-Systemrichtlinien.
Kontrollen für privilegierte Zugriffe.

Zurück zum ganzheitlichen Ansatz: Exposure Management deckt all diese modernen Assets ab. Darüber hinaus stützt sich Schwachstellenmanagement bei der Priorisierung der Behebung stark auf das Common Vulnerability Scoring System (CVSS). CVSS ist zwar ein solides Maß für den Schweregrad, bietet jedoch keine effektive risikoadjustierte Perspektive.

Risiko ist ein wichtiger Faktor, den es zu berücksichtigen gilt, da es einbezieht, ob eine Schwachstelle bereits ausgenutzt wurde, ob sie mit Ransomware/Malware in Verbindung steht oder derzeit im Trend liegt. Wird Risiko nicht berücksichtigt, erzeugt CVSS ein falsches Gefühl von Dringlichkeit. Dadurch verschwenden IT- und Sicherheitsteams Zeit und Ressourcen für Schwachstellen, die nicht wirklich dringend sind.

So schützen Sie Ihr Unternehmen

Nachdem wir die Unterschiede zwischen Exposure Management und Schwachstellenmanagement erläutert haben, ist es an der Zeit, die Vorteile von Exposure Management zu nutzen. Erfahren Sie, wie das Exposure-Management-Portfolio von Ivanti Ihre IT- und Sicherheitsteams voranbringen kann.

DLL Hijacking: Risiken, reale Beispiele und wie Sie Angriffe verhindern

Wed, 17 Dec 2025 14:00:02 Z

Es gab Aufregung um CVE-2025-56383 (veröffentlicht am 26. September 2025), eine Hijacking-Schwachstelle in Notepad++ v8.8.3, bei der eine DLL-Datei ausgetauscht werden kann, um bösartigen Code auszuführen.

Die CVE wurde von mehreren Parteien bestritten, aber wir sind nicht hier, um dazu Stellung zu nehmen. Wir sind jedoch hier, um über DLL Hijacking zu sprechen und die sehr reale Bedrohung zu diskutieren, die es für Organisationen darstellt. Betrachten wir, was DLL Hijacking ist und welche Maßnahmen Sie ergreifen können, um Ihre DLLs sicher zu halten.

Was DLL Hijacking ist und wie es geschieht

DLL Hijacking (auch bekannt als DLL Preloading Attack) ist eine Sicherheitslücke, bei der eine legitime und vertrauenswürdige Dynamic Link Library (DLL)-Datei in einer Windows-Anwendung durch eine bösartige ersetzt wird.

Diese Methode nutzt die Art und Weise aus, wie Anwendungen DLL-Dateien laden, die Code und Daten enthalten, die von mehreren Programmen verwendet werden. Durch das Laden einer bösartigen DLL kann ein Bedrohungsakteur seinen eigenen Code mit denselben Berechtigungen wie die legitime Anwendung ausführen, was zu Rechteausweitung, Persistenz und Umgehung von Abwehrmaßnahmen führt.

Wenn ein Programm startet, muss es oft verschiedene DLLs laden, um bestimmte Funktionen auszuführen, typischerweise aus vertrauenswürdigen Systemverzeichnissen. Wenn eine Anwendung jedoch nicht sorgfältig darauf achtet, wo sie nach diesen DLLs sucht, könnte sie eine bösartige DLL von einem unsicheren oder vorhersehbaren Speicherort laden (d.h. dem aktuellen Arbeitsverzeichnis oder einer Netzwerkfreigabe). Dies kann passieren, wenn die Anwendung nicht den vollständigen Pfad zur DLL angibt oder wenn sie in einem Verzeichnis nach der DLL sucht, auf das ein Angreifer zugreifen oder das er ändern kann.

Obwohl diese Art von Angriff nicht neu ist, bleibt sie aufgrund ihrer Einfachheit effektiv. Und obwohl dieses spezifische Problem Windows-Anwendungen betrifft, ist es wichtig zu erwähnen, dass ähnliche Schwachstellen auch andere Betriebssysteme betreffen können (wie Linux und macOS, die dynamisches Laden für gemeinsam genutzte Bibliotheken verwenden).

DLL Hijacking birgt mehrere Sicherheitsrisiken, darunter:

Datendiebstahl: Die bösartige DLL kann sensible Daten wie Passwörter oder persönliche Informationen abfangen und stehlen.
Kompromittierte Systeme: Der Angreifer kann die Kontrolle über das System erlangen, was möglicherweise zu weiteren Angriffen oder der Installation zusätzlicher Malware führt.
Malware: Die bösartige DLL kann als Kanal für die Verbreitung von Malware dienen und andere Teile des Systems oder Netzwerks infizieren.

Eine DLL kann auf verschiedene Weise gekapert werden; hier sind einige der häufigsten Techniken:

Unsichere DLL-Suchreihenfolge: Angreifer platzieren bösartige DLLs in Verzeichnissen, die vor dem Speicherort der legitimen DLL durchsucht werden.
Manipulation relativer Pfade: Bösartige DLLs werden geladen, wenn Anwendungen relative Pfade verwenden.
DLL-Umleitung: Techniken wie Pfadmanipulation leiten den DLL-Ladevorgang um.
Schwache Berechtigungen: Angreifer ersetzen legitime DLLs durch bösartige in Verzeichnissen mit schwachen Berechtigungen.
Phantom DLL Hijacking: Angreifer nutzen Anwendungen aus, die nicht existierende DLLs laden, indem sie bösartige DLLs mit demselben Namen in durchsuchten Verzeichnissen platzieren.

Diese potenziellen Schwachstellen unterstreichen die Bedeutung sicherer Coding-Praktiken und der Verwaltung von Verzeichnisberechtigungen, wenn es darum geht, diese Form von Angriffen zu verhindern.

So verhindern Sie DLL Hijacking und halten Ihre DLLs sicher

Obwohl DLL Hijacking weiterhin eine Bedrohung darstellt, gibt es Best Practices, die Sie befolgen und implementieren können, um Ihr Risiko zu reduzieren und eine sicherere IT-Umgebung zu schaffen.

Sicheres DLL-Laden:

Vollständige Pfade verwenden: Geben Sie beim Laden immer den vollständigen Pfad zur DLL an. Dies stellt sicher, dass die Anwendung die DLL von einem vertrauenswürdigen Speicherort lädt (und nicht aus einem unsicheren Verzeichnis).
Sicheren Suchpfad festlegen: Verwenden Sie die SetDllDirectory-Funktion in Windows, um vertrauenswürdige Verzeichnisse zum Suchpfad hinzuzufügen und unsichere auszuschließen. Dies kann verhindern, dass die Anwendung DLLs von unerwarteten Speicherorten lädt.

Datei-Integritätsprüfungen:

Digitale Signaturen: Stellen Sie sicher, dass DLLs mit einer digitalen Signatur signiert sind, und überprüfen Sie die Signatur vor dem Laden der DLL. Dies kann helfen zu bestätigen, dass die DLL nicht manipuliert wurde.
Hash-Verifizierung: Verwenden Sie kryptografische Hash-Funktionen, um die Integrität von DLL-Dateien zu überprüfen. Wenn der Hash der DLL nicht mit dem erwarteten Wert übereinstimmt, wurde die Datei möglicherweise geändert.

Benutzerberechtigungen:

Prinzip der geringsten Rechte: Führen Sie Anwendungen mit den minimal notwendigen Berechtigungen aus. Dies begrenzt den potenziellen Schaden eines DLL Hijacking, da der bösartige Code weniger Berechtigungen zur Ausführung schädlicher Aktionen hat.
Benutzerkontensteuerung (UAC): Aktivieren Sie UAC auf Windows-Systemen, um Benutzer vor der Ausführung von Anwendungen mit erhöhten Berechtigungen um Erlaubnis zu bitten. Dies kann unbefugte Änderungen an Systemdateien verhindern.

Application Control und Privilege Management:

Bekannte und vertrauenswürdige Anwendungen: Application Control stellt sicher, dass nur bekannte und vertrauenswürdige Anwendungen gestartet werden können, wodurch das Risiko der Einführung nicht autorisierter Anwendungen beseitigt wird.
Privilegienkontrolle: Effektives Privilege Management ist entscheidend für die Verhinderung von DLL Hijacking. Indem Sie sicherstellen, dass Anwendungen über die korrekten Rechte und Berechtigungen zum Starten verfügen, begrenzen Sie die Fähigkeit nicht autorisierter Benutzer, bösartige Dateien einzuführen. Diese Kontrolle fungiert als wichtige Barriere, die den Zugriff einschränkt, den ein Angreifer benötigt, um den DLL-Suchmechanismus auszunutzen, und erhöht dadurch die Sicherheit Ihrer Umgebung.

Sicherheitssoftware:

Antivirus und Anti-Malware: Verwenden Sie seriöse Antivirus- und Anti-Malware-Software, um das Laden bösartiger DLLs zu erkennen und zu verhindern. Diese Tools können nach bekannten bösartigen Dateien und Verhaltensweisen scannen.
Intrusion Detection Systems (IDS): Implementieren Sie IDS, um ungewöhnliche Aktivitäten zu überwachen, wie z.B. unerwartete Änderungen an DLL-Dateien oder Versuche, DLLs von unsicheren Speicherorten zu laden.

Patch Management:

Software aktuell halten: Aktualisieren Sie regelmäßig Anwendungen und Betriebssysteme mit den neuesten Sicherheitspatches. Viele DLL Hijacking-Schwachstellen werden durch Updates behoben, bleiben Sie also auf dem neuesten Stand, um sich vor bekannten Bedrohungen zu schützen.
Automatisiertes Patching: Verwenden Sie ein automatisiertes Patch Management Tool, um sicherzustellen, dass alle Systeme ohne manuelle Eingriffe auf dem neuesten Stand gehalten werden. Dies reduziert das Zeitfenster für Angreifer, bekannte Schwachstellen auszunutzen, einschließlich solcher, die für DLL Hijacking verwendet werden könnten. Dieser proaktive Ansatz hilft, die Integrität Ihrer Anwendungen und Betriebssysteme zu wahren und macht es für Angreifer erheblich schwieriger, bösartige DLLs einzuschleusen.

Durch die Implementierung dieser Best Practices können Sie das Risiko von DLL Hijacking erheblich reduzieren und die Gesamtsicherheit Ihrer Anwendungen und Systeme verbessern.

Kombinieren Sie die richtigen Tools und Taktiken zur Verhinderung von DLL Hijackings

DLL Hijacking ist seit Jahren eine anhaltende Angriffsform und beweist, dass es immer noch effektiv ist und daher weiterhin ein Problem für Organisationen darstellen wird.

Machen Sie Ihre Organisation zukunftssicher, indem Sie die oben genannten Best Practices mit bewährten Lösungen wie Ivanti Neurons for App Control kombinieren, um Ihre DLLs sicher zu halten. Funktionen wie Trusted Ownership erkennen und verhindern, dass eine gekaperte DLL ausgeführt wird, indem sichergestellt wird, dass die Eigentümerschaft der Elemente mit Ihrer genehmigten Liste vertrauenswürdiger Eigentümer übereinstimmt.

Und halten Sie Ihre Apps auf dem neuesten Stand, um die Exposition gegenüber bekannten Schwachstellen zu begrenzen. Beseitigen Sie das Risiko menschlicher Fehler, indem Sie das Patching mit Ivanti Neurons for Patch Management automatisieren und sicherstellen, dass Systeme automatisch aktualisiert und gesichert werden.

ITAM: Ihre unerwartete erste Verteidigungslinie gegen Cyberbedrohungen

Tue, 16 Dec 2025 14:00:02 Z

Wenn es um Cybersicherheit geht, denken viele zunächst an Firewalls, Intrusion-Detection-Systeme oder modernsten Endpoint-Schutz. Doch unter diesen hochentwickelten Schutzmechanismen liegt eine entscheidende – und oft wenig beachtete – Grundlage: robustes IT Asset Management (ITAM).

Für CIOs, die mittelständische und große Unternehmen durch eine zunehmend riskante digitale Landschaft führen, bietet ITAM nicht nur operative Transparenz, sondern auch eine wirkungsvolle erste Verteidigungslinie gegen Cyberbedrohungen.

Im Folgenden erläutern wir, wie umfassendes ITAM entscheidende Transparenz in der Technologieumgebung Ihres Unternehmens schafft, Ihre Abwehr gegen sich weiterentwickelnde Cyberbedrohungen stärkt, die Einhaltung gesetzlicher Vorschriften unterstützt und Security Operations beschleunigt. Lesen Sie weiter, um zu erfahren, wie ITAM als zentraler Bestandteil Ihrer Strategie dazu beitragen kann, kostspielige Sicherheitsverletzungen zu verhindern und echte Cyberresilienz aufzubauen.

Weltweite Cyberangriffe stiegen um 30 % im Jahresvergleich, und Ransomware-Angriffe verursachen inzwischen durchschnittlich 20–25 größere Vorfälle pro Tag.

Warum ITAM wichtig ist: Herausforderungen der Cybersicherheit beginnen mit eingeschränkter Transparenz

Cyberbedrohungen nutzen nahezu immer Schwachstellen aus, die Unternehmen nicht sehen. Schatten-IT, veraltete Geräte, unerwünschte Software und nicht autorisierte Zugriffspunkte sind unsichtbare Sicherheitslücken, die herkömmlichen Sicherheitsmaßnahmen entgehen. Ein umfassendes Asset-Inventar ist nicht nur gute Ordnungspraxis – es ist der Ausgangspunkt für ein wirksames Cyberrisikomanagement.

Obwohl 90 % der Unternehmen angeben, über starke Erkennungsfunktionen zu verfügen, waren 57 % aufgrund fehlender vollständiger Transparenz dennoch von schwerwiegenden Sicherheitsvorfällen betroffen.

Ein Beispiel: Im Data Breach Investigations Report 2023 stellte Verizon fest, dass ein erheblicher Anteil der Einbruchsvorfälle auf vernachlässigte Assets zurückzuführen war – Server blieben ungepatcht, weil sie vergessen wurden, Endpoints wurden bereitgestellt, ohne Transparenz über ihren Lebenszyklus zu haben, usw.

Hier ist ITAM ein äußerst wertvolles Frühwarnsystem. Durch eine in Echtzeit verfügbare, kontinuierlich aktualisierte Übersicht aller Hardware-, Software- und Cloud-Assets ermöglicht es IT-Führungskräften, Risiken zu erkennen, bevor Angreifer es tun.

Die Vorteile von ITAM für Cyberresilienz

Im Folgenden betrachten wir, wie die verschiedenen Vorteile eines robusten ITAM zu einer stärkeren Sicherheitslage Ihres Unternehmens beitragen.

Lifecycle-Management beseitigt Schwachstellen

Assets stellen nicht nur zum Zeitpunkt der Anschaffung Risiken dar. Der Lebenszyklus – von Onboarding, Wartung und Aktualisierung bis zur späteren Ausmusterung – bietet zahlreiche Möglichkeiten für Fehlmanagement, das potenzielle Einfallstore für Cyberangreifer schaffen kann. Veraltete Systeme ohne Herstellersupport, End-of-Life-Software, die weiterhin geschäftskritische Anwendungen ausführt, außer Betrieb genommene Geräte ohne vorherige Datenlöschung – all das ist in komplexen Umgebungen häufig anzutreffen.

45 % der Unternehmen sind nicht sicher, ob sie alle genutzten Anwendungen kennen. Dadurch entstehen blinde Flecken, die Angreifer ausnutzen.

Robustes ITAM stellt sicher, dass jedes Asset nachverfolgt, regelmäßig bewertet und sicher außer Betrieb genommen wird. So werden sowohl unbeabsichtigte Exponierungen als auch ausgefeilte Angriffe, die auf Legacy-Infrastrukturen abzielen, unterbunden.

Regulatorische Compliance belegt Kontrolle und verhindert Strafen

CIOs sehen sich zunehmend regulatorischen Anforderungen gegenüber, die eine nachweisbare Kontrolle über IT-Assets verlangen. Frameworks wie NIST, ISO 27001 und DSGVO betonen alle die Asset-Transparenz als Voraussetzung für eine wirksame Kontrolle sensibler Daten und kritischer Infrastrukturen. Eine ausgereifte ITAM-Praxis lässt sich direkt diesen Anforderungen zuordnen und liefert die Dokumentation und nachweisbare Aufsicht, die für Audits und regulatorische Anfragen erforderlich sind.

Mehr als 80 % der Sicherheitsverletzungen stehen im Zusammenhang mit Lücken im Attack Surface Management, verursacht durch anfällige, internetseitig erreichbare Assets und unzureichende Asset-Inventarisierungspraktiken.

So ist beispielsweise im Rahmen der DSGVO die Fähigkeit, anfällige Assets, die personenbezogene Daten verarbeiten, schnell zu identifizieren und zu beheben, nicht nur eine gute Sicherheitspraxis, sondern eine rechtliche Notwendigkeit.

Die Partnerschaft zwischen ITAM und Sicherheit: Mehr als nur Bestandsverfolgung

Echtes ITAM geht über das Führen von Listen hinaus. Integriertes Asset Management stellt Kontext direkt für Security-Operations-Tools bereit. Schwachstellenscanner sind auf genaue Inventare angewiesen, um Exponierungen zu erkennen. Die Incident Response hängt davon ab, genau zu wissen, welche Systeme betroffen sind. Die Durchsetzung von Sicherheitsrichtlinien erfordert ein klares Verständnis der Rollen und Beziehungen von Assets.

Ein Finanzinstitut konnte seine Reaktionszeit auf Vorfälle nach der Integration von ITAM-Daten in seine SIEM-Plattform nach eigenen Angaben halbieren. Dadurch konnten Sicherheitsteams betroffene Assets während einer Sicherheitsverletzung sofort lokalisieren und isolieren. Der Wert ist hier messbar und wiederholbar.

Resiliente Cyberabwehr erfordert robustes Asset Management

IT Asset Management ist nicht nur operative Hygiene. Es ist ein wesentlicher Bestandteil einer proaktiven, resilienten Cybersicherheitsstrategie. Für CIOs kann die Investition in eine robuste ITAM-Lösung den Unterschied zwischen oberflächlicher Sicherheit und echter Risikominderung ausmachen.

Wenn Sie erfahren möchten, wie unsere ITAM-Lösung die Sicherheitslage Ihres Unternehmens von Grund auf stärken kann, kontaktieren Sie unser Team noch heute und machen Sie den ersten Schritt zum Aufbau echter Cyberresilienz.

Verändert Shadow AI unbemerkt die Sicherheitslage Ihres Arbeitsplatzes?

Mon, 15 Dec 2025 14:00:01 Z

KI-Tools haben am Arbeitsplatz einen rasanten Aufstieg erlebt. Was einst hochspezialisierten Tech-Rollen vorbehalten war, ist heute alltäglich: Der Technology at Work Report 2025 von Ivanti ergab, dass 42 % der Büroangestellten angeben, bei der Arbeit Tools für generative KI wie ChatGPT zu nutzen – 16 Prozentpunkte mehr als im Vorjahr.

Der Haken: Diese Produktivitätsgewinne entstehen im Verborgenen. Von den Befragten, die angaben, Tools für generative KI zu nutzen, sagen 46 %, dass einige (oder alle) der von ihnen verwendeten Tools nicht vom Arbeitgeber bereitgestellt werden. Und jeder dritte Mitarbeitende hält KI-Produktivitätstools vor seinem Arbeitgeber geheim.

Tools für generative KI können die Produktivität deutlich steigern. Gleichzeitig stellen sie ein Risiko für die Datensicherheit dar – insbesondere, wenn sie ohne Aufsicht des Arbeitgebers eingesetzt werden.

Was ist Shadow AI?

Die nicht autorisierte Nutzung von KI ist im Grunde eine weitere Form von Shadow IT (d. h. die Nutzung von Technologie ohne Freigabe durch die IT).

Die Risiken, die Shadow AI mit sich bringt, ähneln anderen Shadow-IT-Risiken, haben jedoch eine zusätzliche Dimension: die enorme Menge an proprietären Daten, die generative KI benötigt, um effektiv zu sein. Kostenlose Tools für generative KI (und auch einige kostenpflichtige Tools) können Unternehmensdaten oder Suchanfragen von Mitarbeitenden zum Trainieren ihrer Modelle verwenden. Dadurch steigt das Risiko von Datenlecks und Compliance-Verstößen.

Die jüngste Enthüllung, dass geteilte ChatGPT-Konversationen von Suchmaschinen gecrawlt werden konnten (auch wenn OpenAI schnell gegengesteuert hat), sollte ein Weckruf sein: Ohne geeignete Kontrollen können Dritte Ihre Daten auf eine Weise nutzen, der Sie nicht zustimmen. Einige kostenlose Tools, darunter ChatGPT, lassen sich so konfigurieren, dass sie Sicherheitsrichtlinien erfüllen. Das ist jedoch schlicht nicht möglich, wenn Mitarbeitende sie verdeckt nutzen.

Kostenlose Tools wie ChatGPT sind nicht das einzige Shadow-AI-Risiko. Eine unerwartete Quelle ist tatsächlich bereits vorhandene Software. Angesichts des Tempos, mit dem KI-Funktionen ergänzt werden, können Tools, die zuvor möglicherweise von der IT freigegeben waren, nun neue Risiken bergen. Wenn Informationssicherheitsteams diese neuen Funktionen nicht kennen und bewerten, umgehen sie effektiv Prozesse für das Risikomanagement von Drittanbietern.

Warum ein risikoorientierter Ansatz für KI entscheidend ist

Ob bei generativer KI oder anderen Tools: Shadow IT entsteht, wenn es keinen klar definierten und praktikablen Weg gibt, Tools zu testen oder Arbeit zu erledigen. Da KI nicht verschwinden wird, müssen Unternehmen die Einführung proaktiv angehen. Denn Tools zu verbieten bedeutet nicht, dass Mitarbeitende nicht dennoch versuchen werden, sie zu nutzen, um ihre Produktivität zu steigern und sich die Arbeit zu erleichtern.

Ich verbringe den Großteil meiner Zeit damit, Risiken zu bewerten – einschließlich der Risiken, die KI-Tools mit sich bringen. Häufig müssen wir Risiken im Zusammenhang mit einer Chance zur Verbesserung des Unternehmens bewerten – in diesem Fall Produktivitätsgewinne der Mitarbeitenden und Folgewirkungen (wie Mitarbeiterzufriedenheit oder mehr Zeit für strategischere Projekte).

Kurz gesagt müssen wir fragen: Gibt es eine Möglichkeit, die Tools einzuführen, die Mitarbeitende anfragen, und ihre Vorteile zu nutzen, während das Risiko auf einem akzeptablen Niveau bleibt?

Hier kommt ein risikoorientierter Ansatz ins Spiel. Ein risikoorientierter Ansatz für die KI-Einführung konzentriert sich auf die Daten, die in die KI eingespeist werden müssen, und darauf, wie der Drittanbieter mit diesen Daten umgeht. Dieser Ansatz ähnelt dem Risikomanagement für Anbieter: Unternehmen können etablierte Praktiken und Prozesse nutzen, diese jedoch auf KI-spezifische Fragestellungen anpassen.

Wichtige Fragen sind unter anderem:

Werden unsere Daten zum Trainieren des KI-Modells verwendet?
Wie lange werden unsere Daten aufbewahrt?
Welche Schutzmaßnahmen gibt es, um das Risiko einer Offenlegung unserer Daten zu verringern?
Wer besitzt die Rechte an geistigem Eigentum, das mithilfe der KI generiert wird?

Die Minimierung von KI-Wildwuchs ist ein zentraler Bestandteil dieser Arbeit. Je mehr Anbieter spezialisierte KI-Tools einführen – und je mehr Anbieter Sie einbinden und deren KI-Tools Zugriff auf Ihre Daten gewähren –, desto stärker steigt Ihr Risiko. Das gilt auch für bestehende Tools, die plötzlich KI ohne Kosten- oder Vertragsänderungen einführen. Dadurch wird es schwierig, ein genaues Inventar der KI-Tools zu führen.

Einführung eines KI-Governance-Frameworks bei Ivanti

Bei Ivanti bekämpfen wir Shadow AI mit einem risikoorientierten Ansatz, der mit Mitarbeiterengagement beginnt und endet.

KI-Nutzung aus dem Verborgenen holen

Auch wenn wir Shadow AI niemals fördern würden, verfügen Mitarbeitende, die sie nutzen, über wertvolles Wissen darüber, wie sich KI in Workflows integrieren lässt. Statt also jede KI-Nutzung zu verbieten, müssen wir sicherstellen, dass Mitarbeitende einen klaren Weg haben, KI-Tools für die Arbeit anzufragen, und dass es regelmäßig Gelegenheiten für einen offenen Dialog gibt.

Ein offener Dialog sorgt dafür, dass Mitarbeitende sich wohl dabei fühlen, darüber zu sprechen, welche Tools ihnen zum Erfolg verhelfen. Letztlich bedeutet das, dass sie diese Tools (oder gleichwertige Tools) sicher nutzen. So erhalten Mitarbeitende die Möglichkeit, aktiv an der Entwicklung angemessener Governance mitzuwirken – statt zu versuchen, Einschränkungen zu umgehen.

Ein maßvoller Ansatz für KI-Implementierung und -Einführung

Sobald ein Tool genehmigt ist, ist es wichtig, eine ordnungsgemäße Implementierung sicherzustellen und zu verstehen, auf welche Daten Sie ihm Zugriff gewährt haben. Das ist besonders wichtig, wenn man die Risiken für Data Governance und Sicherheit betrachtet, die Tools für generative KI für Unternehmen mit sich bringen. Wenn wir KI durch die Perspektive der Data Governance betrachten, kann dies dazu beitragen, viele Aspekte des KI-Risikos zu adressieren.

Bei Ivanti verfolgen wir einen maßvollen Ansatz: Wir stellen ein Team bereit, das kontrollierte Tests von Tools für generative KI gemeinsam mit anderen Teams durchführt. Anschließend richten wir Feedbackschleifen ein, und die Einführung erfolgt schrittweise, um Störungen zu vermeiden.

Aufbau einer Feedbackschleife für KI-Tools

Wir müssen uns konsequent fragen:

Wie nutzen die Mitarbeitenden von Ivanti KI?
Gefällt sie ihnen?
Welches Feedback haben sie?
Wie können wir das Tool verbessern?

Dieser kontinuierliche Austausch stellt sicher, dass wir KI verantwortungsvoll nutzen und gleichzeitig die Produktivitätsanforderungen der Mitarbeitenden erfüllen.

Es geht nicht darum, einfach auf den KI-Zug aufzuspringen. Es geht darum zu wissen, ob es sich lohnt – für das Unternehmen und für die Menschen, die KI nutzen. Shadow AI steigert die Produktivität einer einzelnen Person. Wenn man diese Produktivität jedoch ausweitet, entsteht eine spürbare Verbesserung für das gesamte Unternehmen.

Shadow AI proaktiv bekämpfen

Der rote Faden ist hier: Auch wenn KI – und insbesondere Shadow AI – neue und besorgniserregende Risiken mit sich bringt, wird sie bleiben. Mitarbeitende, die KI im Verborgenen nutzen, handeln nicht in böser Absicht; vielmehr versuchen sie, dem Unternehmen zu nützen, auch wenn sie dabei den falschen Weg wählen.

Ein proaktiver, risikoorientierter Ansatz für die KI-Einführung erkennt diese Realität an. Statt mit reaktiven Verboten zu arbeiten, die Umgehungen nur fördern, müssen wir Mitarbeitende einbeziehen, um zu verstehen, welche Probleme sie mit KI lösen möchten. So können wir ihnen sichere Optionen bereitstellen, die unsere Anforderungen an Sicherheit und Datenschutz erfüllen.

Warum SELinux für die Sicherheit in Unternehmen wichtig ist

Thu, 23 Oct 2025 14:03:35 Z

Bei der Bewertung von Cybersicherheitsprodukten richtet sich der Blick schnell auf sichtbare Funktionen wie Dashboards, Warnmeldungen und Integrationen. Die eigentliche Stärke liegt jedoch oft tiefer – in der Architektur selbst. Eine integrierte Funktion, die konsequente Prinzipien des Sicherheitsdesigns zeigt, ist Security-Enhanced Linux (SELinux).

SELinux wurde ursprünglich von der U.S. National Security Agency (NSA) entwickelt und der Open-Source-Community zur Verfügung gestellt. Es ist ein im Linux-Kernel integriertes Framework für Mandatory Access Control (MAC). Es erzwingt strenge, richtliniengesteuerte Regeln dafür, wie Anwendungen, Dienste und Benutzer mit Systemressourcen interagieren. Damit bietet es einen wirksamen Schutz vor Rechteausweitung, lateraler Bewegung und Zero-Day-Exploits.

Wenn das von Ihnen evaluierte Cybersicherheitsprodukt SELinux enthält – insbesondere im Enforcing-Modus –, ist das ein starkes Zeichen für architektonische Reife und proaktive Eindämmung von Bedrohungen.

Was macht SELinux anders und besser?

SELinux versieht jeden Prozess und jede Datei mit einem Sicherheitskontext und steuert anhand vordefinierter Richtlinien, wie diese miteinander interagieren. Im Gegensatz zu herkömmlichen Zugriffskontrollen, die auf Benutzerberechtigungen basieren, erzwingt SELinux Sicherheitsrichtlinien für alle Benutzer und Prozesse – selbst für solche mit Root- bzw. Administratorrechten.

Das ist entscheidend, denn es verhindert, dass Angreifer Root-Zugriff ausnutzen, um sich lateral zu bewegen, Daten zu exfiltrieren oder Sicherheitskontrollen zu deaktivieren. SELinux entzieht Root im Grunde den Status einer „Supermacht“ und erzwingt Sicherheitsgrenzen, die durch Richtlinien und nicht durch Berechtigungen definiert sind.

Das bedeutet: Selbst wenn ein Angreifer privilegierten Zugriff – also Root-Zugriff – erlangt, kann SELinux verhindern, dass er nicht autorisierte Aktionen ausführt, die von der vordefinierten Richtlinie abweichen. Dieses Sicherheitsniveau geht über reine Erkennung hinaus und umfasst Prävention auf Betriebssystemebene.

Wie SELinux funktioniert

SELinux kann in mehreren Modi betrieben werden:

Deaktiviert: Nicht aktiv, keine Durchsetzung von Sicherheitsregeln.
Permissiv: Protokolliert Verstöße, blockiert sie jedoch nicht; nützlich für Tests.
Enforcing: Blockiert nicht autorisierte Aktionen aktiv auf Grundlage von Richtlinien.
Strikte Durchsetzung: Bezeichnet den Enforcing-Modus in Kombination mit einer strikten Richtlinie, die standardmäßig durchgesetzt wird.

Produkte, die SELinux im strikten Enforcing-Modus ausführen, bieten Echtzeitschutz für die Prozesse und Ressourcen des Systems. Die Angriffsfläche wird minimiert, wodurch es für Angreifer deutlich schwieriger wird, sich im System zu bewegen. Jeder Benutzer, jeder Dienst und jeder Daemon unterliegt einer verpflichtenden Zugriffskontrolle nach dem Least-Privilege-Prinzip. Strikte Durchsetzung wird typischerweise in Hochsicherheitsumgebungen eingesetzt, etwa in Behörden, Finanzwesen oder Verteidigung, in denen keinem Prozess standardmäßig vertraut wird und jede Interaktion ausdrücklich durch eine Richtlinie erlaubt sein muss.

Auch wenn Sie SELinux nicht selbst konfigurieren, ist es hilfreich zu verstehen, wie Anbieter wie Ivanti es zur Härtung ihrer Produkte einsetzen:

1. Start im permissiven Modus: Wir beginnen damit, das Systemverhalten unter SELinux-Richtlinien zu beobachten, ohne etwas zu blockieren.

2. Umfassende Tests: Wir protokollieren Verstöße, identifizieren legitime Vorgänge und verfeinern Richtlinien, um Fehlalarme zu vermeiden.

3. Entwicklung benutzerdefinierter Richtlinien: Richtlinien werden auf die Architektur und Anwendungsfälle des Produkts zugeschnitten.

4. Laborvalidierung im Enforcing-Modus: Vor der Veröffentlichung testen wir SELinux im Enforcing-Modus und mit strikter Durchsetzung unter simulierten realen Bedingungen.

Dieser Prozess stellt sicher, dass SELinux die Sicherheit erhöht, ohne die Funktionalität zu beeinträchtigen, und dass Benutzer optimalen Schutz ohne Leistungseinbußen erhalten. Außerdem erfolgt der oben beschriebene Prozess für jede einzelne Version. Das bedeutet: Wenn sich die Software zu neueren Versionen weiterentwickelt, muss die SELinux-Richtlinie mit jeder neuen Version des Softwareprodukts erneut getestet, abgestimmt und angewendet werden.

Dieser Prozess ist zeitaufwendig und erfordert erhebliche Entwicklungsressourcen, um korrekt umgesetzt zu werden. Nur besonders engagierte und vorausschauende Sicherheitsanbieter konfigurieren SELinux mit strikter Durchsetzung.

Praxisbeispiel: Bereitstellung von Oracle Linux

Oracle Linux unterstützt SELinux im Enforcing-Modus und wird häufig verwendet, um Oracle-Datenbankumgebungen und Workloads in der Oracle Cloud Infrastructure abzusichern. SELinux hilft dabei, Prozesse zu isolieren, Least Privilege durchzusetzen und sensible Daten vor unbefugtem Zugriff zu schützen – selbst in komplexen Unternehmensbereitstellungen.

Für Käufer bedeutet dies, dass Produkte, die auf Oracle Linux mit aktiviertem SELinux basieren, darunter Ivanti Connect Secure, bereits gegen viele Angriffsklassen gehärtet sind. Weitere Details finden Sie im offiziellen Leitfaden von Oracle.

Sicherheitstechnologie, die geschäftlichen Mehrwert liefert

Wenn SELinux in eine Cybersicherheitslösung integriert ist, liefert die Technologie strategische Vorteile, die auf die Prioritäten von Unternehmen abgestimmt sind.

Audit- und Compliance-Bereitschaft: SELinux protokolliert jeden Zugriffsversuch – erfolgreich oder abgelehnt – und erzeugt damit eine umfassende Audit-Trail. Die Durchsetzung durch SELinux und der Audit-Trail helfen dabei, regulatorische Anforderungen wie CIS Level-1/2 Hardening, STIG, NIST-800 und andere Vorgaben zu erfüllen, die eine Systemhärtung verlangen.
Granulare Zugriffskontrolle: Feingranulare Regeln werden auf Prozessebene durchgesetzt und begrenzen den Zugriff selbst für Root-Benutzer. Dadurch sinkt das Risiko von Rechteausweitung und Insider-Bedrohungen, was besonders in Umgebungen mit sensiblen Daten oder komplexen Benutzerrollen wichtig ist.
Reduzierte Angriffsfläche: SELinux isoliert Prozesse und erzwingt Least-Privilege-Zugriff, wodurch laterale Bewegungen innerhalb des Systems verhindert werden. Diese Eindämmungsstrategie ist entscheidend, um den Wirkungsradius einer Sicherheitsverletzung zu begrenzen. SELinux blockiert nicht autorisierte Aktionen auf Betriebssystemebene und erschwert es Angreifern damit, Schwachstellen einschließlich Zero-Days auszunutzen.
Sicherheit auf Enterprise-Niveau: Anbieter wie Ivanti, die SELinux in ihren Produkten einsetzen, zeigen damit ein deutliches Bekenntnis zu bewährten Sicherheitspraktiken. Dieser Ansatz unterstützt das Risikomanagement, stärkt das Vertrauen und hebt die Lösung in einem wettbewerbsintensiven Markt klar hervor.
Betriebliche Stabilität: Wenn Richtlinien richtig abgestimmt sind, arbeitet SELinux unauffällig im Hintergrund und erzwingt Sicherheit, ohne die Leistung zu beeinträchtigen – ideal für geschäftskritische Umgebungen, in denen Verfügbarkeit zählt.

Fazit zum Mehrwert von SELinux

Käufer, die Cybersicherheitsprodukte evaluieren, sollten über sichtbare Funktionen hinausblicken und fragen, was das System im Kern schützt. SELinux ist eine dieser Technologien unter der Oberfläche, die wirksamen Schutz im Hintergrund konsequent durchsetzt, nicht autorisierte Aktionen blockiert – selbst von privilegierten Benutzern – und Bedrohungen eindämmt, bevor sie sich ausbreiten.

Seine Präsenz in einem Produkt steht für eine gehärtete Architektur, proaktive Eindämmung von Bedrohungen und einen Anbieter, der Systemintegrität ernst nimmt. Sie konfigurieren SELinux nicht selbst, profitieren aber jedes Mal davon, wenn ein Exploit nicht Fuß fassen kann.

Ivantis Engagement für Sicherheit

Ivanti gehörte 2024 zu den ersten Unternehmen, die sich der „Secure by Design“-Selbstverpflichtung von CISA angeschlossen haben. Im Rahmen dieser Initiative hat Ivanti erheblich in die Härtung des Produkts Connect Secure, die Modernisierung seines Betriebssystems und die Integration von Sicherheit in jede Ebene der Entwicklung investiert.

Im Mittelpunkt der Entwicklungsphilosophie von Ivanti steht unser Secure Software Development Lifecycle (SSDLC), der die sieben Kernelemente des Secure Software Design ermöglicht: Security as Code (SaC), Secure by Default, Least Privilege, Separation of Duties (SoD), Minimize Attack Surface Area (ASA), Complete Mediation und Failing Securely. Darüber hinaus folgt Ivanti seinem eigenen strengen Secure Application Development Standard, der die Einhaltung der OWASP Application Security Verification Standards (ASVS) vorschreibt. Zusammen stellen diese rigorosen Frameworks sicher, dass jede Produktfunktion mit Sicherheit als zentralem Kriterium konzipiert und umgesetzt wird. So erhalten Kunden Lösungen, die die höchsten Branchenbenchmarks erfüllen.

Attack Surface Discovery: So identifizieren Sie die Angriffsfläche Ihres Unternehmens

Mon, 18 Aug 2025 09:54:55 Z

Kontrolle ist entscheidend: Wird Ihre Angriffsfläche nicht aktiv überwacht, wächst sie schneller, als Sie es erwarten – und mit ihr das Cybersicherheitsrisiko.
Risiken lassen sich zwar nie vollständig ausschließen, da sich Angriffsflächen kontinuierlich verändern. Doch Sie können sie gezielt steuern, sodass Ihr Gesamtrisiko im Rahmen Ihrer Risikobereitschaft bleibt.

Warum ist Attack Surface Discovery so wichtig?

Effektives Cybersicherheitsmanagement beginnt mit einem klaren Verständnis der eigenen Angriffsfläche. Genauer gesagt müssen Sie erkennen, was sich unter der Oberfläche befindet – Endgeräte, Schwachstellen und andere potenzielle Angriffsvektoren, die Ihr Unternehmen verwundbar machen können.

Erst wenn diese Faktoren sichtbar werden, lässt sich die Angriffsfläche wirksam steuern. Die erste Funktion des National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) Version 1.1 lautet „Identify“ („Identifizieren“). Laut NIST bilden die Aktivitäten innerhalb der Funktion „Identify“ die Grundlage für eine wirksame Umsetzung des Frameworks. Ähnlich verhält es sich mit den CIS Controls v8, die unter anderem folgende Sicherheitsmaßnahmen umfassen:

Sicherheitsmaßnahme 1 – Inventarisierung und Management der Unternehmens-Assets
Sicherheitsmaßnahme 2 – Inventarisierung und Management der Software-Assets
Sicherheitsmaßnahme 7 – Kontinuierliches Schwachstellenmanagement

Kurz gesagt: Sie können nur schützen, was Sie kennen. Doch wie erkennen Sie, was sich tatsächlich in Ihrer Umgebung befindet?

Wie beginne ich mit Attack Surface Discovery?

Attack Surface Discovery bedeutet, die Perspektive eines Angreifers einzunehmen, um angreifbare Assets und die damit verbundenen Schwachstellen zu ermitteln.

Ihre Angriffsfläche lässt sich dabei in drei Bereiche unterteilen: die digitale, die physische und die menschliche Angriffsfläche. Im Folgenden liegt der Schwerpunkt auf der Sichtbarmachung Ihrer digitalen Angriffsfläche – die beiden anderen Bereiche werden dabei ergänzend berücksichtigt.

Zur digitalen Angriffsfläche zählen klassische IT-Assets, also Hardware wie Endgeräte und Server ebenso wie Softwareanwendungen. Hinzu kommen externe, internetseitige Komponenten wie Webanwendungen, IP-Adressen, Domainnamen, SSL-Zertifikate und Cloud-Services.

Der erste Schritt besteht darin, jedes Element Ihrer digitalen Angriffsfläche zu erfassen und bestehende Sichtbarkeitslücken zu identifizieren. Sie können jedes Element wie folgt klassifizieren:

Bewusste Kenntnis: Cyber-Assets, die Ihnen bekannt sind und die nachweislich Teil Ihrer Angriffsfläche sind.
Bewusste Unkenntnis: Cyber-Assets, von denen Sie wissen, dass sie zu Ihrer Angriffsfläche gehören, die Sie jedoch möglicherweise nicht aktiv überwachen und/oder verwalten.
Unbewusste Unkenntnis: Cyber-Assets, die möglicherweise Teil Ihrer Angriffsfläche sind – oder auch nicht. Sie haben darüber keine gesicherten Informationen.
N/A: Cyber-Assets, von denen Sie mit absoluter Sicherheit wissen, dass sie nicht Teil Ihrer Angriffsfläche sind.

Nutzen Sie unsere anpassbare Attack-Surface-Checkliste für eine vollständige Bestandsaufnahme Ihrer Angriffsfläche.

Tools zur Identifizierung und Verwaltung Ihrer Angriffsfläche

Nachdem Sie Ihre Asset-Typen klassifiziert haben, folgt im nächsten Schritt die Auswahl geeigneter Tools und Methoden, mit denen Sie Sichtbarkeitslücken schließen – und so aus bewusster und unbewusster Unkenntnis echte, bewusste Kenntnis machen.

Unter dem Dach des Attack Surface Managements finden sich noch gezieltere Lösungsansätze – Cyber Asset Attack Surface Management (CAASM), External Attack Surface Management (EASM) und Digital Risk Protection Services (DRPS). Die Tools bündeln die Ergebnisse, machen Schwachstellen leichter erkennbar und bieten zum Teil auch Funktionen zur Priorisierung und Behebung. So können Sie schneller auf neue Erkenntnisse reagieren und Ihr Risiko gezielt verringern.

Schon lange stehen Unternehmen vor der Aufgabe, ihre digitale Angriffsfläche zu identifizieren und zu managen – und das bereits zu Zeiten, in denen spezialisierte ASM-Lösungen noch nicht verfügbar waren. Stattdessen kamen andere Ansätze zum Einsatz – viele davon sind auch heute noch in Gebrauch.

Ansatz	Beschreibung	Vorteiles	Nachteile
Asset-Discovery-Tools	Erkennen und erfassen Hardware- und Software-Assets, die sich mit Ihrem Netzwerk verbinden.	Bereits in den meisten Unternehmen im Einsatz. Besser als Excel & Co.	Kann Blindspots aufweisen – etwa bei Schatten-IT, Drittanbietersystemen und geschäftskritischen Anwendungen.nbsp;
Breach and Attack Simulation (BAS)	Testet Bedrohungsvektoren automatisch, um ein tieferes Verständnis für Schwachstellen in der Sicherheitslage zu gewinnen und bestehende Sicherheitskontrollen zu validieren.	Erstellt Reports über Sicherheitslücken und priorisiert die Behebung nach Risiko.	Konzentriert sich ausschließlich auf bekannte Angriffe. Bietet keine direkte Unterstützung bei der Behebung.
Cloud Security Posture Management (CSPM)	Ermöglicht das Verständnis von Änderungen in Cloud-Konfigurationen.	Bietet Echtzeit-Sichtbarkeit in Cloud-Konfigurationen.	Zeigt weder auf, wann Konfigurationen von Compliance-Vorgaben abweichen, noch welche Auswirkungen neue Bedrohungen haben könnten.
Configuration Management Database (CMDB)	Verfolgt Änderungen an Systemen.	Bereits in den meisten Unternehmen im Einsatz.	Zeigt weder auf, wann Konfigurationen von Compliance-Vorgaben abweichen, noch welche Auswirkungen neue Bedrohungen haben könnten.
Eigenentwickelter Ansatz	Kombiniert Tabellenkalkulationen, Skripte und manuelle Prozesse zur Verwaltung der Angriffsfläche.	Günstig oder kostenlos aus reiner Kostensicht (unter Vernachlässigung der Analystenstunden).	Zeitaufwendig und fehleranfällig. Nicht skalierbar oder in Echtzeit nutzbar.
IT Asset Management (ITAM)	Trackt und überwacht Assets über ihren gesamten Lebenszyklus hinweg.	Bereits in den meisten Unternehmen im Einsatz. Besser als Excel & Co.	Deckt nur bekannte und verwaltete Assets ab, während unbekannte oder nicht verwaltete Teile der Angriffsfläche unberücksichtigt bleiben.
Penetration Testing (z. B. automatisierte Pentest-Tools oder Penetration Testing as a Service)	Identifiziert Schwachstellen in Ihrem Netzwerk und in Anwendungen durch die Simulation eines Cyberangriffs.	Liefert konkrete Beispiele für die Sicherheitslage sowie Hinweise für Budgetprioritäten.	Konzentriert sich ausschließlich auf die erste Phase der Cyber Kill Chain: Reconnaissance. Die Ergebnisse sind in der Regel Momentaufnahmen und hängen stark von der Qualität und Erfahrung der Pentester ab, die die Simulation durchführen.
Red Teaming	Verschafft ein umfassendes Bild der Cybersicherheitslage eines Unternehmens, indem eine realistische Angriffssimulation gegen Netzwerke, Anwendungen, physische Schutzmaßnahmen und Mitarbeitende durchgeführt wird.	Geht über klassisches Penetration Testing hinaus, da auch weitere Phasen der Cyber Kill Chain im Fokus stehen. Geht zudem über die digitale Angriffsfläche hinaus, da auch weitere Phasen der Cyber Kill Chain im Fokus stehen.	Die Ergebnisse sind in der Regel Momentaufnahmen und hängen stark von der Erfahrung und Qualität der Red-Teamer ab, die die Simulation durchführen.
Threat Intelligence	Bietet Zugang zu Informationen über Bedrohungen und andere Cybersicherheitsaspekte.	Versorgt Sicherheitsexperten mit Erkenntnissen über Bedrohungen und Schwachstellen.	Ausgerichtet auf Unternehmen mit einer hochentwickelten Sicherheitsorganisation, hochqualifiziertem Personal und umfangreichen Ressourcen.
Schwachstellenmanagement-Tools (z. B. Scanner)	Identifizieren und verwalten Schwachstellen in der eigenen Infrastruktur und in Anwendungen.	Bereits in den meisten Unternehmen im Einsatz.	Bieten keine Transparenz in Bezug auf unbekannte Assets. Überwältigende Datenmengen.

Diese Methoden ersetzen zwar keine dedizierte ASM-Lösung, leisten jedoch einen wichtigen Beitrag zu den IT- und Sicherheitsprozessen eines Unternehmens.

CAASM-Tools sind in der Praxis auf Daten aus der Asset Discovery, dem IT Asset Management (ITAM), dem Schwachstellen- und Patch-Management angewiesen – ohne diese Grundlage können sie nicht wirksam arbeiten. Ebenso ergänzt EASM die zuvor genannten Threat-Intelligence- und Security-Testing-Services.

Wie identifiziere ich die physische Angriffsfläche meines Unternehmens?

Die erste zentrale Komponente der physischen Angriffsfläche überschneidet sich mit der digitalen Angriffsfläche Ihres Unternehmens. Dies wird als Endgeräte-Angriffsfläche bezeichnet. Sie setzt sich im Wesentlichen aus allen Endgeräten zusammen, die sich mit Ihrem Netzwerk verbinden: Desktop-Rechner, Laptops, mobile Geräte und IoT-Geräte. Die Tools und Methoden, mit denen Sie Ihre digitale Angriffsfläche identifizieren, lassen sich auch hier einsetzen.

Die zweite zentrale Komponente Ihrer physischen Angriffsfläche umfasst Büros, Rechenzentren und andere Unternehmensstandorte. Viele der Methoden, die Sie bereits zur Absicherung Ihrer digitalen Angriffsfläche einsetzen, lassen sich auch hier anwenden – etwa im Rahmen physischer Penetrationstests, wie sie Teil des Red Teaming sind.

Wie identifiziere ich die menschliche Angriffsfläche meines Unternehmens?

Die menschliche Angriffsfläche lässt sich am Organigramm ablesen: Jeder, der auf sensible Informationen zugreifen oder diesen Zugriff steuern kann – ob intern oder extern –, beeinflusst direkt das Risiko Ihres Unternehmens. Nicht nur Mitarbeitende, auch Partner oder Dienstleister gehören dazu: Jeder, der sensible Informationen einsehen oder den Zugriff darauf blockieren kann, beeinflusst die menschliche Angriffsfläche Ihres Unternehmens.

Red Teaming – eine Methode zur Identifizierung von Elementen sowohl der digitalen als auch der physischen Angriffsfläche – kann auch genutzt werden, um eine wesentliche Komponente der menschlichen Angriffsfläche sichtbar zu machen: die Anfälligkeit von Mitarbeitenden für Social Engineering.

Unsachgemäß vergebene Benutzerrechte zählen zu den Hauptfaktoren der menschlichen Angriffsfläche. Um ihre Bestandteile zu identifizieren, sollten Sie analysieren, welche Personen Zugriff auf welche Systeme und Daten haben – und in welchem Umfang.

Ich habe die Angriffsfläche meines Unternehmens identifiziert. Wie geht es weiter?

Die Identifizierung Ihrer Angriffsfläche ist der erste Schritt auf dem Weg zum eigentlichen Ziel: der Behebung jener Schwachstellen, die das größte Risiko für Ihr Unternehmen darstellen. Dieser ganzheitliche Prozess wird als Exposure Management bezeichnet.

Attack Surface Discovery bildet, wie wir gesehen haben, einen der Grundsteine Ihrer Sicherheitsstrategie: Nur was Sie kennen, können Sie auch schützen. Exposure Management fügt einen weiteren Grundpfeiler hinzu: die Bestimmung Ihrer Risikobereitschaft. Sie gibt an, wie viel Risiko Ihr Unternehmen bereit ist zu tragen, um seine Ziele zu erreichen. (Nutzen Sie hierfür gerne unsere anpassbare Vorlage für Ihre Erklärung zur Risikobereitschaft.)

Sobald diese beiden Grundlagen stehen, können Sie die Schwachstellen Ihrer Angriffsfläche einschätzen: Wie hoch ist das Risiko für Ihr Unternehmen und passt es zu Ihrer Risikobereitschaft? Unser Leitfaden zur objektiven Cyber-Risikobewertung geht darauf im Detail ein.

Die Schwachstellen, die außerhalb Ihrer Risikobereitschaft liegen, haben oberste Priorität für die Behebung. So können Sie Ihre Maßnahmen gezielt dort konzentrieren, wo sie den größten Nutzen bringen.

Was bedeutet proaktive Cybersicherheit wirklich? Maßnahmen zum Schutz Ihres Unternehmens

Mon, 04 Aug 2025 19:26:10 Z

Der Ivanti State of Cybersecurity Report 2025 stellte etwas wenig Überraschendes fest: Unternehmen berichten von einer erheblichen Vorbereitungslücke (also der Lücke zwischen der wahrgenommenen Bedrohungslage und ihrem Vorbereitungsgrad) über alle von uns abgefragten Bedrohungsvektoren und Schwachstellen hinweg.

Sicherheitsteams investieren zu Recht Ressourcen in den Aufbau von Resilienz, damit sie schnell auf Angriffe reagieren und sich davon erholen können. Um diese Vorbereitungslücken zu schließen, sind jedoch proaktive Cybersicherheitsmaßnahmen erforderlich.

Reaktive vs. proaktive Cybersicherheit: Was ist der Unterschied?

Proaktive Cybersicherheit bezeichnet Maßnahmen, die Sie vor einem Cyberangriff ergreifen, um Ihre Sicherheitslage zu verbessern und Ihre Angriffsfläche zu reduzieren; reaktive Cybersicherheit unterbricht einen Angriff, der bereits in Ihre Systeme eingedrungen ist, grenzt ihn ein und minimiert den potenziellen Schaden.

Diese Ansätze schließen sich keineswegs gegenseitig aus. Proaktive Sicherheit reduziert Risiken, beseitigt sie aber nicht vollständig. „Reaktiv“ mag leicht negativ klingen, doch Fähigkeiten, mit denen Sie auf einen Angriff reagieren können – ganz gleich, wie stark Sie Ihre Risikoexposition reduziert haben –, sind von entscheidender Bedeutung.

Beispiele für proaktive Cybersicherheitsmaßnahmen

Proaktive Sicherheit ist eher eine Philosophie als ein starrer Plan. Sie beruht auf der Idee, dass Maßnahmen zur Minimierung der Exposition lange bevor ein Risiko eintritt, der effektivste Einsatz von Sicherheitszeit und -ressourcen sind.

Dennoch gibt es konkrete Fähigkeiten, die Sie aufbauen können, um diese Philosophie umzusetzen, darunter unter anderem Schwachstellen-Scanning, Angriffssflächenmanagement, Schwachstellenmanagement, Expositionsvalidierung, Patchmanagement, Konfigurationsmanagement und Anwenderschulung.

Angriffsflächenmanagement

Angriffsflächenmanagement zielt darauf ab, alle Einstiegspunkte eines Unternehmens zu verstehen – ob digital, physisch oder menschlich –, die von Hackern genutzt werden können, um Zugriff auf die IT-Umgebung zu erlangen.

Die Angriffsfläche umfasst Geräte (bekannte und unbekannte), doch die Umgebung geht über Geräte hinaus. Auch Anwendungen, Software, Social-Media-Konten und andere digitale Bereiche oder Assets, die von Personen im Umfeld des Unternehmens genutzt werden, gehören dazu.

Verwandte Inhalte:Checkliste zur Angriffsfläche

Schwachstellen-Scanning

Schwachstellen-Scanning ist genau das, wonach es klingt: Spezialisierte Scanner prüfen Netzwerke und IT-Assets auf ausnutzbare Schwachstellen und markieren sie anschließend zur Bearbeitung durch Sicherheitsteams. Da es Tausende bekannter Schwachstellen gibt – und täglich neue entstehen –, ist Schwachstellen-Scanning am effektivsten, wenn es automatisiert erfolgt.

Externe Schwachstellen-Scans prüfen ein Netzwerk von außen nach innen und versuchen, Wege zu identifizieren, über die ein Hacker in das Netzwerk gelangen könnte. Interne Scans nehmen die Perspektive einer Person ein, die bereits in das Netzwerk eingedrungen ist, und betrachten die Schwachstellen, die sie von innen ausnutzen könnte.

Schwachstellenmanagement

Schwachstellen-Scanning und Angriffsflächenmanagement fließen in den längeren, umfassenderen Zyklus des Schwachstellenmanagements ein. Dabei handelt es sich um einen fortlaufenden Prozess, in dem Schwachstellen identifiziert und nach Prioritätsstufe kategorisiert werden, bevor Teams die beste Methode zu ihrer Behebung festlegen.

Ein Standardansatz im Schwachstellenmanagement besteht darin, nach Schweregrad zu priorisieren, doch dieser Ansatz kann manche Schwachstellen überbewerten und andere übersehen. Die Ergänzung um Bedrohungskontext – wird diese Schwachstelle aktiv ausgenutzt? – und Risikokontext – wie gravierend wäre die Ausnutzung dieser Schwachstelle für mein Unternehmen? – ergibt ein klareres Bild der tatsächlichen Priorität.

Expositionsvalidierung

Die Expositionsvalidierung testet die Machbarkeit eines Angriffs und die Stärke Ihrer Gegenmaßnahmen durch die Durchführung von Angriffsszenarien. Dieser Ansatz wird auch als offensive Sicherheit bezeichnet. Die beiden gängigsten Methoden sind Penetrationstests und Red Teaming.

Penetrationstests (oder Pen Testing) bedeutet, dass ethische Hacker versuchen, in Ihr System einzudringen, und anschließend Feedback dazu geben, was gut funktioniert hat und welche Bereiche weiter verbessert werden müssen. Pen Testing kann auch mit automatisierten Tools durchgeführt werden.
Red Teaming, ähnlich wie Pen Testing, bedeutet, dass ethische Hacker einen geplanten Cyberangriff durchführen, um herauszufinden, wo Ihre Abwehrmaßnahmen verbessert werden können. Red Teaming ist eine szenariobasierte Simulation, während Pen Testing darauf abzielt, möglichst viele verschiedene Schwachstellen zu finden.

Adversarial Exposure Validation, kurz AEV, etabliert sich ebenfalls als Praxis. Dabei wird Software eingesetzt, um kontinuierlich und autonom Angriffssimulationen durchzuführen und das Vorhandensein von Expositionen nachzuweisen.

Patchmanagement

Nachdem Schwachstellen durch Angriffsflächenmanagement und Schwachstellen-Scanning identifiziert, durch Schwachstellenmanagement priorisiert und anschließend durch Expositionsvalidierung validiert wurden, stellt sich die Frage: Wie reagiere ich?Patchmanagement ist eine Möglichkeit, auf Schwachstellen zu reagieren und sie zu schließen – insbesondere Software-Schwachstellen, für die Patches verfügbar sind.

Patchmanagement eignet sich besonders für die Automatisierung, vor allem in Kombination mit risikobasiertem Schwachstellenmanagement. Workflows, die automatisch von der Erkennung über die Entscheidungsfindung bis zur Bereitstellung führen, verkürzen die mittlere Zeit bis zur Behebung und minimieren menschliche Fehler.

Patchmanagement hat jedoch einen wichtigen blinden Fleck: Schatten-IT. Ohne eine genaue Bestandsaufnahme der von Mitarbeitenden genutzten Software lässt sich Patch-Compliance nicht durchsetzen. Deshalb ist die Erkennungskomponente des Angriffsflächenmanagements so entscheidend.

Konfigurationsmanagement

Konfigurationsmanagement ist, ebenso wie Patchmanagement, eine Möglichkeit, auf identifizierte Schwachstellen zu reagieren – in diesem Fall auf Schwachstellen, die die Geräte selbst betreffen und nicht die darauf ausgeführte Software. Konfiguration bezeichnet die proaktiven Cybersicherheitsmaßnahmen, die auf Geräteebene festgelegt werden, etwa die Durchsetzung von Multi-Faktor-Authentifizierung oder Verschlüsselung. Zwar können diese Maßnahmen von Endanwendern einzeln angewendet werden, am effektivsten werden sie jedoch mithilfe von Endpoint-Management-Software durchgesetzt.

Auch hier erschwert Schatten-IT, ähnlich wie beim Patchmanagement, die Lage. Unbekannte, nicht verwaltete Geräte entsprechen möglicherweise nicht den Sicherheitsstandards Ihres Unternehmens – Gewissheit gibt es nicht. Und genau wie beim Patchmanagement ist die Erkennungskomponente des Angriffsflächenmanagements entscheidend. Indem IT-Teams zuvor unbekannte Geräte identifizieren und in die Verwaltung aufnehmen, können sie Compliance durchsetzen.

Anwenderschulung

Ihre Angriffsfläche ist nicht ausschließlich digital – es gibt auch eine menschliche Komponente. Phishing und andere Formen des Social Engineering nutzen menschliche Schwachstellen aus und verknüpfen sie häufig mit digitalen Expositionen (Software-Schwachstellen, fehlerhafte Konfigurationen usw.), um einen Angriff zu starten. Die Schulung von Mitarbeitenden trägt dazu bei, Expositionen zu minimieren – genauso wie die Behebung digitaler Schwachstellen.

Unterstützung für proaktive Cybersicherheitsmaßnahmen gewinnen

Unterstützung für proaktive Cybersicherheitsmaßnahmen zu gewinnen, ist in mancher Hinsicht schwieriger als bei reaktiven Cybersicherheitsmaßnahmen. Die Bedrohung ist noch nicht eingetreten, daher ist es für Stakeholder außerhalb der Sicherheitsteams schwieriger, notwendige Kompromisse zu verstehen – etwa vorübergehende Geschäftsunterbrechungen oder andere Faktoren, die zumindest kurzfristig die Produktivität beeinträchtigen. Anwenderschulungen beanspruchen Zeit in ohnehin vollen Terminkalendern. Die Bereitstellung von Patches kann Anwendungen offline nehmen oder Fehlerbehebung erfordern.

Um Unterstützung für solche Maßnahmen zu gewinnen und zu erhalten, sollten Sicherheitsteams darauf achten, die durch die Behebung verursachten Unterbrechungen möglichst gering zu halten (zum Beispiel durch Ring-Deployment, bei dem Software-Updates schrittweise auf immer größere „Ringe“ ausgerollt werden, wobei in jedem Schritt Probleme identifiziert und behoben werden, bevor die Bereitstellung auf die gesamte Nutzerbasis ausgeweitet wird).

Eine Risikobewertungsübung kann ebenfalls hilfreich sein, um eine noch nicht eingetretene Bedrohung für andere Stakeholder greifbar zu machen. Eine objektive Bewertung Ihrer Exposition und der Kosten der damit verbundenen Risiken – insbesondere, wenn Sie diese Exposition finanziell quantifizieren können – kann den Unterschied zwischen widerwilliger Akzeptanz und echter Unterstützung für proaktive Sicherheit ausmachen.

Verwandte Inhalte:Cyberrisiken objektiv bewerten: Ein Leitfaden für datengestützte Risikobewertungen

Warum proaktive Cybersicherheit wichtig ist

Eine proaktive Cybersicherheitsstrategie steht nicht im Widerspruch zu reaktiver Sicherheit – ein gesundes Unternehmen verfügt über robuste Fähigkeiten, um Risiken zu begegnen, bevor und nachdem sie eintreten. Präventive Maßnahmen verbessern jedoch Ihre Risikolage und sorgen dafür, dass Risiken seltener eintreten. Proaktive Cybersicherheitsmaßnahmen wie das Management der Angriffsfläche, Patching, solide Konfigurationen und Anwenderbewusstsein sind klare Investitionen in die langfristige Sicherheit Ihres Unternehmens.

Warum Sie Angriffe auf die Software-Lieferkette nicht länger ignorieren dürfen

Mon, 05 May 2025 12:34:43 Z

Der Report zum Stand der Cybersicherheit 2025 von Ivanti zeigt, dass sich nur jedes dritte Unternehmen ausreichend darauf vorbereitet fühlt, Bedrohungen in der Software-Lieferkette abzuwehren. Da Angreifer verstärkt Schwachstellen in Abhängigkeiten von Drittanbietern ins Visier nehmen, drohen Angriffe auf die Software-Lieferkette zu einem ernsten Schwachpunkt der Cybersicherheit zu werden – insbesondere, wenn Unternehmen dieses Risiko weiterhin unterschätzen.

Das steigende Risiko von Angriffen auf die Software-Lieferkette

Die Angriffsfläche vergrößert sich stetig, und ein wichtiger Vektor dieser Expansion sind die Software-Lieferketten der Unternehmen. Fortschrittliche Unternehmen verlassen sich auf zahlreiche Softwareanwendungen, Tools und Abhängigkeiten innerhalb ihrer eigenen technischen Infrastruktur. Laut einem Report von BetterCloud nutzt ein Unternehmen im Durchschnitt 112 SaaS-Anwendungen – Tendenz steigend. Dieses digitale Ökosystem wird zunehmend komplexer: Jede einzelne Anwendung weist im Schnitt rund 150 Abhängigkeiten auf – 90 % sind indirekter Natur. Genau hier liegt ein enormes Risiko, denn gerade diese indirekten Abhängigkeiten sind für die überwiegende Mehrheit der bekannten Schwachstellen verantwortlich.

Die Zahl der Angreifer, die es auf Abhängigkeiten von Drittanbietern abgesehen haben, hat in den letzten Jahren rapide zugenommen. 75 % der allen Software-Lieferketten werden im Jahr 2024 Angriffe melden. Auch die Bedrohungen innerhalb der Software-Lieferkette sind deutlich raffinierter geworden. Angreifer nutzen gezielt jede noch so kleine Schwachstelle im Code von Drittanbietern aus. Gleichzeitig stehen Sicherheitsteams vor der Herausforderung, die Vielzahl an eingesetzten Softwarekomponenten vollständig und zuverlässig zu überprüfen – was angesichts der wachsenden Komplexität zunehmend schwerfällt.

Die Cybersecurity-Studie von Ivanti ergab, dass 84 % der Führungskräfte in Unternehmen die Überwachung der Software-Lieferkette zwar für „sehr wichtig“ halten. Dennoch hat nahezu die Hälfte (48 %) bislang keine klare Sicht auf die anfälligsten Komponenten in der eigenen Lieferkette. Diese Nachlässigkeit kann teuer werden – sowohl finanziell als auch in Bezug auf die Reputation des Unternehmens.

Häufige Arten von Angriffen auf die Software-Lieferkette

Nach Angaben von Gartner erleben 45 % der Unternehmen bis 2025 einen Angriff auf die Software-Lieferkette. Im Folgenden finden Sie einen kurzen Überblick über die häufigsten Schwachstellen in der Software-Lieferkette, auf die Angreifer abzielen:

Zu den häufigsten Angriffsszenarien in der Lieferkette zählen Upstream-Server-Angriffe. Dabei manipulieren Cyberkriminelle eine vorgelagerte Quelle – etwa ein öffentliches Code-Repository – und platzieren dort Schadcode. Über nachgelagerte Prozesse wie automatische Updates gelangt dieser dann unbemerkt in die Systeme der Endnutzer. Die Gefahr: Der Angriff erfolgt verdeckt und wirkt sich erst viel später in der Lieferkette aus.
Midstream-Angriffe beziehen sich auf Vorfälle, bei denen Angreifer nicht die ursprüngliche Codebasis, sondern Zwischensysteme wie Software-Entwicklungswerkzeuge kompromittieren.
Angriffe zur Verwechslung von Abhängigkeiten versuchen, einen Entwickler oder ein System dazu zu verleiten, eine kompromittierte Software-Abhängigkeit von einer externen Quelle herunterzuladen. Zu den gängigen Angriffsmethoden gehört die Verwendung eines Namens für den Upload einer bösartigen Software, der einer vertrauenswürdigen internen Bibliothek ähnelt. Die bösartige Version wird oft anstelle der legitimen Abhängigkeit in den Software-Build integriert.
Angriffe auf Code-Signing-Zertifikate treten auf, wenn Hacker bösartige Software in digitale Code-Signing-Zertifikate einschleusen, die die Sicherheit und Authentizität der Software überprüfen sollen. Diese Angriffe erfolgen, wenn Angreifer die Entwicklungsumgebung durch Social Engineering oder eine andere Taktik kompromittieren.
Angriffe auf CI/CD-Infrastruktur zielen auf automatisierte Entwicklungspipelines ab, indem sie Malware einschleusen, z.B. indem sie authentische GitHub-Repositorys für bösartige Zwecke klonen.

Jüngste Beispiele für Angriffe auf die Lieferkette

Die reale Bedrohungslage zeigt sich deutlich in den Schlagzeilen der letzten Jahre. Nachfolgend sind einige prominente Angriffe auf die Software-Lieferkette aufgeführt, die international Aufmerksamkeit erregt haben.

Okta Social-Engineering-Angriff
- Im Oktober 2023 kam es bei Okta, einem Anbieter von Identitäts- und Zugriffsmanagementdiensten, zu einer schwerwiegenden Datenverletzung in seinem Kundensupportsystem, nachdem vier verschiedene Okta-Kunden Opfer von Social-Engineering-Angriffen auf ihren IT-Service-Desk wurden. Die Angreifer lancierten mit diesen administrativen Zugangsdaten mehrere Downstream-Angriffe, die zu einem unbefugten Zugriff auf die Daten von Tausenden Okta-Kunden führten, darunter 1Password, BeyondTrust und Cloudflare.
Kaseya Ransomware-Angriff
- In diesem Fall vom Juli 2021 nutzten Hacker sechs Zero-Day-Schwachstellen im Kaseya Remote-Management-Tool aus und verwendeten diese Schwachstellen, um über ein Software-Update eine bösartige Ransomware-Nutzlast zu verteilen, die Hunderte von Managed Service Providern (MSPs) und deren Kunden infizierte. Der Angriff legte den Betrieb von fast 2.000 Unternehmen weltweit lahm und sorgte für Schlagzeilen, als die Angreifer ein Lösegeld in Höhe von 70 Millionen Dollar forderten (das letztendlich nicht gezahlt wurde).
Codecov CI/CD-Angriff
- Im Januar 2021 infiltrierten bösartige Akteure das beliebte Code-Testing-Tool Codecov, das zu diesem Zeitpunkt von über 29.000 Kunden genutzt wurde. Die Angreifer verschafften sich unbefugten Zugriff auf das Bash-Uploader-Skript von Codecov und schleusten bösartigen Code ein, der dann von Codecov-Kunden in ihren CI/CD-Pipelines verwendet wurde. Codecov entdeckte und meldete den Angriff erst im April 2021 – was bedeutet, dass diese bösen Akteure möglicherweise monatelang Zugriff auf sensible Daten in Tausenden von Kundensystemen hatten.
- Jeder dieser Angriffe auf die Lieferkette hatte kaskadenartige, weitreichende Folgen – sowohl für den kompromittierten Anbieter als auch für dessen tausende Kunden und darüber hinaus.

Schwerwiegende Auswirkungen von Angriffen auf die Lieferkette

Das Ausmaß des Schadens, der durch Angriffe auf die Software-Lieferkette entsteht, kann nicht unterschätzt werden. Jeder der oben genannten Angriffe führte zu erheblichen finanziellen und rufschädigenden Schäden und veranlasste viele Unternehmen, ihren Ansatz zur Sicherheit von Anbietern zu überdenken.

Finanzielle Auswirkungen

Cybersecurity Ventures prognostiziert, dass die jährlichen Kosten von Angriffen auf die Software-Lieferkette für Unternehmen bis 2031 auf 138 Milliarden Dollar ansteigen werden, gegenüber 60 Milliarden Dollar im Jahr 2025. Diese Verluste reichen von entgangenen Einnahmen über Kosten für die Behebung von Mängeln bis hin zu Anwalts- und Gerichtskosten und möglichen Strafen für die Nichteinhaltung von Vorschriften. Nach der Datenpanne von 2023 fielen die Okta-Aktien um 11 %. Nach einer weiteren großen Datenschutzverletzung im Jahr 2022 wurde Okta von den betroffenen Aktionären verklagt und zur Zahlung von 60 Millionen Dollar verpflichtet.

Operative Auswirkungen

Angriffe auf die Lieferkette können bei Tausenden von Kunden zu Unterbrechungen und Systemabschaltungen führen, die kritische Abläufe zum Stillstand bringen und Verzögerungen verursachen, die sich wiederum auf andere Anbieter auswirken. Sehen wir uns nur einige der Institutionen an, die von der Kaseya Sicherheitsverletzung betroffen sind. In Schweden war ein großer Lebensmitteleinzelhändler gezwungen, 800 Geschäfte über das Wochenende zu schließen, und auch bei der staatlichen Eisenbahn kam es zu Unterbrechungen. Elf Schulen und mehr als 100 Kindergärten in Neuseeland mussten ebenfalls alle Online-Aktivitäten einstellen und auf Stift und Papier zurückgreifen, bis der Vorfall behoben werden konnte.

Reputationsschaden

Eine öffentlich beschädigte Reputation kann ein Unternehmen in Bezug auf das Vertrauen seiner Kunden und Aktionäre zurückwerfen. Unternehmen riskieren infolge solcher Vorfälle den Verlust von Lieferanten und Kunden, mit denen sie über Jahre hinweg vertrauensvolle Beziehungen aufgebaut haben. Ein prominentes Beispiel dafür ist der Angriff auf die weit verbreitete Unternehmenskommunikationssoftware 3CX im März 2023: Hacker schleusten bösartigen Code direkt in die Anwendung ein. In der Folge könnten sensible Daten von über 600.000 Kunden kompromittiert worden sein. Der Vorfall sorgte monatelang für negative Schlagzeilen und löste öffentlich spürbare Reaktionen aus – ein erheblicher Reputationsschaden für das Unternehmen.

Wer übernimmt die Verantwortung? Technische Verbindlichkeiten und gemeinsame Verantwortung

Da erwartet wird, dass die Bedrohungen in der Software-Lieferkette immer häufiger und schwerwiegender werden, ist es für Unternehmen unerlässlich, klare Verantwortlichkeiten festzulegen und strenge Best Practices für die Sicherheit von Drittanbietern und die Cybersicherheit der Software-Lieferkette zu befolgen.

Wer ist für die Software-Sicherheit verantwortlich?

Derzeit fehlt es vielen Unternehmen an strengen und standardisierten Prozessen zur Bewertung der Sicherheit von Drittanbietern. Ferner sind sich viele Kunden und Anbieter nicht einmal darüber einig, wer für die Verwaltung der Sicherheit von Drittanbietersoftware verantwortlich ist.

Der Trend-Report zum Stand der Cybersicherheit hat Unternehmen mit verschiedenen Niveaus von Cybersicherheitsfähigkeiten untersucht, um unsere Cybersecurity Maturity Scale zu entwickeln. Diese Skala reichte von weniger ausgereiften Unternehmen (Stufe 1 und STufe 2) bis hin zu Unternehmen mit fortgeschrittenen Cybersicherheitsfähigkeiten (Stufe 4).

Unsere Analyse zeigte: Vor allem weniger ausgereifte Unternehmen gingen davon aus, dass die Verantwortung für Cybersicherheit ausschließlich beim Softwareanbieter liegt. Im Gegensatz dazu vertraten besonders gut vorbereitete Unternehmen ein differenzierteres Verständnis – sie sahen die Verantwortung als gemeinsame Aufgabe von Anbieter und Kunden.

Wie Sie sich vor Bedrohungen der Software-Lieferkette schützen können

Die Sicherheit der Software-Lieferkette ist ein wichtiger Bestandteil einer umfassenden und proaktiven Cybersicherheitsstrategie.

Um Ihre Software-Lieferkette zu stärken und sich gegen potenzielle Angriffe zu verteidigen, müssen Unternehmen alle Drittanbieter und Komponenten als einen erweiterten Teil ihrer gesamten Angriffsfläche betrachten. Damit Sie potenzielle Bedrohungen in Ihrer Software-Lieferkette frühzeitig erkennen und wirksam darauf reagieren können, haben wir im Folgenden die wichtigsten Handlungsempfehlungen für Ihr Unternehmen zusammengefasst.

1. Strenges Lieferantenmanagement und Risikobewertung

Führen Sie eine Due-Diligence-Prüfung durch, bevor Sie sich mit Softwareanbietern zusammenschließen. Suchen Sie nach Anbietern, die die Branchenstandards einhalten und eine Richtlinie zur Offenlegung von Schwachstellen veröffentlichen. Regelmäßige Audits, Code-Reviews und eine proaktive Bewertung sowohl durch den Anbieter als auch durch den Kunden sind der Schlüssel zur Risikominderung.

Unsere Untersuchung zeigt: Unternehmen mit dem höchsten Reifegrad im Bereich Cybersicherheit kommen ihrer Sorgfaltspflicht bei der Bewertung der Sicherheitsstandards von Drittanbietern am konsequentesten nach.

Einbeziehung von Fragebögen zur Sicherheitsbewertung (SAQs) in ihre Bewertung.
Berücksichtigung der Sicherheitszertifizierungen von Anbietern wie ISO 27001 und SOC 2.
Überprüfung der branchenspezifischen Compliance-Standards.
Sicherstellung, dass die Anbieter über Reaktionspläne und Prozesse verfügen, um mit potenziellen Sicherheitsverletzungen umzugehen.
Anforderung einer Software Bill of Materials (SBOM), um die in ihrer Software verwendeten Open-Source- und Drittanbieterkomponenten zu verstehen.

2. Kontinuierliche Überwachung und proaktive Abhilfemaßnahmen für alle Abhängigkeiten

Der Einsatz automatisierter Tools und Prozesse zur Bedrohungserkennung ist entscheidend, um sämtliche Softwarekomponenten kontinuierlich zu überwachen und zu bewerten., insbesondere bei Open-Source-Softwarekomponenten, werden oft übersehen und stellen ein großes Risiko für Schwachstellen dar, wenn sie nicht regelmäßig überwacht und aktualisiert werden.

KI- und Automatisierungstools können in Echtzeit Einblicke in die Leistung von Geräten, Anwendungen und Netzwerken liefern – und so potenzielle Probleme frühzeitig erkennen. Selbstreparierende Systeme und automatisierte Lösungen zur Fehlerbehebung ermöglichen es, Störungen effektiv zu beheben – mit minimalem oder ganz ohne menschliches Eingreifen.

3. Regelmäßige Kommunikation mit Drittanbietern

Ein Eckpfeiler der gegenseitigen Verantwortung für die Sicherheit der Software-Lieferkette ist eine häufige, offene Kommunikation zwischen Kunden und Drittanbietern. Sicherheits- und IT-Teams müssen über alle Software-Updates, Patches zur Behebung bekannter Schwachstellen und neu auftretende Sicherheitsbedrohungen informiert sein.

Erfahren Sie mehr über die Sicherheit der Software-Lieferkette

Sie wollen mehr erfahren? Lesen Sie den vollständigen Trend-Report zum Stand der Cybersicherheit und erhalten Sie fundierte Einblicke in die dringendsten Cyberbedrohungen unserer Zeit – sowie in wirksame Strategien für ein proaktives und nachhaltiges Risikomanagement.

So setzen Sie quantitative Risikobewertungen in die Praxis um

Tue, 15 Apr 2025 13:50:58 Z

Quantitative Risikobewertung ist ein objektiver Ansatz für die Risikoanalyse – aber das Risiko zu verstehen, ist nur der erste Schritt. In diesem Artikel wird erläutert, wie die Ergebnisse interpretiert und diese Erkenntnisse in einer realen Umgebung in sinnvolle Entscheidungen umgesetzt werden können.

(Dieser Artikel behandelt zwar nicht die Durchführung einer quantitativen Risikoanalyse, jedoch können Sie den Prozess in unserem Leitfaden zur datengestützten Risikobewertung ausführlich nachlesen.)

Risikoquantifizierung verstehen

Das Wichtigste zuerst: Was ist eine quantitative Risikobewertung überhaupt?

Was ist Risikobewertung?

Die quantitative Risikobewertung (Quantitative Risk Assessment, kurz QRA) weist einem Cybersicherheitsrisiko auf der Grundlage seiner potenziellen Auswirkungen und Wahrscheinlichkeit einen finanziellen Wert zu. Es wird die Frage gestellt: Wenn dieses Asset durch diese Schwachstelle gefährdet ist, welche Kosten entstehen uns dadurch? Im Gegensatz zu qualitativen Methoden, die Risiken nach Schweregraden einteilen, liefert ein quantitativer Ansatz ein objektiveres Bild.

Warum ist dies von Bedeutung? Qualitative Bewertungen von Cybersicherheitsrisiken lassen wesentlich mehr Raum für Interpretationen. Die Übersetzung von Risiken in die Sprache des Unternehmens – also in Euro und Cent – beseitigt einen Großteil dieser Unklarheiten und hilft Führungskräften außerhalb des Sicherheitsbereichs zu verstehen, was ein „hohes“ Risiko im jeweiligen Kontext wirklich bedeutet.

Wie lässt sich die Risikobewertung in die übergeordnete Cybersicherheitsstrategie integrieren?

Die Quantifizierung von Risiken ist ein essenzielles Instrument für das Risikomanagement, jedoch nicht das Endziel. Stattdessen bildet es die Grundlage für Entscheidungen zur Risikominderung.

Wenn Sie beispielsweise das Risiko wie folgt darstellen können: „1,5 Millionen Dollar potenzielle Schäden durch die Verwendung unverschlüsselter Cloud-Kommunikation durch einen Lieferanten“, wird es einfacher, Ihre Optionen zur Reaktion auf dieses Risiko abzuwägen. Darauf gehen wir später in diesem Artikel noch näher ein.

Interpretation der quantitativen Risikoanalyse: Schlüsselelemente

Es gibt einige wesentliche Elemente einer quantitativen Risikoanalyse, die für die Interpretation der Ergebnisse von Bedeutung sind.

Asset-Wert (Asset Value, kurz AV): Der Wert des zu schützenden Assets für Ihr Unternehmen.
Exposure-Faktor (Exposure Factor, kurz EF): Der Prozentsatz des Wertes des Assets, der verloren gehen oder beeinträchtigt werden kann, wenn das Risiko eintritt.
Jährliche Verlusterwartung (Annualized Rate of Occurrence, kurz ARO): Wie häufig Sie davon ausgehen, dass das Risiko jährlich eintritt. (Bei Risiken, die weniger als einmal pro Jahr eintreten, kann dieser Wert unter 1 liegen.)

Anhand dieser drei Zahlen können Sie Folgendes berechnen:

Einzelverlustrisiko (Single Loss Expectancy, kurz SLE): Der finanzielle Wert, der bei einem einzelnen Bedrohungsereignis verloren gehen würde, wenn das Risiko eintritt. Sie berechnen diesen Wert anhand der Formel AV x EF.
Jährliche Eintrittswahrscheinlichkeit (Annual Loss Expectancy, kurz ALE): Der finanzielle Wert, der jährlich verloren gehen würde, wenn das Risiko eintritt. Sie berechnen diesen Wert anhand der Formel SLE x ARO.
Übriger ALE: Der finanzielle Wert, der jährlich verloren gehen würde, wenn das Risiko nach Anwendung von Risikominderungsmaßnahmen eintritt. Solche Minderungsmaßnahmen reduzieren EF, ARO oder beides, die Berechnungen bleiben jedoch ansonsten unverändert.

ALE ist das Hauptergebnis der Risikoanalyse und die wichtigste Kennzahl, die Sie zur Bewertung Ihrer Optionen für die Risikoreaktion verwenden werden. Es handelt sich jedoch nicht um eine perfekte Zahl, weshalb es noch ein weiteres Schlüsselelement gibt: Unsicherheit.

AV, EF und ARO sind allesamt Schätzwerte. Im Idealfall handelt es sich um sehr genaue Schätzungen, die auf sorgfältigen Recherchen basieren, aber dennoch Schätzungen bleiben. Das Maß an Vertrauen, das Sie in diese Schätzungen setzen sollten, wird in der Regel durch einen Konfidenzgrad (z. B. 80 %) angegeben, gefolgt von einer Liste unbekannter Faktoren.

Wo die Theorie in die Praxis umgesetzt wird: Risikoreaktion

Bisher haben wir erläutert, wie eine quantitative Risikobewertung interpretiert wird. Der eigentliche Zweck der Risikoanalyse besteht jedoch darin, zu entscheiden, wie mit diesem Risiko umgegangen werden soll.

Alle Risikoreaktionen lassen sich grob in vier Kategorien einteilen: Vermeidung, Akzeptanz, Übertragung oder Minderung.

Vermeidung

Das Risiko zu vermeiden bedeutet, das Exposure vollständig zu beseitigen. Es ist die einzige Risikoreaktion, die das Risiko tatsächlich auf null reduziert. In der Praxis bedeutet dies, dass ein risikobehafteter Prozess oder ein risikobehaftetes System stillgelegt wird.

Vermeidung ist im Grunde eine extreme Maßnahme und nur selten durchführbar. Sie können etwa das Risiko von Phishing auf null reduzieren, indem Sie den gesamten externen E-Mail-Verkehr deaktivieren. Wenn Sie mit Angelegenheiten der nationalen Sicherheit befasst sind, könnte sich dies tatsächlich lohnen. Für den Rest von uns würde dies zu einem vollständigen Stillstand des Geschäftsbetriebs führen.

Ihre Risikoanalyse könnte diese Vorgehensweise in zwei Situationen unterstützen: wenn das ALE so extrem ist, dass keine Risikominderungsstrategie es auf ein akzeptables Niveau reduzieren kann, oder wenn es eine gleichwertige Alternative zum risikobehafteten Prozess oder System gibt, die den EF oder ARO auf null reduzieren würde.

Akzeptanz

Das Risiko zu akzeptieren bedeutet, sich dafür zu entscheiden, nichts zu unternehmen. Auch wenn dies auf den ersten Blick unvernünftig erscheinen mag, ist es eine Option, die ernsthaft in Betracht gezogen werden sollte.

Es gibt ein sehr einfaches Szenario, in dem die Akzeptanz des Risikos die beste Option ist: wenn die Kosten für die Risikominderung den Rest-ALE (d. h. den ALE nach der Risikominderung) übersteigen. In dieser Situation kostet es mehr, Ihr Unternehmen zu schützen, als es zu verlieren gibt.

Es gibt jedoch auch differenziertere Situationen, in denen das Akzeptieren sinnvoll sein kann. Diese berücksichtigen die Opportunitätskosten der Risikominderung, unabhängig davon, ob diese sich ausschließlich auf das Sicherheitsteam oder auf das gesamte Unternehmen beziehen.

Kein Sicherheitsteam verfügt über unbegrenzte Ressourcen. Die Akzeptanz ist eine angemessene (wenn auch unbequeme) Option, wenn die Entscheidung zur Risikominderung bedeutet, dass Ressourcen von der Bewältigung eines schwerwiegenderen Risikos abgezogen werden müssen. Insbesondere wenn die Risikominderungsstrategie sehr manuell ist und viele Arbeitsstunden erfordern würde: Was wird derzeit nicht durchgeführt, damit die Mitarbeiter ihre Zeit für diese Aufgabe nutzen können?

Es sind auch weiterreichende Opportunitätskosten zu berücksichtigen, nämlich die Chancen, auf die das Unternehmen verzichten müsste, um das Risiko zu mindern oder zu vermeiden. Mit anderen Worten: Eine Akzeptanz kann sinnvoll sein, wenn die unternehmerische Gelegenheit größer ist als die ALE. Dies könnte beispielsweise der Fall sein, wenn Sie ein Rechenzentrum im Ausland eröffnen, um Cloud-Dienste für einen neuen Markt bereitzustellen. Obwohl dies neue Sicherheitsrisiken mit sich bringt, gibt es einen klaren geschäftlichen Vorteil.

Übertragung

Risikoübertragung bedeutet, die Verantwortung auf eine andere Partei zu übertragen, in der Regel auf eine Cybersecurity-Versicherung. Allgemein gesprochen ist die Übertragung des Risikos auf eine Versicherung eine Option, wenn die Versicherungskosten geringer sind als Ihr ALE – allerdings gibt es einige Einschränkungen.

Erstens deckt eine Versicherung lediglich die finanziellen Kosten eines Sicherheitsvorfalls ab. Sicherheitsvorfälle können aber auch rechtliche und rufschädigende Folgen haben. Wenn Ihr ALE diese Schäden berücksichtigt und ihnen einen Dollarwert zugewiesen hat (was im Idealfall der Fall war), müssen Sie diesen Betrag aufschlüsseln, um nur die unmittelbaren finanziellen Kosten zu betrachten. Die Übertragung des Risikos ist sinnvoll, wenn das finanzielle Risiko hoch ist, die rechtlichen Risiken und Reputationsrisiken jedoch gering sind.

Zweitens wird die Versicherung mit ziemlicher Sicherheit verlangen, dass Sie bestimmte Sicherheitskontrollen einrichten, und sie könnte auch die Haftung für wiederkehrende Vorfälle ausschließen. Dies bedeutet, dass Sie die Kosten für diese Kontrollen zu den Versicherungskosten hinzufügen müssen, wodurch sich möglicherweise Ihre Berechnung ändern wird. Es bedeutet auch, dass die Übertragung des Risikos auf eine Versicherung nur eine vorübergehende Maßnahme für ein Risiko mit einem hohen ARO sein kann.

Minderung

Die Minderung ist Ihre proaktivste Maßnahme, bei der Sie das Risiko durch die Anwendung von Sicherheitskontrollen, das Patchen von Schwachstellen, die Korrektur von Fehlkonfigurationen usw. reduzieren.

Die Minderung beseitigt Ihr Risiko nicht vollständig – dies ist nur durch die vollständige Vermeidung des Risikos möglich. Stattdessen senkt die Minderung Ihr Risiko, indem Sie Maßnahmen ergreifen, um Ihre EF, Ihre ARO oder beides zu reduzieren. Anschließend können Sie einen neuen ALE berechnen, der als Rest-ALE bezeichnet wird.

Im Allgemeinen ist das Mindern eine sinnvolle Option, wenn die Differenz zwischen dem ursprünglichen ALE und dem verbleibenden ALE größer ist als die Kosten für die Schadensminderung.

Einbeziehung der Risikobereitschaft (oder Umgang mit Sonderfällen)

Nicht jede Risikobewertung bietet Ihnen eine eindeutige Entscheidung für eine bestimmte Reaktion. Es wird immer Fälle geben, in denen die Unterschiede zwischen zwei Optionen gering sind oder die Unsicherheit hoch ist. Die Berücksichtigung der Risikobereitschaft wird Ihnen dabei helfen, diese Sonderfälle besser zu verstehen. Die Risikobereitschaft ist in der Regel nicht Bestandteil einer Risikoanalyse, stellt jedoch einen nützlichen Rahmen für die Interpretation dieser Analyse dar.

(Falls Ihr Unternehmen seine Risikobereitschaft noch nicht dokumentiert hat, können Sie diese editierbare Vorlage für eine Erklärung zur Risikobereitschaft als Ausgangspunkt verwenden.)

Risikobereitschaft bezeichnet das Maß an Risiko, das ein Unternehmen zur Erreichung seiner Ziele bereit ist, einzugehen. Eine hohe Risikobereitschaft bedeutet, dass Sie bereit sind, höhere Risiken für möglicherweise höhere Erträge einzugehen, während eine geringe Risikobereitschaft bedeutet, dass Sie es vorziehen, Risiken so weit wie möglich zu reduzieren. Risikobereitschaft besteht in mehreren Dimensionen: Möglicherweise haben Sie eine hohe Risikobereitschaft in Bezug auf operationelle Risiken, aber eine geringe Risikobereitschaft in Bezug auf Compliance-Risiken.

Innerhalb jeder dieser Dimensionen (Sicherheitsrisiko, Compliance-Risiko, Innovationsrisiko usw.) sind mehrere wichtige Faktoren zu berücksichtigen:

Risikokapazität ist der maximale Risikobetrag, den ein Unternehmen tragen kann und der in der Regel durch finanzielle Ressourcen, operative Fähigkeiten und regulatorische Beschränkungen bestimmt wird.
Risikotoleranz ist eine akzeptable Abweichung vom Zielwert.
Risikoschwellenwerte sind „rote Linien“, die auf die Notwendigkeit einer Strategieänderung hinweisen.

Die Grenze zwischen Toleranz und Kapazität oder sogar zwischen verschiedenen Toleranzgraden kann Ihnen dabei helfen, Grauzonen zu klären, in denen unklar ist, welche Risikoreaktion angemessen ist.

Erkenntnisse in Maßnahmen umwandeln

Das Verständnis einer quantitativen Risikobewertung ist nur der erste Schritt – der wahre Wert liegt in der Nutzung dieser Erkenntnisse, um Maßnahmen zu ergreifen. Ob Risikovermeidung, -akzeptanz, -übertragung oder -minderung – das Ziel ist immer dasselbe: Sicherheitsrisiken gegen geschäftliche Prioritäten abzuwägen, damit Sie entschlossen handeln können.

Wie IT-Führungskräfte „Secure-by-Design“-Softwareversprechen bewerten können

Mon, 24 Feb 2025 16:48:45 Z

Mit Genehmigung von CIO.com erneut veröffentlicht.

Dass die Bedrohungen aus dem Internet immer weiter zunehmen, ist längst bekannt. Laut dem Internet Crime Complaint Center des FBI stiegen die Kosten für gemeldete Cyberkriminalität in den USA im letzten Jahr um 22 % auf mehr als 12,5 Milliarden US-Dollar. Ein großes Problem sind Schwachstellen, die durch traditionelle Ansätze bei der Programmierung und Sicherheit in der Software erhalten geblieben sind. Um diesen Risiken entgegenzuwirken, gibt es mittlerweile eine gezielte Initiative, Software zu entwickeln, die von Grund auf sicher gestaltet (Secure by Design) ist. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) hat beispielsweise eine Reihe von Maßnahmen skizziert, die Anbieter ergreifen können, um nachzuweisen, dass sie die „Secure by Design“-Prinzipien anwenden.

Ohne durchsetzbare Standards und klare Messgrößen können IT- und Sicherheitsverantwortliche schlecht beurteilen, ob und wie Anbieter den Secure-by-Design-Ansatz tatsächlich umsetzen. Folgende Punkten sollten Sie genauer betrachten:

Integration von „Secure by Design“-Praktiken in Risikobewertungen

Die Risikobewertung von Anbietern ist bei Unternehmen ein bewährtes Verfahren, um potenzielle Gefahren im Zusammenhang mit den Produkten und Aktivitäten eines Lieferanten zu identifizieren und zu bewerten. IT- und Sicherheitsverantwortliche können diesen Prozess nutzen, um sich auf Secure-by-Design-Prinzipien und -Praktiken zu konzentrieren, sagt Michael Riemer, Field Chief Information Security Officer bei Ivanti.

„Für uns als Softwarehersteller bedeutet das, dass wir die volle Verantwortung für unsere eigenen Produkte übernehmen“, sagt Michael Riemer. „Man betrachtet die gesamte Architektur der Lösung und berücksichtigt die Sicherheit in allen Bereichen, wie Architekturdesign, Speicherung, Konnektivität, Nutzung usw.“

Im Rahmen der Risikobewertung sollten Unternehmen auch erwägen, einen SOC-2-Typ-2-Report anzufordern. Diese Art der Bewertung schafft mehr Vertrauen in die Art und Weise,wie ein Anbieter Kundendaten und -informationen schützt. Es handelt sich um ein externes Cybersicherheitsaudit, bei dem die internen Sicherheitskontrollen und -praktiken des Anbieters über einen längeren Zeitraum hinweg bewertet werden.

Hier sind einige zentrale Fragen, die jeder Anbieter beantworten können sollte:

Wie häufig führen Sie Penetrationstests durch?
Welche Arten von Penetrationstests werden durchgeführt?
Führen Sie sowohl statische als auch dynamische Code-Analysen durch?

Bewertung der Kodierungspraktiken

„Traditionelle Kodierungspraktiken folgen oft einem sequenziellen Ansatz: Ein Team arbeitet an einem Modul und übergibt es anschließend an das nächste Team. Dieser Ansatz führt jedoch dazu, dass Schwachstellen in der Codebasis unentdeckt bleiben können“, sagt Michael Riemer von Ivanti. „Die Umstrukturierung von Teams in „Pods“ oder Gruppen, mit jeweils eigenen Sicherheitsarchitekten, ermöglicht es, Schwachstellen von Anfang an zu identifizieren und zu beseitigen. Für Ivanti war dies eine große Veränderung“, berichtet Michael Riemer. „Die Zulieferer sollten in der Lage sein, diese organisatorischen Veränderungen und neuen Praktiken nachzuweisen.“

Bewertung der „Secure by Design“-Transparenz

Anbieter sollten ihre „Secure by Design“-Ziele transparent kommunizieren und belegen können, dass sie regelmäßig über entsprechende Metriken reporten oder dies in Zukunft planen. Gleichzeitig sollten Kunden die Fortschritte des Anbieters über dessen Softwaremodule tracken können.

„Wir haben uns konkrete Ziele gesetzt, eine Ausgangsbasis und Messgrößen festgelegt und haben seit Oktober 2024 vierteljährliche Aktualisierungen dieser Messgrößen veröffentlichen“, sagt Michael Riemer. „Wir verpflichten uns, unseren Fortschritt im Bereich Secure by Design konsequent zu tracken und voranzutreiben. Diese Metriken werden aufzeigen, welche Softwaremodule wir analysiert haben und wie gründlich diese Analysen durchgeführt wurden, um sicherheitsrelevante Kodierungspraktiken zu erkennen und zu beheben.“

Fazit

Unternehmens- und IT-Führungskräfte können die "Secure by Design"-Prinzipien nutzen, um die Fortschritte ihrer Softwarelieferanten bei der Entwicklung von inhärent sicherem Code zu bewerten. Durch ‚Secure by Design‘ können diese Führungskräfte Geschäftsrisiken effektiv verringern.

Wie CIOs und CISOs gemeinsam die Produktivität und Sicherheit ihrer Mitarbeitenden steigern können.

Mon, 24 Feb 2025 16:48:41 Z

Mit Genehmigung von CIO.com erneut veröffentlicht.

Viele Unternehmen kämpfen immer noch damit, sich an flexible Arbeitsanforderungen anzupassen und gleichzeitig die Cybersicherheit des Unternehmens zu gewährleisten. Ein wesentlicher Grund dafür ist, dass CIOs und CISOs nicht immer einer Meinung sind, wie produktives und sicheres Arbeiten ermöglicht werden kann.

Flexible Arbeitsanforderungen bedeuten Veränderungen sowohl für ITOps- als auch für SecOps-Teams. In der Praxis agieren IT- und Sicherheitsteams oft separat – ohne eine gemeinsame Basis in Sachen Wissen, Daten, Zielen, Prioritäten und Arbeitsweisen. Beide Teams konzentrieren sich somit auf ihre eigenen Prioritäten, was jedoch dazu führt, dass Daten zur Produktivität und Sicherheit der Mitarbeitenden in isolierten Systemen bleiben.

„Kunden berichten uns, dass die Mitarbeitenden in den Bereichen IT und Sicherheit zwar theoretisch aufeinander abgestimmt sind, dies jedoch oft nur auf der C-Ebene“, sagt Corinna Fulton, Vice President Solutions Marketing bei Ivanti. „Es dringt jedoch nicht bis in die einzelnen Abteilungen durch, sei es in der Führungsebene, bei den Prozessen oder ähnlichem. Und der CIO sowie der CISO erkennen diese Diskrepanz oft nicht einmal.“

Die fehlende Abstimmung auf der Führungsebene schafft eine Trennung, die sich negativ auf die Mitarbeitererfahrung auswirkt. Ivantis Everywhere Work Report 2024 fand heraus, dass 40 % der Büroangestellten und 49 % der IT-Beschäftigten einen Arbeitsplatzwechsel in Erwägung ziehen würden, um mehr Freiheit bei der Arbeitsgestaltung zu erhalten. Dies zeigt, wie wichtig Flexibilität am Arbeitsplatz ist – insbesondere für jüngere Mitarbeitende. Nur 57 % der Büroangestellten berichten, dass sie problemlos auf die gleichen Tools zugreifen könnten, wenn sie morgen von einem anderen Ort aus arbeiten müssten. Dabei sind über 90 % der Führungskräfte der Ansicht, dass ihre Remote-Mitarbeitenden alles haben, was sie für ihre Produktivität benötigen. Es liegt noch viel Arbeit vor IT- und Sicherheitsverantwortlichen, um die Anforderungen der Mitarbeitenden und Führungskräfte an flexibles Arbeiten zu erfüllen.

Diese fortwährende Uneinigkeit führt unweigerlich zu Frustration, Sicherheitsschwachstellen und suboptimaler Produktivität. „Letztlich wirkt sich dies auf den Umsatz aus“, erklärt Corinna Fulton. „Der CIO und der CISO möchten verhindern, dass es so weit kommt.“

Wie CIOs und CISOs eine effektive Partnerschaft aufbauen können

Zur Integration von IT- und Sicherheitsstrategien und zur Förderung eines sicheren, produktiven und flexiblen Arbeitsumfelds können diese Führungskräfte mit sechs wesentlichen Maßnahmen starten:

Ermittlung der tatsächlichen Risiken im Zusammenhang mit flexibler Arbeit. Vor dem Hintergrund der Risikobereitschaft des Unternehmens sollten CIOs und CISOs klären, wie hoch das akzeptable Risiko ist, wie es minimiert werden kann und welche Prozesse zur Risikominderung gemeinsam festgelegt werden können. Diese Vereinbarung bildet die Grundlage für die Harmonisierung von IT- und Sicherheitszielen sowie -prioritäten, erklärt Corinna Fulton.
Festlegen gemeinsamer konkreter Standards und Metriken. Auf diese Weise können die Risiken des flexiblen Arbeitens bewertet werden. Ein einfaches Beispiel ist die „Lösungszeit“, die den Zeitraum von der Identifizierung eines Risikos (durch SecOps) bis zur vollständigen Behebung (durch ITOps) umfasst. Gemeinsames Handeln sorgt dafür, dass Führungskräfte koordiniert und effektiv reagieren können.
Bestandsaufnahmen der flexiblen Arbeitsinfrastruktur. Laut Corinna Fulton hat sich das IT-Asset-Management von einer bloßen Bestandsaufnahme zu einem Produktivitäts- und Sicherheitsfaktor entwickelt. Mit dem Wissen um den eigenen IT-Bestand lassen sich Schwachstellen frühzeitig identifizieren und gezielt beheben.
Abbau von Datensilos. Die Sichtbarkeit der wichtigsten Datenquellen ist von zentraler Bedeutung, damit IT- und Sicherheitsteams auf einen gemeinsamen Pool von Daten zugreifen können, die für die Produktivität und Sicherheit der Mitarbeitenden relevant sind. Bauen Sie so die Datensilos schrittweise ab..
Erstellung einer gemeinsamen Roadmap für IT-Sicherheit. Entscheiden Sie, wie und wann die gemeinsamen Ziele und Prioritäten umgesetzt werden sollen. Kommunizieren Sie diese Roadmap anschließend an beide Teams, um deren Verständnis zu fördern und sicherzustellen, dass alle auf dieselben Ziele hinarbeiten.
Berücksichtigung der Auswirkungen auf die Mitarbeitenden. Berücksichtigen Sie die Auswirkungen, die IT- und Sicherheitsrichtlinien auf die Mitarbeitenden haben. Die Ausrichtung auf die Bedürfnisse und Vorlieben der User ist der Schlüssel zur Optimierung der Mitarbeiterproduktivität und der Unternehmenssicherheit.

Fazit

CIOs und CISOs können aktiv Hindernisse für produktives und sicheres Arbeiten beseitigen, indem sie eine einheitliche Strategie und Struktur entwickeln, die eine erfolgreiche Zusammenarbeit innerhalb der Unternehmen ermöglicht.

Risikobereitschaft verstehen – ein wichtiger Bestandteil des Risikomanagements

Mon, 10 Feb 2025 14:44:03 Z

Risiken gehören zu jedem Unternehmen. Entscheidend ist, wie ein Unternehmen sie versteht und steuert.

Von operativen Herausforderungen bis hin zu Marktvolatilität, regulatorischen Veränderungen und technologischen Fortschritten sind Unternehmen mit einem Spektrum von Unsicherheiten konfrontiert, die entweder Wachstum generieren oder zu Verlusten führen können.

Um sie effektiv zu verwalten, muss ein Unternehmen ein Framework festlegen, das ihm hilft, zu bestimmen, wie viel Risiko es bereit ist, für seine Ziele zu akzeptieren. An dieser Stelle kommt das Konzept der „Risikobereitschaft“ ins Spiel.

Aber um seine Risikobereitschaft zu definieren, muss ein Unternehmen alle Risiken erkennen und verstehen, denen es ausgesetzt ist. Und für Sicherheitsteams, die den Grundstein für ihre Exposure Management-Strategie legen, ist die Definition der Risikobereitschaft ihres Unternehmens ein entscheidender Schritt.

Was ist Risikobereitschaft?

Risikobereitschaft bezeichnet das Maß an Risiko, das ein Unternehmen zur Erreichung seiner Ziele bereit ist, einzugehen. Die Definition setzt dem Unternehmen Grenzen in Bezug darauf, welche Risiken es in welchem Ausmaß eingehen wird. Eine hohe Risikobereitschaft bedeutet, dass man bereit ist, größere Risiken für möglicherweise höhere Belohnungen in Kauf zu nehmen, während eine niedrige Risikobereitschaft bedeutet, dass das Unternehmen es vorzieht, das Risiko so weit wie möglich zu reduzieren.

Stellen Sie sich ein Startup vor, das in wegweisende Forschung und Entwicklung investiert. Um bahnbrechende, disruptive Innovationen zu ermöglichen, nimmt es bewusst ein höheres Risiko in Kauf – in der Überzeugung, dass der potenzielle Erfolg die Unsicherheit rechtfertigt. Ein großes, etabliertes Unternehmen hingegen agiert meist vorsichtiger: Es setzt auf kontinuierliches Wachstum und meidet Vorhaben, die seine Marktstellung oder seine Reputation ernsthaft gefährden könnten

Die Risikobereitschaft ist sowohl quantitativ als auch qualitativ

Die Risikobereitschaft ist niemals statisch. Sie ist ein dynamisches Maß, das auf der Grundlage von Faktoren wie Branche, Unternehmensgröße und -gesundheit, strategischen Zielen, regulatorischen Anforderungen und dem allgemeinen Marktumfeld angepasst werden sollte.

Es geht auch nicht nur um Zahlen: Die Risikobereitschaft ist eine Mischung aus quantitativen und qualitativen Faktoren.

Einerseits kann ein Unternehmen messbare Kriterien haben, wie z.B. die Höhe der Verluste, die es zu tolerieren bereit ist, den Verschuldungsgrad und die angestrebte Kapitalrendite (Return on Investment, ROI). Es können auch subjektive Aspekte zu berücksichtigen sein, wie z.B. die potenziellen Auswirkungen auf die Reputation des Unternehmens, ethische Erwägungen und die Frage, inwieweit seine Entscheidungen mit seinen Grundwerten übereinstimmen.

Warum ist es wichtig, die Risikobereitschaft zu definieren?

Fast jedes Unternehmen, das erfolgreich sein will, muss kalkulierte Risiken eingehen. Aber ohne ein klares Verständnis seiner Risikobereitschaft kann es zu inkonsistenten, reaktiven oder übermäßig vorsichtigen Entscheidungen kommen. Das kann zu verpassten Chancen oder Geschäftseinbußen führen. Deshalb ist die Definition der Risikobereitschaft essenziell:

Strategie und Risikomanagement aufeinander abstimmen

Eine klar definierte Risikobereitschaft schafft einen strategischen Rahmen, der das Risikomanagement mit den übergeordneten Unternehmenszielen in Einklang bringt. Wenn ein Unternehmen weiß, wie viel Risiko es bereit ist zu akzeptieren, kann es gezielt Chancen ergreifen, die zu seiner Risikobereitschaft passen – und gleichzeitig solche vermeiden, die ein unangemessen hohes Risiko bergen.

Entscheidungsfindung verbessern

Die Definition der Risikobereitschaft ermöglicht es Führungskräften und Managern, fundierte Entscheidungen zu treffen, da sie genau wissen, was ein akzeptables Risiko darstellt. Sie legt auch die Erwartungen an die Risikobereitschaft und die Risikovermeidung im gesamten Unternehmen fest und hilft den Managern bei der Bewertung von Kompromissen zwischen Risiko und Prämie in verschiedenen Szenarien.

Vertrauen bei den Stakeholdern aufbauen

Eine klar definierte Risikobereitschaft gibt Investoren, Aufsichtsbehörden, Mitarbeitenden und anderen Stakeholdern die Gewissheit, dass das Unternehmen dem Risikomanagement Priorität einräumt. Sie zeigt auch einen methodischen, vertrauenswürdigen Ansatz, um Risiko und Belohnung gegeneinander abzuwägen, was das Vertrauen der Stakeholder weiter stärkt.

Konsistenz fördern

Wenn allen Mitarbeitenden im Unternehmen klar ist, welches Maß an Risiko vertretbar ist, fördert das konsistente Entscheidungen und ein abgestimmtes Vorgehen. Alle wissen, was als akzeptables Risiko gilt – die Wahrscheinlichkeit sinkt, dass Abteilungen aneinander vorbeiarbeiten oder sogar in entgegengesetzte Richtungen steuern. So könnte etwa die Rechtsabteilung ein ambitioniertes Vorhaben des Marketingteams ausbremsen, wenn kein gemeinsames Verständnis darüber besteht, welches Risiko tragbar ist.

Effektive Risikoüberwachung unterstützen

Wenn Unternehmen ihre Risikobereitschaft definieren, können sie Systeme einrichten, um das Risikoniveau im gesamten Unternehmen zu überwachen, von den Finanzen bis zum operativen Geschäft. So sind können sie potenzielle Probleme frühzeitig erkennen und sicherstellen, dass die Aktivitäten innerhalb der Grenzen dessen bleiben, was als sicher – oder zumindest akzeptabel – angesehen wird. Das Festlegen und Überwachen von Schlüssel-Risiko-Indikatoren (KRIs) liefert Frühwarnungen, wenn sich jemand diesen Grenzen zu sehr nähert.

Wie definiert ein Unternehmen seine Risikobereitschaft?

In der Regel tut ein Unternehmen dies, indem es eine Erklärung zur Risikobereitschaft (Risk Appetite Statement, RAS) verfasst. In den ersten Teilen eines RAS werden die strategischen Ziele des Unternehmens und die damit verbundenen Risiken dargelegt.

Ein Unternehmen möchte vielleicht der führende Softwareanbieter in seiner Branche werden. Sie sollten die strategischen Ziele auflisten, die für die Erreichung dieses Ziels entscheidend sind, und auch die damit verbundenen Risiken auflisten. Ivanti zum Beispiel bietet Cloud-basierte IT-Dienste und Sicherheitsmanagement-Lösungen an. Das bedeutet, dass im Rahmen unserer Risikobereitschaft alle mit diesem Geschäftsbereich verbundenen Risiken erfasst und dokumentiert werden müssen – einschließlich einer klaren Darstellung, wie wir mit diesen Risiken umgehen wollen.

Hier ist ein Beispiel dafür, wie ein Abschnitt einer Erklärung zur Risikobereitschaft für einen Softwareanbieter aussehen könnte:

Generelle Risikobereitschaft

[Unternehmen XYZ] verfolgt einen ausgewogenen Ansatz in Bezug auf Risiken und erkennt an, dass nicht alle Risiken gleich sind und dass ein gewisses Maß an Risiko notwendig ist, um unsere strategischen Ziele zu erreichen.

Innovationsrisiken Wir sind sehr risikobereit, wenn es darum geht, in fortschrittliche Technologien und innovative Lösungen zu investieren, die unsere Produkte von denen der Konkurrenz abheben. Wir sind uns bewusst, dass dies bedeutet, dass wir ein gewisses Maß an Ungewissheit bei der Forschung und Entwicklung und der Produktentwicklung in Kauf nehmen müssen.

Operative Risiken Wir haben eine geringe bis moderate Risikobereitschaft. Bei unserem Streben nach operativer Exzellenz setzen wir auf Initiativen, die die Effizienz und Servicequalität verbessern, ohne unsere Lieferstandards zu beeinträchtigen.

Sicherheitsrisiken Wir haben eine extrem geringe Risikobereitschaft für Sicherheitsbedrohungen und -verletzungen. Unser Engagement für Netzwerksicherheit und Datenschutz ist von höchster Bedeutung, und wir investieren viel in den Schutz unserer Systeme und der Daten unserer Kunden.

Compliance-Risiken Wir haben eine geringe Risikobereitschaft für die Nichteinhaltung von rechtlichen und regulatorischen Anforderungen. Die Einhaltung einschlägiger Gesetze, Standards und bewährter Verfahren in allen operativen Bereichen ist von entscheidender Bedeutung.

Generelle Risikobereitschaft [Unternehmen XYZ] verfolgt einen ausgewogenen Ansatz in Bezug auf Risiken und erkennt an, dass nicht alle Risiken gleich sind und dass ein gewisses Maß an Risiko notwendig ist, um unsere strategischen Ziele zu erreichen.
Innovationsrisiken	Wir sind sehr risikobereit, wenn es darum geht, in fortschrittliche Technologien und innovative Lösungen zu investieren, die unsere Produkte von denen der Konkurrenz abheben. Wir sind uns bewusst, dass dies bedeutet, dass wir ein gewisses Maß an Ungewissheit bei der Forschung und Entwicklung und der Produktentwicklung in Kauf nehmen müssen.
Operative Risiken	Wir haben eine geringe bis moderate Risikobereitschaft. Bei unserem Streben nach operativer Exzellenz setzen wir auf Initiativen, die die Effizienz und Servicequalität verbessern, ohne unsere Lieferstandards zu beeinträchtigen.
Sicherheitsrisiken	Wir haben eine extrem geringe Risikobereitschaft für Sicherheitsbedrohungen und -verletzungen. Unser Engagement für Netzwerksicherheit und Datenschutz ist von höchster Bedeutung, und wir investieren viel in den Schutz unserer Systeme und der Daten unserer Kunden.
Compliance-Risiken	Wir haben eine geringe Risikobereitschaft für die Nichteinhaltung von rechtlichen und regulatorischen Anforderungen. Die Einhaltung einschlägiger Gesetze, Standards und bewährter Verfahren in allen operativen Bereichen ist von entscheidender Bedeutung.

Das RAS sollte die Risiken definieren, die die größten Auswirkungen auf das Unternehmen haben würden, und nicht die alltäglichen Risiken, die einfach zum Geschäft gehören. Sie sollte mehrere Risikoszenarien berücksichtigen. So kann eine bestimmte Strategie beispielsweise Risiken in der Lieferkette mit sich bringen, wie z.B. die Auswirkungen der Bindung an einen Lieferanten oder die Gefahren der Regulierung, wenn ein Lieferant mit Kundendaten falsch umgeht.

Sie sollte auch die Höhe des finanziellen Risikos festlegen, das ein Unternehmen bereit ist, einzugehen. Wenn das Ziel darin besteht, ein neues Produkt oder eine neue Dienstleistung anzubieten, besteht immer die Gefahr, dass es auf dem Markt scheitert.

Komponenten der Risikobereitschaft

Dies sind die Schlüsselfaktoren, die bei der Festlegung der Risikobereitschaft berücksichtigt werden müssen:

Risikokapazität

Dies bezieht sich auf die maximale Menge an Risiko, die eine Organisation tragen kann. Dies hängt von den finanziellen Ressourcen, den operativen Fähigkeiten und den gesetzlichen Auflagen ab. Und die Risikokapazität unterscheidet sich von der Risikobereitschaft: Ein Unternehmen kann die Kapazität haben, ein bestimmtes Risikoniveau einzugehen, sich aber auf der Grundlage seiner Risikobereitschaft dagegen entscheiden.

Risikotoleranz

Während es bei der Risikokapazität darum geht, wie viel Risiko ein Unternehmen verkraften kann, ist die Risikotoleranz eine akzeptable Abweichung von diesem Ziel. Es kann sogar unterschiedliche Toleranzen für verschiedene Bereiche festlegen. Ein Unternehmen kann zum Beispiel gut darin sein, ein neues Produkt zu wagen, aber risikoscheu bei der Verwaltung von Kundendaten.

Risikogrenzen

Wir haben die Risikoüberwachung und die Key Risk Indicators (KRIs) bereits erwähnt, da sie dazu dienen, ein Unternehmen davor zu bewahren, Risikogrenzen zu überschreiten - die „roten Linien“, die ein zu hohes Risiko darstellen. Das Überschreiten einer Risikoschwelle könnte eine Änderung der Pläne, erhöhte Sicherheitsmaßnahmen oder sogar einen kompletten Stopp der Aktivitäten erfordern.

Mehr zum Thema: Ivanti Forschungsreport: Unterschiedliche Sichtweisen aufeinander abstimmen: Cyber-Risikomanagement in der C-Suite

Warum ist die Risikobereitschaft beim Exposure Management wichtig?

Früher war es viel einfacher, digitale Risiken zu minimieren als heute. Das liegt daran, dass sich die Angriffsflächen der meisten großen Unternehmen im Laufe der Zeit stark vergrößert haben. Immer mehr Geräte und Anwendungen, die von den Mitarbeitenden an immer mehr Orten genutzt werden, haben den Arbeitsplatz verändert und die digitale Bedrohungslandschaft erweitert.

Das ist einer der Gründe, warum die Ivanti-Untersuchung herausfand, dass mehr als die Hälfte der IT-Experten nicht sehr zuversichtlich sind, dass sie in den nächsten 12 Monaten einen schädlichen Sicherheitsvorfall verhindern können. Mehr als jeder Dritte gibt sogar an, dass er weniger gut darauf vorbereitet ist, Bedrohungen zu erkennen und auf Vorfälle zu reagieren als noch vor einem Jahr.

Das traditionelle Schwachstellenmanagement konzentriert sich seit Langem auf die reaktive Behebung von Schwachstellen in Software und Hardware und anderen CVEs, führt aber in der Regel nur sporadische Scans durch. Aber das heutige Cyberbedrohungsszenario erfordert einen neuen Ansatz.

Modernes Exposure Management konzentriert sich auf die kontinuierliche, proaktive Erkennung und Behebung von Risiken und Schwachstellen über die gesamte digitale Angriffsfläche hinweg. Unabhängig davon, ob sie von exponierten IT-Assets, ungesicherten Endgeräten und Anwendungen, cloudbasierten Ressourcen oder anderen Vektoren ausgehen. Warum sind Exposure Management und Risikobereitschaft so eng miteinander verknüpft?

Bewertung des Exposures anhand akzeptabler Risikowerte: Das Exposure-Management umfasst die Quantifizierung der mit verschiedenen Exposures verbundenen Risikowerte. Durch die Definition akzeptabler Risiken können Unternehmen die möglichen Auswirkungen verschiedener Risiken mit ihrer Risikobereitschaft vergleichen.
Risikobasierter Einsatz von Ressourcen: Unternehmen müssen priorisieren, welche Risiken die größte Gefahr für ihre Strategien darstellen – eine Einschätzung, die sie nur mit einem klaren Verständnis ihrer Risikobereitschaft treffen können. Durch diese Priorisierung können sie ihre Ressourcen auf die Minderung der kritischsten Risiken konzentrieren, häufig mithilfe eines fortschrittlichen RBVM-Tools.
Risikobereitschaft anpassen: Wenn sich das Geschäftsumfeld verändert oder neue Risiken auftreten, muss die Risikobereitschaft möglicherweise angepasst werden. Die Daten und Erkenntnisse, die Unternehmen im Rahmen ihres Risikomanagements gewinnen, helfen ihnen, fundierte Entscheidungen über solche Anpassungen zu treffen.
Compliance sicherstellen: In vielen Branchen gelten regulatorische Anforderungen zum Risikomanagement, die sich wiederum auf die Risikobereitschaft eines Unternehmens auswirken. Das Risikomanagement umfasst die Identifizierung und Bewältigung von Risiken, die zu Verstößen führen könnten.

Mehr zum Thema: Ivanti-Forschungsreport: Attack Surface Management – ASM

Betrachtung von Sicherheitsrisiken aus der Perspektive des Exposure Managements

Ein wesentlicher Unterschied zwischen dem Exposure Management und anderen Sicherheitsmaßnahmen besteht darin, dass das Exposure Management nicht nur die Priorisierung der Risiken umfasst, die das größte Risiko für das Unternehmen darstellen, sondern auch die aktive Definition der Risiken, die innerhalb der Risikotoleranz eines Unternehmens liegen. Beispielsweise könnte ein E-Commerce-Unternehmen bereit sein, erhöhte Sicherheitsrisiken in Kauf zu nehmen, um seine Website am Black Friday funktionsfähig zu halten – dieser Kompromiss lohnt sich für das Unternehmen.

Anstatt jedes potenzielle Risiko als Krise zu betrachten, die sofort behoben werden muss, sollten Unternehmen diese Risiken anhand der geschäftlichen Anforderungen priorisieren. In diesem Rahmen ist Risiko nicht per se negativ – entscheidend ist, wie man darauf reagiert, es steuert und eindämmt, um es auf ein vertretbares Maß zu bringen.

Best Practices für KI-Cybersicherheit: Bewältigung einer zweischneidigen Herausforderung

Thu, 17 Oct 2024 12:28:03 Z

Künstliche Intelligenz zeigt bereits ihr Potenzial, nahezu jeden Bereich der Cybersicherheit grundlegend zu verändern – sowohl im positiven als auch im negativen Sinne.

KI ist das sprichwörtliche zweischneidige Schwert: Sie kann einerseits als mächtiges Werkzeug zur Schaffung robuster Cybersicherheitsmaßnahmen dienen, andererseits aber auch als gefährliche Waffe zur Kompromittierung dieser Maßnahmen eingesetzt werden.

Warum ist KI-Sicherheit wichtig?

Angesichts der allgegenwärtigen Präsenz verschiedener KI-Iterationen in der globalen Wirtschaft liegt es in der Verantwortung von Unternehmen, die Chancen und Herausforderungen der KI-Cybersicherheit zu verstehen. Die missbräuchliche Nutzung durch böswillige Akteure sorgt bereits jetzt für Besorgnis

Laut McKinsey stieg die Einführung von KI in Unternehmen im Jahr 2024 auf 72 %, verglichen mit etwa 50 % in den Vorjahren in verschiedenen Regionen und Branchen. Die komplexe Natur und der enorme Datenbedarf von KI-Systemen machen sie jedoch auch zu Hauptzielen von Cyberangriffen. Eingabedaten können etwa für KI-Systeme bei gegnerischen Angriffen geschickt manipuliert werden, um falsche oder schädliche Ergebnisse zu erzielen.

Eine kompromittierte KI kann katastrophale Folgen haben, darunter Datenschutzverletzungen, finanzieller Verlust, Rufschädigung und sogar körperliche Schäden. Die Gefahr des Missbrauchs ist immens und unterstreicht die dringende Notwendigkeit solider KI-Sicherheitsmaßnahmen.

Eine Studie des World Economic Forum ergab, dass sich fast die Hälfte der Führungskräfte am meisten darüber Sorgen macht, wie KI das Risiko von Bedrohungen wie Phishing erhöhen wird. Der Cybersicherheitsbericht 2024 von Ivanti bestätigte diese Bedenken.

Trotz der Risiken ergab derselbe Ivanti-Bericht, dass IT- und Sicherheitsexperten die Auswirkungen der KI-Cybersicherheit weitgehend optimistisch einschätzen. Fast die Hälfte (46 %) ist überzeugt, dass es einen positiven Nettoeffekt gibt, während 44 % glauben, dass die Auswirkungen weder positiv noch negativ sein werden.

Weiterlesen: Bericht über den Stand der Cybersicherheit 2024 – Wendepunkt

Potenzielle KI-Cyberbedrohungen

KI führt neue Angriffsvektoren ein, die spezifische Abwehrmaßnahmen erfordern. Beispiele hierfür sind:

Hacking von Webseiten: Forscher haben herausgefunden, dass das große Sprachmodell von OpenAI als KI-Hacking-Agent umfunktioniert werden kann, der in der Lage ist, Webseiten autonom anzugreifen. Internetbetrüger brauchen keine Hacking-Fähigkeiten, sondern nur die Fähigkeit, die KI richtig dazu zu bringen, ihre schmutzige Arbeit zu erledigen.
Datenvergiftung: Angreifer können die Daten manipulieren, die zum Trainieren von KI-Modellen verwendet werden, sodass diese nicht mehr richtig funktionieren. Dies könnte das Einfügen gefälschter Datenpunkte beinhalten, die das Modell beeinflussen, um falsche Muster zu erlernen oder nicht vorhandene Bedrohungen zu priorisieren, oder das subtile Modifizieren vorhandener Datenpunkte, um das KI-Modell auf Ergebnisse auszurichten, die dem Angreifer zugutekommen.
Umgehungstechniken: KI könnte zur Entwicklung von Techniken verwendet werden, die der Erkennung durch Sicherheitssysteme entgehen, wie z. B. die Erstellung von E-Mails oder Malware, die für Menschen nicht verdächtig aussehen, aber Schwachstellen auslösen oder Sicherheitsfilter umgehen.
Fortgeschrittenes Social Engineering: Da eine KI große Datenmengen analysieren kann, kann sie Ziele anhand bestimmter Kriterien identifizieren, z. B. anhand von Schwachstellen in der Vergangenheit oder der Anfälligkeit für bestimmte Betrugsmaschen. Dann kann sie einen Angriff automatisieren und personalisieren, indem sie relevante Informationen aus Social-Media-Profilen oder früheren Interaktionen verwendet, damit der Angriff glaubwürdiger wird und den Empfänger eher täuscht. Außerdem kann eine generative KI Phishing-Nachrichten verfassen, die keine Grammatik- oder Stilfehler enthalten und daher glaubwürdig wirken.
Denial-of-Service-Angriffe (DoS): KI kann zur Orchestrierung großangelegter DoS-Angriffe eingesetzt werden, die schwieriger abzuwehren sind. Durch die Analyse von Netzwerkkonfigurationen können Schwachstellen erkannt und Botnets effektiver verwaltet werden, während sie versuchen, ein System mit Datenverkehr zu überlasten.
Deepfakes: KI kann überzeugende visuelle oder akustische Imitationen von Menschen für Identitätsdiebstahl erzeugen. Es könnte etwa die Stimme eines leitenden Angestellten imitieren, um Mitarbeitende dazu zu bringen, Geld auf betrügerische Konten zu überweisen, sensible Informationen wie Passwörter oder Zugangscodes weiterzugeben oder nicht autorisierte Rechnungen oder Transaktionen zu genehmigen. Wenn ein Unternehmen Spracherkennung in seinen Sicherheitssystemen einsetzt, könnte ein gut gemachter Deepfake diese Sicherheitsvorkehrungen überlisten und auf sichere Bereiche oder Daten zugreifen. Ein Unternehmen in Hongkong wurde durch einen Deepfake-Betrug um 26 Millionen Dollar erleichtert.

Eine subtile Bedrohung, die von KI ausgeht, ist Bequemlichkeit. Es besteht immer die Gefahr, dass man sich zu sehr auf KI-Systeme verlässt, was zu Nachlässigkeit bei der Überwachung und Aktualisierung führen kann. Eine der wichtigsten Maßnahmen zum Schutz eines Unternehmens vor KI-Problemen ist die kontinuierliche Schulung und Überwachung, unabhängig davon, ob KI im Bereich der Cybersicherheit oder in anderen Bereichen eingesetzt wird. Um sicherzustellen, dass die KI im besten Interesse des Unternehmens arbeitet, ist ständige Wachsamkeit erforderlich.

Video: Generative KI für Informationssicherheit und Hacker: Was Sicherheitsteams wissen müssen

Vorteile der KI-Cybersicherheit

Lösungen im Bereich der KI-Cybersicherheit bieten einem Unternehmen auf folgende Weise den größten Mehrwert:

Verbesserte Bedrohungserkennung

KI ist hervorragend darin, Muster in riesigen Datensätzen zu erkennen, um Anomalien, die auf Cyberangriffe hinweisen, mit beispielloser Genauigkeit zu erkennen. Während menschliche Analysten mit der Datenmenge oder den Warnmeldungen überfordert wären, verbessert KI die Früherkennung und Reaktion.

Verbesserte Reaktion auf Vorfälle

KI kann Routineaufgaben bei der Reaktion auf Vorfälle automatisieren, wodurch die Reaktionszeiten verkürzt und menschliche Fehler minimiert werden. Durch die Analyse vergangener Vorfälle kann KI auch potenzielle Angriffsvektoren vorhersagen, sodass Unternehmen ihre Abwehrmaßnahmen verstärken können.

Risikobewertung und -priorisierung

KI kann die Sicherheitslage eines Unternehmens bewerten, Schwachstellen identifizieren und die Priorisierung von Abhilfemaßnahmen. Dies hilft, die Ressourcenverteilung zu optimieren und sich auf kritische Bereiche zu konzentrieren.

Sicherheitsüberlegungen für verschiedene Arten von KI

Die mit KI verbundenen Sicherheitsherausforderungen variieren je nach Art der eingesetzten KI.

Wenn ein Unternehmen generative KI einsetzt, sollte es besonderes Augenmerk auf den Schutz der Trainingsdaten legen, Manipulationen am Modell verhindern und geistiges Eigentum sichern.

Bei schwacher (oder „eingeschränkter“) KI wie Chatbots im Kundensupport, Empfehlungssystemen (wie Netflix), Bilderkennungssoftware, Fließband- und Operationsrobotern sollte das Unternehmen der Datensicherheit, der Robustheit gegenüber Angriffen und der Erklärbarkeit Priorität einräumen.

Autonome „starke“ KI (auch bekannt als Artificial General Intelligence – AGI) ist bislang noch ein Konzept in Entwicklung und existiert derzeit nicht. Sollte es jedoch Realität werden, müssen Unternehmen ihren Fokus auf robuste Kontrollmechanismen legen und sich intensiv mit existenziellen Risiken sowie den ethischen Auswirkungen auseinandersetzen.

Video: Wie man das IT-Servicemanagement mit generativer KI transformiert

Neueste Entwicklungen in der KI-Cybersicherheit

Die rasante Entwicklung der KI fördert auch bedeutende Fortschritte in der KI-gestützten Cybersicherheit, darunter:

Generative KI-Bedrohungsmodellierung: KI-Cybersicherheitstools können Angriffsszenarien simulieren, um Unternehmen dabei zu helfen, Schwachstellen proaktiv zu finden und zu reparieren.
KI-gestützte Bedrohungssuche: KI kann Netzwerkverkehr und Systemprotokolle analysieren, um böswillige Aktivitäten und potenzielle Bedrohungen zu erkennen.
Automatisierte Reaktion auf Vorfälle: KI-Cybersicherheitslösungen können routinemäßige Aufgaben zur Reaktion auf Vorfälle automatisieren, wie z. B. die Isolierung kompromittierter Systeme und die Eindämmung von Bedrohungen.
KI zur Bewertung von Schwachstellen: Kann Software-Code analysieren, um mögliche Schwachstellen zu finden, damit Entwickler sicherere Anwendungen erstellen können.

Kurse zur KI-Cybersicherheit

Investitionen in die KI-Cybersicherheit sind für die Weiterbildung von Arbeitskräften, die wissen, wie man diese Tools einsetzt, von entscheidender Bedeutung. Zahlreiche Online-Plattformen und Universitäten bieten Kurse zu verschiedenen Aspekten der KI-Sicherheit an, von Grundlagenwissen bis hin zu fortgeschrittenen Themen.

Führende Anbieter von Cybersicherheitslösungen bieten eine Vielzahl von Kursen und Schulungen an, um Ihrem Team die Fähigkeiten zu vermitteln, die es benötigt, um Ihre Plattform optimal zu nutzen.

Best Practices für die KI-Cybersicherheit

Die Umsetzung einer umfassenden Strategie zur praktischen Anwendung von KI für die Cybersicherheit ist essenziell.

1. Legen Sie Richtlinien für das Datenmanagement und den Datenschutz fest

Legen Sie zu Beginn des Adoptionsprozesses solide Richtlinien zur Datenverwaltung fest, die die Anonymisierung und Verschlüsselung von Daten und vieles mehr abdecken. Beziehen Sie alle relevanten Stakeholder in diesen Prozess ein.

2. Machen Sie Transparenz bei KI zur Pflicht

Entwickeln oder lizenzieren Sie KI-Modelle, die klare Erklärungen für Ihre Entscheidungen liefern können, anstatt „Black-Box“-Modelle zu verwenden. So können Sicherheitsexperten nachvollziehen, wie die KI zu ihren Schlussfolgerungen gelangt, und potenzielle Verzerrungen oder Fehler identifizieren. Diese „Glasbox“-Modelle werden von Fiddler AI, DarwinAI, H2O.ai und IBM Watson-Tools wie AI Fairness 360 und AI Explainability 360 bereitgestellt.

3. Legen Sie den Fokus auf ein starkes Datenmanagement

KI-Modelle sind auf die Qualität der für das Training verwendeten Daten angewiesen. Stellen Sie sicher, dass Sie vielfältige, genaue und aktuelle Daten verwenden, damit Ihre KI effektiv lernen und Bedrohungen erkennen kann.
Ergreifen Sie strenge Sicherheitsmaßnahmen, um die Daten zu schützen, die für die Schulung und den Betrieb eines KI-Modells verwendet werden, da einige davon möglicherweise sensibel sind. Jegliche Verstöße könnten das System gefährden, die Effektivität der KI beeinträchtigen oder Schwachstellen verursachen.
Achten Sie auf mögliche Verzerrungen in Ihren Trainingsdaten. Verzerrungen können dazu führen, dass die KI bestimmte Arten von Bedrohungen priorisiert oder andere übersieht. Überwachen und verringern Sie regelmäßig Verzerrungen, um sicherzustellen, dass Ihre KI objektive Entscheidungen trifft.

Mehr zum Thema: Die Bedeutung präziser Daten für die optimale Nutzung von KI

4. Rüsten Sie KI-Modelle mit „Adversarial Training“ aus

Setzen Sie KI-Modelle während der Trainingsphase böswilligen Eingaben aus, damit sie in der Lage sind, feindliche Angriffe wie Datenvergiftung zu erkennen und ihnen entgegenzuwirken.

5. Implementieren Sie eine kontinuierliche Überwachung

Führen Sie kontinuierliche Überwachungs- und Bedrohungserkennungssysteme durch, um Voreingenommenheit und Leistungsabfall zu erkennen.
Verwenden Sie Anomalieerkennungssysteme, um ungewöhnliches Verhalten in Ihren KI-Modellen oder Netzwerkverkehrsmustern zu erkennen und so potenzielle KI-Angriffe zu erkennen, die versuchen, Daten zu manipulieren oder Schwachstellen auszunutzen.
Trainieren Sie Ihre KI-Cybersicherheitsmodelle regelmäßig mit neuen Daten und aktualisieren Sie die Algorithmen, um sicherzustellen, dass sie auch gegen neu auftretende Bedrohungen wirksam bleiben.

6. Vernachlässigen SIe nicht den Faktor Menschen

KI ist nicht unfehlbar. Behalten Sie die menschliche Aufsicht bei, indem Sicherheitsexperten die KI-Ergebnisse überprüfen und validieren. So können potenzielle Verzerrungen, falsch positive Ergebnisse oder manipulierte Daten, die von der KI möglicherweise generiert werden, rechtzeitig erkannt werden.

7. Führen Sie regelmäßige Tests und Audits durch

Überprüfen Sie Ihre KI-Modelle regelmäßig auf Schwachstellen. Wie jede Software können auch KI-Cybersicherheitsprodukte Schwachstellen aufweisen, die Angreifer ausnutzen könnten. Es ist wichtig, sie sofort zu patchen.
KI-Modelle können Fehlalarme erzeugen und nicht vorhandene Bedrohungen identifizieren. Verwenden Sie Strategien, um Fehlalarme zu minimieren und zu vermeiden, dass Sicherheitsteams mit irrelevanten Warnmeldungen überhäuft werden.
Führen Sie regelmäßige Sicherheitstests Ihrer KI-Modelle durch, um Schwachstellen zu identifizieren, die Angreifer ausnutzen könnten. Penetrationstests, die speziell für KI-Systeme entwickelt wurden, können sehr wertvoll sein.

8. Erstellen Sie einen Notfallplan

Erstellen Sie einen umfassenden Plan zur Reaktion auf Vorfälle, um KI-bezogene Sicherheitsvorfälle effektiv zu bewältigen.

9. Stellen Sie die Schulung Ihrer Mitarbeitenden in den Vordergrund

Informieren Sie Ihre Mitarbeitenden über die mit KI verbundenen Risiken und darüber, wie Social-Engineering-Taktiken eingesetzt werden könnten, um sie dazu zu manipulieren, die Sicherheit von KI-Systemen oder Daten zu gefährden.
Führen Sie Red-Team-Übungen durch, die KI-gestützte Angriffe simulieren, um Ihre Sicherheitslage zu testen und Schwachstellen zu erkennen, die Angreifer ausnutzen könnten.
Arbeiten Sie mit Branchenexperten und Sicherheitsforschern zusammen, um über die neuesten KI-Bedrohungen und bewährte Verfahren zu deren Bekämpfung auf dem Laufenden zu bleiben.

10. Risikomanagement für KI von Drittanbietern einführen

Prüfen Sie die Sicherheitspraktiken von Drittanbietern von KI sorgfältig. Teilen sie Daten mit anderen Parteien oder verwenden sie öffentliche Datensätze? Befolgen sie die „Secure by Design“-Prinzipien?

11. Andere Best Practices

Integrieren Sie Ihre KI-Lösung in Feeds für Bedrohungsdaten, damit sie Echtzeit-Bedrohungsdaten einbeziehen und neuen Angriffsvektoren immer einen Schritt voraus sein kann.
Stellen Sie sicher, dass Ihre KI-Lösung den relevanten Branchenstandards und -vorschriften entspricht. Dies ist in bestimmten Branchen vorgeschrieben. In der Automobil- und Fertigungsbranche muss eine KI beispielsweise die ISO 26262 für die funktionale Sicherheit von Kraftfahrzeugen, die Datenschutz-Grundverordnung (DSGVO) für den Datenschutz und die Richtlinien des National Institute of Standards and Technology einhalten. KI im Gesundheitswesen muss dem Health Insurance Portability and Accountability Act in den USA, der DSGVO in Europa und den FDA-Vorschriften für KI-basierte medizinische Geräte entsprechen.
Tracken Sie Kennzahlen wie Erkennungsraten von Bedrohungen, falsch-positive Ergebnisse und Reaktionszeiten. Auf diese Weise erfahren Sie, wie effektiv Ihre KI ist und in welchen Bereichen Verbesserungen möglich sind.

Erfolg durch einen ausgewogenen Ansatz

das sich in das spannende Feld der KI-gestützten Cybersicherheit wagt, ist ein ausgewogener Ansatz entscheidend. Nutzen Sie die vielfältigen Vorteile der KI, behalten Sie jedoch auch ihre Grenzen und potenziellen Sicherheitsrisiken im Blick.

Wie jede Technologie ist auch KI nicht von Natur aus gut oder schlecht; sie wird sowohl von wohlwollenden als auch von böswilligen Akteuren eingesetzt. Behandeln Sie KI immer wie jedes andere Tool: Schätzen Sie, was sie leisten kann, aber behalten Sie im Blick, was sie auch bewirken könnte.

Lesen Sie: Ivantis Einstellung zur künstlichen Intelligenz

Wie EASM Ihre Schwachstellen aufdeckt

Fri, 11 Oct 2024 13:26:38 Z

Mit wenigen Ausnahmen sind Unternehmen jeder Größe vom Internet abhängig. Daher ist es unerlässlich, die externe Angriffsfläche zu verwalten und zu schützen.

Die externe Angriffsfläche eines Unternehmens besteht aus der Gesamtheit der möglichen Einfallstore, über die ein unbefugter User auf eine IT-Umgebung zugreifen kann. Dies umfasst alles von Websites, Webanwendungen und APIs bis hin zu Remote-Zugriffspunkten und Cloud-Diensten.

Die Größe der Angriffsfläche hängt von der Art des einzelnen Unternehmens und dem Umfang ihres digitalen Fußabdrucks ab. Durch den Wechsel in die Cloud und die Vielzahl neuer digitaler Berührungspunkte haben sich die externen Angriffsflächen der meisten Unternehmen vergrößert.

Das externe Angriffsflächenmanagement (External Attack Surface Management – EASM) spielt eine große Rolle bei der Stärkung der Sicherheit von Unternehmen und der Minderung von Risiken. Da Sichtbarkeit die Grundlage für optimalen Schutz ist, bieten die EASM-Tools Unternehmen ein Verständnis für ihre externen Angriffsflächen, indem sie alle mit dem Internet verbundenen Assets identifizieren, klassifizieren und überwachen.

Auf diese Weise versorgen sie Cybersicherheitsteams mit den Informationen, die sie benötigen, um Schwachstellen zu beheben und sich präventiv vor potenziellen Bedrohungen zu schützen.

Weitere Informationen: Was ist eine Angriffsfläche?

Gründe für die Einführung von EASM

Es gibt mehrere Gründe, warum sich immer mehr Unternehmen für EASM-Lösungen entscheiden. Dazu gehören die alarmierenden Beispiele vergangener Misserfolge.

So nutzte beispielsweise der WannaCry-Angriff im Jahr 2017 die Schwachstelle EternalBlue in Microsoft Windows aus und verschlüsselte Dateien auf rund 230.000 Computern weltweit. Und Hacker forderten Lösegeld in Bitcoin von prominenten Opfern, darunter Unternehmen wie Telefónica. Durch ein wirksames Management der externen Angriffsfläche hätte die Schwachstelle identifiziert und repariert werden können, wodurch Verstöße verhindert worden wären.

Eine kurze Bestandsaufnahme der Gründe für die zunehmende Akzeptanz von EASM:

Zunehmende Bedrohungen der Cybersicherheit: Seit WannaCry hat sich viel getan, da die Bedrohungen immer ausgefeilter und häufiger werden und Cyberkriminelle sich konstant weiterentwickeln, um Schwachstellen in Zugangskontrollen auszunutzen. EASM-Lösungen helfen Unternehmen, dies zu mildern, indem sie kontinuierlich überwachen, um proaktiv auf verdächtige Aktivitäten zu reagieren.
Immer komplexere IT-Umgebungen: Dazu gehören lokale Systeme, Cloud-Dienste, mobile Geräte und sogar die Nutzung von BYOD nach der Pandemie. Die Sicherung von Assets in so unterschiedlichen Umgebungen und die Einhaltung von Vorschriften sind ohne eine EASM-Lösung, die eine schnelle und zuverlässige Erkennung ermöglicht, eine Herausforderung.
Anforderungen an die Einhaltung von Vorschriften: Diese betreffen in erster Linie den Datenschutz und die Datensicherheit und werden immer strenger. Die Einhaltung von DSGVO, HIPAA, PCI DSS und anderen Vorschriften, die strenge Zugriffskontrollen, Offenlegung und Inventarisierung von Assets vorschreiben, ist schwierig. EASM-Lösungen bieten die Tools, die Unternehmen dabei helfen, bei Prüfern einen guten Eindruck zu hinterlassen.
Zunehmendes Risiko durch Drittanbieter: Viele Unternehmen verlassen sich auf Drittanbieter und Lieferanten, was jedoch zusätzliche Sicherheitsrisiken mit sich bringt. EASM-Lösungen helfen bei der Bewertung und Verwaltung der Sicherheitslage von Drittanbietern, der Überwachung ihrer externen Angriffsflächen und der Einhaltung von Sicherheitsstandards und -vorschriften.
Phishing- und Social-Engineering-Angriffe: Angreifer nutzen diese Techniken häufig, um externe Sicherheitslücken auszunutzen. EASM-Lösungen helfen Unternehmen dabei, Phishing-Domains zu überwachen, gefälschte Websites zu identifizieren und potenzielle Angriffe auf Mitarbeitende und Kunden zu erkennen.

Weitere Informationen: 8 bewährte Verfahren zur Reduzierung der Angriffsfläche Ihres Unternehmens

Das Wesentliche von EASM

Das externe Angriffsflächenmanagement beruht auf einem proaktiven Ansatz, während traditionelle Sicherheitsmaßnahmen erst dann auf Bedrohungen reagieren, wenn diese in ein System eingedrungen sind. EASM zielt darauf ab, unbefugten Zugriff im Voraus zu stoppen, indem fortschrittliche Tools eingesetzt werden, um die externe Angriffsfläche kontinuierlich auf Schwachstellen zu analysieren.

Die Einführung von EASM unterscheidet sich von der Integration eines Netzwerk- oder clientbasierten Sicherheitsprodukts, bei dem der Großteil der Umgebung bekannt ist. Das externe Angriffsflächenmanagement ist das Gegenteil: Sein Hauptanwendungsfall besteht darin, Unbekanntes zu entdecken und mehr darüber zu erfahren.

Ferner ist die EASM ein kontinuierlicher Prozess. Der digitale Fußabdruck eines Unternehmens entwickelt sich ständig weiter, da neue Dienste hinzugefügt und alte abgeschafft werden und die mit dem Internet verbundenen Assets dynamisch sind. Die externe Angriffsfläche variiert ebenfalls, was ständige Verwaltungs- und Sicherheitsupdates erforderlich macht.

Wie EASM Ihre Angriffsfläche reduziert

Der erste Schritt besteht darin, nach außen gerichtete Assets zu identifizieren. Eine leistungsfähige EASM-Lösung crawlt (also durchsucht) beispielsweise das Internet nach diesen, nachdem ein User einfach einen Seed-Domainnamen eingegeben hat.

Beachten Sie, dass „crawlen" der richtige Begriff ist, nicht „scannen“, da letzteres mit der Notwendigkeit einer Verbindung und Authentifizierung verbunden ist, um Assets zu entdecken. Im Fall von EASM liegt der Fokus auf allen öffentlich verfügbaren Daten und Assets.

Wenn diese Seed-Domain als Eingabe verwendet wird, führt ein EASM-Tool eine laterale und Sub-Domain-Ermittlung unter Verwendung öffentlich zugänglicher Quellen wie DNS, WHOIS, Certification Transparency Logs, Pressemitteilungen, Social-Media-Beiträge, Nachrichtenartikel, Blog-Beiträge und IP-ASN durch. Dies bietet eine umfassende Bestandsaufnahme aller Assets, die dem öffentlichen Internet ausgesetzt sind, unabhängig vom Netzwerk, Cloud-Anbieter oder Hosting-Konto.

Diese Grafik zeigt drei große Kategorien von Assets, die nach ihrer Sichtbarkeit und ihrem Exposure geordnet sind.

Die sichere Zone unten links ist der Bereich, in dem ein Unternehmen weiß, dass ein Asset existiert, auch wenn sie nicht sicher ist, ob es exponiert ist. Dies umfasst offizielle Domains, Subdomains, gültige Zertifikate usw.
Die nächste Zone ist weniger offensichtlich: Hier weiß ein Unternehmen möglicherweise, dass ein Asset vorhanden ist, weiß aber nicht, ob es exponiert ist, wie z. B. IPs auf der Sperrliste oder exponierte SSH-Instanzen.
Die Gefahrenzone ist der Bereich, in dem ein Unternehmen keine Kenntnis von einem Asset hat und daher auch nicht weiß, wie gefährdet es ist. Dies umfasst exponierte Entwicklungsumgebungen und Schatten-IT-Assets.

Eine gute EASM-Lösung kann einen schnellen und vollständigen Überblick über all diese Assets sowie Einblicke in ihre potenziellen Schwachstellen bieten. Sie kann bekannte Schwachstellen (CVEs), die auf NVD veröffentlicht wurden, sowie offene Ports, zahlreiche Softwareversionen, häufige Fehlkonfigurationen, Standardprüfungen von Anmeldeinformationen, geheime Schlüssel, ASNs, Programmier-Frameworks und vieles mehr identifizieren.

Wenn der Anbieter der Lösung für das externe Angriffsflächenmanagement eine Datenbank für Bedrohungsinformationen betreibt, kann er feststellen, welche dieser Schwachstellen kritisch sind und die größten Bedrohungen für ein Unternehmen darstellen, und diese werden dem User gemeldet.

Weitere Informationen: So ermitteln Sie die Angriffsfläche Ihres Unternehmens

Vorteile von EASM

Die Umsetzung einer effektiven EASM-Strategie und -Lösung bietet zahlreiche Vorteile:

Optimierte Cybersicherheit

Das Management externer Angriffsflächen reduziert das Risiko von Datenschutzverletzungen erheblich und schützt so sensible Informationen und das Vertrauen der Kunden. Außerdem hilft es einem Unternehmen, die mit diesen Verstößen verbundenen Kosten und Reputationsschäden zu vermeiden.

Verbesserte Compliance

Da immer mehr regulatorische und branchenübliche Compliance-Standards wie PCI, HIPAA und GDPR eingeführt werden, können die von EASM bereitgestellten Sicherheitsinformationen jegliche Verstöße aufdecken. Wenn ein Unternehmen beispielsweise die Geolokalisierung von Assets kennt, kann es die Einhaltung der Vorschriften in dieser Region sicherstellen.

Optimierte Sicherheitsabläufe

EASM kann Sicherheitsabläufe rationalisieren und optimieren, indem es einen klaren und präzisen Überblick über die externen Sicherheitslücken des Unternehmens bietet und so gezieltere und effizientere Sicherheitsmaßnahmen ermöglicht.

Risikomanagement durch Dritte

Unternehmen arbeiten oft mit einer Vielzahl von Drittparteien zusammen, darunter Lieferanten, Partner, Auftragnehmer und Berater. Eine EASM-Lösung kann Einblicke in die Lieferkettenrisiken und damit in die Bedrohungen für die Sicherheit eines Unternehmens bieten.

Bessere Lieferantenbeurteilung

Bevor ein Anbieter an Bord geholt wird, kann eine EASM-Lösung diskrete Berichte über das Cybersicherheitsrisiko des Anbieters erstellen. Eine Erweiterung dieses Anwendungsfalls ist die Durchführung einer Due-Diligence-Prüfung bei Fusionen und Übernahmen.

Sehen Sie es in Aktion: Ivanti Neurons for EASM

5 Wege zur sicheren Cloud

Mon, 16 Sep 2024 13:57:41 Z

Die Cloud zu nutzen ist für Unternehmen, die flexible Möglichkeiten zur Speicherung und Verwaltung von Anwendungen und komplexen Daten suchen, ohne an ein lokales Gerät und einen einzigen Standort gebunden zu sein, von entscheidender Bedeutung.

Die Cloud-Migration bietet viele überzeugende Vorteile, darunter:

Kostenersparnis durch den Wegfall erheblicher Vorabinvestitionen in Hardware.
Senkung der laufenden Wartungskosten.
Unterstützung eines nutzungsbasierten SaaS-Modells.
Skalierbare Ressourcen, angepasst an die aktuelle Unternehmensbedürfnisse
Optimierung der Infrastrukturausgaben.

Vorteile der Cloud als Treiber für die Einführung

Für überlastete IT-Teams erhöht die Einführung der Cloud die Flexibilität und Agilität und ermöglicht eine schnellere Bereitstellung von Anwendungen und Services. Sie bietet außerdem robuste Sicherheitsfunktionen, automatische Updates und Disaster-Recovery-Optionen, die die Datenintegrität und Geschäftskontinuität gewährleisten.

Die Cloud unterstützt die Zusammenarbeit und Remote-Arbeit, indem sie von überall aus Zugriff auf Daten und Anwendungen bietet und so Innovation und Produktivität fördert. Die Cloud-Migration von Unternehmen wird in diesem Jahr vermutlich nach weiter zunehmen. Laut IDC werden die weltweiten Ausgaben für öffentliche Cloud-Dienste im Jahr 2024 voraussichtlich 805 Milliarden US-Dollar erreichen und sich bis 2028 verdoppeln.

Die beschleunigte Einführung von Cloud-Lösungen wird durch die zunehmende Obsoleszenz von Vor-Ort-Lösungen und den Wunsch nach erhöhter Sicherheit vorangetrieben. Dieser Trend ist nicht auf kommerzielle Unternehmen beschränkt. Die US-Regierung hat die Cloud-Smart-Strategie eingeführt, um Bundesbehörden praktische Anleitungen zur umfassenden Nutzung von Cloud-Technologien zu bieten und gleichzeitig eine sichere und effiziente Umsetzung zu gewährleisten. Ferner schreibt die Executive Order 14028 die Nutzung sicherer Cloud-Services, Zero-Trust-Architektur, Multifaktor-Authentifizierung und Verschlüsselung vor. Diese Initiativen sollen die IT-Infrastruktur modernisieren, die Bereitstellung von Services verbessern und die Sicherheit von Daten und Systemen des Bundes gewährleisten.

Hauptgründe für Cloud-Migrationen

Aufgrund ihrer Skalierbarkeit, Flexibilität und Kosteneffizienz eignet sich die Cloud besonders gut für spezifische Anwendungen, darunter:

Webanwendungen: Die Cloud-Infrastruktur unterstützt eine dynamische Skalierung und ist daher ideal für Webanwendungen mit variablem Datenverkehr.
SaaS- und Streaming-Dienste: Allgegenwärtige Plattformen wie Netflix und Spotify nutzen die Cloud, um Millionen von Nutzern On-Demand-Inhalte jederzeit und ohne Unterbrechung bereitzustellen.
Tools für die Zusammenarbeit: Anwendungen wie Google Workspace und Microsoft 365 ermöglichen eine Zusammenarbeit und Remote-Arbeit in Echtzeit.
Softwareentwicklung und -tests: Entwickler können Umgebungen schnell einrichten und wieder entfernen, was agile Entwicklungsverfahren erleichtert.
Notfallwiederherstellung: Cloud-basierte Notfallwiederherstellungslösungen bieten im Vergleich zu herkömmlichen Methoden schnelle Wiederherstellungszeiten und Kosteneinsparungen.
Datenspeicherung und -sicherung: Cloud-Dienste bieten zuverlässige und skalierbare Speicherlösungen, die den Zugriff auf Daten und deren Sicherheit gewährleisten.
Big-Data-Analysen: Die Cloud bietet Zugriff auf die Rechenleistung, die für die effiziente Verarbeitung und Analyse großer Datenmengen erforderlich ist.

Sicherheitsherausforderungen und -lösungen bei einer Cloud-Migration

Eine Migration in die Cloud bietet viele Vorteile, wirft aber auch sicherheitsrelevante Fragen auf. Ein ausgewogenes Verhältnis zwischen Sicherheit und Zugänglichkeit in der Cloud herzustellen, ist essenziell, um geschäftskritische Anwendungen und Daten zu schützen und gleichzeitig eine positive Benutzererfahrung zu gewährleisten.

Unternehmen können diese fünf Strategien nutzen, um eine starke Sicherheitsarchitektur mit den Anforderungen an Barrierefreiheit zu vereinen:

1. Verfolgen Sie einen Zero-Trust-Ansatz für die Sicherheit

Dieses Modell geht davon aus, dass Bedrohungen sowohl von außen als auch von innen kommen können, und erfordert eine strenge Überprüfung und kontinuierliche Authentifizierung für jede Zugriffsanfrage. Bei richtiger Umsetzung kann Zero Trust einen problemlosen Zugang ermöglichen, ohne die Sicherheit zu beeinträchtigen.

2. Verwenden Sie eine rollenbasierte Zugriffssteuerung

Dies beschränkt den Zugriff auf Cloud-Ressourcen basierend auf definierten Benutzerrollen, reduziert das Risiko eines unbefugten Zugriffs und vereinfacht die Zugriffsverwaltung.

3. Automatisieren Sie Sicherheitsprozesse

Automatisierung setzt Sicherheitsrichtlinien konsequent um und ermöglicht eine sofortige Reaktion auf Bedrohungen. Gleichzeitig werden zeitaufwändige und fehleranfällige manuelle Prozesse eliminiert. Dadurch werden Sicherheitsteams entlastet und können sich auf strategischere Aufgaben konzentrieren.

4. Implementieren Sie eine Multifaktor-Authentifizierung

MFA bietet eine zusätzliche Sicherheitsebene, indem User mindestens zwei Verifizierungsfaktoren angeben müssen, um auf geschützte Cloud-Ressourcen zugreifen zu können. Moderne MFA-Lösungen, wie z. B. biometrische Authentifizierung, können schnell und benutzerfreundlich sein.

5. Setzen Sie kontinuierliche Überwachungs- und Reaktionsmaßnahmen ein

Dies hilft Sicherheitsteams, Vorfälle in Echtzeit zu erkennen und darauf zu reagieren. Automatisierte Warnmeldungen und Reaktionen können Bedrohungen eindämmen und die Verweildauer eliminieren, während sie gleichzeitig die Unterbrechung für den User auf ein Minimum reduzieren.

Trotz seiner ununterbrochenen Verbreitung ist Cloud-Computing für bestimmte Use Cases möglicherweise nicht besser geeignet als eine lokale Lösung. Branchen mit strengen, hochspezialisierten Anforderungen an Datensicherheit und Compliance, wie Banken und Versicherungen, bevorzugen beispielsweise häufig lokale Lösungen, um die vollständige Kontrolle über ihre Daten zu behalten. Unternehmen, die auf extrem niedrige Datenlatenz angewiesen sind – etwa solche, die Supercomputing oder spezielle Bare-Metal-Hardware nutzen – könnten lokale Lösungen als praktischer empfinden. Bei Bedenken bezüglich der Internetabhängigkeit werden lokale Bereitstellungen bevorzugt, da sie nur selten von Internetausfällen betroffen sind.

Letztendlich hängt die Entscheidung für eine Migration in die Cloud von Ihren spezifischen Bedürfnissen und Ihrem Kontext ab. Eine lokale Infrastruktur und Software kann für Sie von Vorteil sein, wenn Sie physische Kontrolle und Isolierung benötigen. Wenn jedoch Flexibilität, Skalierbarkeit und eine sichere Bereitstellung an jedem Ort gefragt sind, ist die Cloud die ideale Lösung.

Erfahren Sie mehr über Cloud-Migrationslösungen

Ivanti Neurons for Zero Trust Access (ZTA) integriert das Prinzip des geringsten Zugriffrechts, rollenbasierte Zugriffskontrolle, Verschlüsselung sowie Verhaltensanalysen von User und Einheiten zur Erkennung von Anomalien in einer einheitlichen Lösung, um Cloud-Anwendungen, Daten und Geräte von Unternehmen vor unbefugtem Zugriff und bösartigen Bedrohungen zu schützen.

Sie können ZTA mit anderen Cloud-fähigen Sicherheitslösungen auf der Ivanti-Neurons-Plattform kombinieren, darunter Neurons for risk-based vulnerability management“ und Multifaktor-Authentifizierung. Dadurch erhält Ihr Unternehmen jederzeit und überall sicheren Zugriff auf private, Cloud- und SaaS-Anwendungen.

Security by Default: Die entscheidende Ergänzung zu Secure by Design

Fri, 13 Sep 2024 12:00:00 Z

Ältere Cybersicherheitssysteme – von denen viele vor über einem Jahrzehnt entwickelt wurden – sind nicht auf die modernen Fähigkeiten und Schwachstellen heutiger Angreifer ausgelegt. Zudem berücksichtigen sie nicht die Abhängigkeit von der manuellen Konfiguration durch einen Menschen, die zur Schwachstelle vieler Softwareprogramme geworden ist.

Auf diese neue Realität wird mit dem Softwareentwicklungskonzept „Security by Default“ reagiert, einer notwendigen Ergänzung zu den „Secure by Design“-Prinzipien, die von der U.S. Cybersecurity & Infrastructure Security Agency (CISA) festgelegt wurden.

Die Secure-by-Design-Prinzipien legen den Fokus auf die eingebettete Sicherheit während des gesamten Software-Designs und der Entwicklung. „Security by Default“ stellt sicher, dass ein Produkt von Anfang an sicher ist – bereits zum Zeitpunkt des Zero-Day-Launches. Eine komplexe Einrichtung ist nicht erforderlich, da wesentliche Sicherheitsfunktionen wie sichere Protokollierung und Autorisierung bereits vorkonfiguriert sind.

Die Bedrohungen entwickeln sich weiter – und beschleunigen sich

Bis vor Kurzem hatten die meisten Systeme einen begrenzten „Explosionsradius“. Durch Firewalls geschützt, waren sie abgeschottet, sodass nur wenige ausgewählte Personen innerhalb einer Organisation darauf zugreifen konnten. Angreifern fehlte das offene Terrain, um nach Schwachstellen zu suchen. Ihre Angriffe konnten nicht automatisiert werden, und der gesamte Angriffsprozess – von der Entdeckung einer Schwachstelle über die Entwicklung eines Exploits bis hin zur Durchführung des Angriffs – dauerte oft Wochen oder sogar Monate.

Dies beschränkte nicht nur die Geschwindigkeit der Angriffe, sondern auch deren Umfang. Angreifer mussten Organisationen gezielt ins Visier nehmen und Wege finden, um spezifische Kontrollen zu umgehen. Die Gesamtzahl der Angriffe war gering, und selbst wenn sie stattfanden, blieben die Auswirkungen relativ begrenzt, da Angreifer viel Zeit und Arbeit investieren mussten.

Zum Thema: 8 Best Practices zur Verkleinerung der Angriffsfläche für Organisationen

Wenn wir von einer sich entwickelnden Cyber-Bedrohungslandschaft sprechen, ist das fast noch untertrieben, denn die natürliche oder auch technische Entwicklung war noch nie so schnell. In nur wenigen Jahren hat es sich in eine digitale Konfliktzone verwandelt, einen Krisenherd, der die schlecht Geschützten wie nie zuvor gefährdet.

Dies liegt daran, dass Angreifer drei entscheidende Entwicklungen für sich nutzen konnten:

Heutige Angreifer sind in der Lage, Schwachstellen blitzschnell zu Waffen zu machen, und KI-Tools erleichtern diesen Prozess zusätzlich. Die Zeiten langwieriger Offenlegungsfristen sind vorbei. Automatisierte Scan-Tools und Exploit-Kits, die im Dark Web leicht zugänglich sind, ermöglichen es selbst technisch weniger versierten Angreifern, in das Malware-Geschäft einzusteigen. Diese Entwicklung hat das Bedrohungspotenzial erheblich gesteigert und die Angriffsbarriere deutlich gesenkt. Zero-Day-Angriffe stellen ein zunehmendes Problem dar, da Angreifer immer raffinierter darin werden, Schwachstellen auszunutzen, bevor ein Patch verfügbar ist.
Die Einführung von Clouds hat eine größere Angriffsfläche geschaffen, da es aufgrund der verteilten Cloud-Infrastruktur schwierig ist, Daten zu sichern und zu überwachen. Das Modell der gemeinsamen Sicherheitsverantwortung zwischen Cloud-Anbietern und -Usern kann zu Schwachstellen führen, wenn es falsch konfiguriert oder nicht klar verstanden wird. Ferner sind Cloud-Anwendungen häufig auf APIs für die Kommunikation angewiesen, die bei unzureichender Absicherung Schwachstellen aufweisen können.
Traditionelle Sicherheitsmaßnahmen wie Firewalls und Antivirus-Programme können mit den modernen Bedrohungen nicht mehr Schritt halten. Firewalls können durch Social Engineering umgangen werden, während Antivirus-Programme Schwierigkeiten haben, brandneue Zero-Day-Bedrohungen zu erkennen. Der Sicherheitsansatz, der sich auf die lokale Umgebung vor Ort bezieht, ist im Cloud-Zeitalter überholt, und es ist entscheidend, die „Secure by Design“-Prinzipien in der gesamten IT-Infrastruktur umzusetzen.

Kriminelle sind bereit, Schwachstellen auszunutzen oder Angriffe zu starten, sobald ein Produkt aktiviert wird. Daher muss dieses Produkt über robuste Zero-Day-Verteidigungsmaßnahmen verfügen, die sofort wirksam werden, sobald es eingeschaltet und mit dem Unternehmensnetzwerk verbunden wird.

Zum Thema: Secure-by-Design-Prinzipien sind wichtiger denn je

Die drei Säulen von „Security by Default“

Die ordnungsgemäße Ausführung der „Security by Default“ beruht auf drei Grundpfeilern.

„Shift Left“-Sicherheit

Shift Left konzentriert sich darauf, Schwachstellen frühzeitig im Entwicklungsprozess zu erkennen. Entwickler müssen sicheren Code schreiben und dabei gängige Fehler vermeiden, die in Ressourcen wie den OWASP Top 10 (Sicherheitslücken in Webanwendungen) und CWE Top 25 (häufige Softwareschwachstellen) aufgeführt sind.

Ein passender Vergleich wäre die Präventivmedizin, bei der Wellnesspraktiken und Impfungen eine Person vor Krankheiten schützen können. Indem sich Entwickler von Anfang an auf sichere Programmierpraktiken konzentrieren, bauen sie Immunität und Widerstandsfähigkeit direkt in die Software ein.

Durchsetzung sicherer Konfigurationen

Wenn User ihre neue Software konfigurieren, freuen sich Hacker oft über die potenziellen Schwachstellen. Um Fehlkonfigurationen zu vermeiden, müssen Softwareanbieter standardmäßig sichere Konfigurationen durchsetzen. Dazu gehören Maßnahmen wie Multi-Faktor-Authentifizierung (MFA), Single Sign-on (SSO) sowie die Vermeidung von fest programmierten Zugangsdaten (Passwörtern oder Tokens) und Standardkonfigurationen, die Angreifern bereits bekannt sind.

Durch die Durchsetzung sicherer Konfigurationen wird eine konsistente Sicherheit bei allen Bereitstellungen gewährleistet, unabhängig von der Benutzererfahrung oder dem technischen Fachwissen der User. Gleichzeitig wird die Benutzererfahrung vereinfacht, da keine komplexen Konfigurationsentscheidungen getroffen werden müssen.

Sicherung der Software-Lieferkette

Ähnlich wie in der Automobil- und Luft- und Raumfahrtindustrie hat sich die moderne Softwareentwicklung in ein Fließband verwandelt, das stark auf Bibliotheken von Drittanbietern und Open-Source-Code angewiesen ist. Im Rahmen von „Security by Default“ müssen Entwickler besonders darauf achten, dass diese Komponenten sicher sind und keine Schwachstellen in die Software einführen.

Zum Thema: Das Secure-by-Design-Versprechen: Eine Verpflichtung zur Schaffung einer sichereren digitalen Zukunft

Security by Default messen

Heutzutage können Anbieter die Sicherheit eines Produkts durch Standardfunktionen wie Instrumente und Telemetrie überwachen. Befindet sich das Produkt vor Ort, müssen zur Aktivierung der Telemetrie allerdings Firewall-Ausnahmen geschaffen werden, damit die Daten das Netzwerk des Users verlassen können. In der Cloud ist es hingegen einfacher, Telemetriedaten direkt an den Anbieter zurückfließen zu lassen.

In beiden Fällen basiert dies auf gegenseitiger Zustimmung: Der Software-User muss die Standard-Telemetrie aktivieren, damit der Anbieter das Verhalten der Software überwachen und sicherstellen kann, dass die integrierten Sicherheitskontrollen ordnungsgemäß funktionieren. Der Vorteil dabei ist, dass der User nicht selbst eingreifen muss, um Sicherheitsfunktionen zu aktivieren. Ein Anbieter kann dies remote tun, sofern er die Zustimmung des Kunden hat.

Neuen Bedrohungen einen Schritt voraus sein

Selbst die besten und engagiertesten Cybersicherheitsexperten sind immer noch auf die verfügbaren Daten und Erkenntnisse angewiesen. So sind traditionelle Schwachstellenlisten wie die OWASP Top 10 und die CWE Top 25 zwar entscheidend für die Sicherheitsaufklärung, haben jedoch ihre Grenzen:

Aktualisierungen dieser Listen schaffen immer noch ein Zeitfenster, in dem Schwachstellen zwischen Entdeckung und Behebung bestehen. Angreifer nutzen diese Lücke, indem sie „Ausreißer“-Schwachstellen ins Visier nehmen, die noch nicht erfasst sind.
Herkömmliche Listen konzentrieren sich auf bekannte Schwachstellen, was Organisationen anfällig für „bekannte Unbekannte“ macht – Schwachstellen, die zwar ausgenutzt werden können, aber noch nicht identifiziert wurden.

Dennoch versprechen KI und maschinelles Lernen, Security by Default zu revolutionieren, indem sie diese Lücken schließen:

Algorithmen für maschinelles Lernen können riesige Mengen an Sicherheitsdaten analysieren, um Muster zu erkennen und potenzielle Schwachstellen vorherzusagen, auch solche, die noch nicht auf traditionellen Listen stehen.
Durch die Analyse von Exploit-Trends und Softwareverhalten kann maschinelles Lernen die „bekannten unbekannten“ Sicherheitslücken identifizieren, die mit höherer Wahrscheinlichkeit ausgenutzt werden, selbst wenn sie noch nicht dokumentiert sind.

Hinzufügen von KI zum SDLC

KI und maschinelles Lernen können auch die Art und Weise verändern, wie „Security by Default“-Prinzipien in Software-Entwicklungszyklen integriert werden:

Automatisierte Schwachstellenerkennung: KI-Tools können Code kontinuierlich auf bekannte und unbekannte Schwachstellen scannen, sodass diese frühzeitig in einem SDLC behoben werden können.
Proaktive Sicherheitsmodellierung: Durch die Analyse von Angriffsmustern kann KI Bedrohungen vorhersagen. Dies ermöglicht eine proaktive Sicherheitsmodellierung, um Software mit integrierten Abwehrmechanismen gegen diese Bedrohungen zu entwickeln.
Intelligente Entwicklerunterstützung: KI kann Code analysieren und Entwicklungsteams in Echtzeit Vorschläge zu sicheren Coding-Praktiken unterbreiten.

Standardmäßige Sicherheit durch selbstreparierende Software

Ein zentrales Ziel für Entwickler, die „Security by Default“ umsetzen, ist die Erstellung von Software, die proaktiv Sicherheitslücken selbst erkennen und beheben kann. Dieses Konzept richtet sich nach den genetischen Algorithmen, die in der Fertigung eingesetzt werden, um Systeme dazu zu befähigen, sich selbst zu optimieren und im Laufe der Zeit kontinuierlich zu verbessern.

Dadurch wird „Security by Default“ von einem statischen Konzept zu einer dynamischen, selbstüberwachenden und selbstreparierenden Funktion, die in Unternehmenssoftware integriert ist. Dadurch kann die Software ihre eigenen Sicherheitslücken beheben, Bedrohungen abwehren und sogar neue Angriffe an die Entwickler melden.

Zum Thema: Praktische Demo: Schützen Sie alle Endpunkte mit sicheren UEM-Gegenmaßnahmen

Schritte in die richtige Richtung

Vor nicht allzu langer Zeit schrieb ich darüber, dass es eine „private/öffentliche Partnerschaft geben sollte, in der Industrie und Regierung zusammenarbeiten, um das Problem der digitalen Sicherheit gemeinsam zu lösen". Die Einführung der Secure-by-Design-Prinzipien und die Initiativen von CISA sowie Branchenführern, diese voranzutreiben, sind ein bedeutender Schritt nach vorn, um genau die dringend benötigte gemeinsame Verteidigung gegen Cyberbedrohungen aufzubauen.

Es liegt jedoch weiterhin an den einzelnen Softwareanbietern und -entwicklern, diese Maßnahmen in die Tat umzusetzen. Die Einhaltung von Standardsicherheitsverfahren spielt eine entscheidende Rolle bei der Entwicklung und Bereitstellung sicherer Software und bei der Erlangung einer Führungsposition im Kampf um Cybersicherheit.