Die ICSA Labs Division von Verizon identifiziert Sicherheitsrisiken für Unternehmen und Verbraucherr
Mehr mobile Endgeräte und Anwendungen bestimmen 2012 die Sicherheitsfragen
Es gibt immer mehr mobile Endgeräte. Auch die Zahl von Anwendungen wächst und Cloud Computing nimmt zu. All dies fördert die geschäftliche Innovationsfreude und verspricht auch unter sozialen Aspekten Vorteile. In der heutigen Always-on-Welt bringt dies allerdings neue, sich permanent ändernde Sicherheitsprobleme mit sich.
Laut dem “2011 Data Breach Investigations Report““ von Verizon hat sich die Zahl der Angriffe auf Daten in den letzten fünf Jahren verdreifacht. Damit wird es für Unternehmen und Verbraucher immer wichtiger, ihre Sicherheitsvorkehrungen dem Risikoniveau anzugleichen.
McAfee: Prognose zur Cybersicherheit 2012
Die schlechten Vorsätze fürs neue Jahr: Was Cyberkriminelle 2012 vorhaben
Angesichts dieses Trends empfiehlt die ICSA Division von Verizon, sich 2012 mit den folgenden 13 Sicherheitsaspekten zu befassen:
1. Mobile Malware ist im Kommen. Gegen mobile Endgeräte gerichtete Malware ist auf dem Vormarsch, und die Unternehmen werden sich zum Schutz ihrer User etwas einfallen lassen müssen. Zu den primären Zielen werden ganz klar Smartphones und Tablets gehören, wobei Android-basierende Geräte aufgrund des hohen Marktanteils und der Open-Innovation-Plattform des Betriebssystems am stärksten betroffen sein dürften. Bei sämtlichen mobilen Plattformen wird es verstärkt zu Angriffen kommen.
2. Kriminelle infizieren bevorzugt App-Stores. Infizierte Apps werden Browser-basierende Downloads als häufigsten Ausgangspunkt von Attacken ablösen. Dabei werden nicht autorisierte App-Stores wegen der schlechteren Überwachung vorrangige Infektionsquelle sein. Cyberkriminelle werden hier ihre infizierten Programme einschleusen und leichtgläubige User zum Herunterladen böswilliger Apps verleiten. Sie werden auch Möglichkeiten finden, ihre Produkte in autorisierten App-Stores zu listen. Solche Infektionen verbreiten sich leicht über Smartphones ins Unternehmensnetzwerk und erhöhen so zusätzlich das Risiko.
3. Application-Scoring-Systeme werden entwickelt und implementiert. Zur Beruhigung ihrer User werden Unternehmen den Wunsch haben, ihren Anwendungs-Source-Code von Dritten prüfen zu lassen. Und sie werden sich vergewissern wollen, dass die zur Verwendung auf Geräten von Mitarbeitern zugelassenen Anwendungen gewisse Standards erfüllen. Die Branche wird daher ein Scoring-System entwickeln, das dazu beiträgt, dass User nur angemessene, vom Unternehmen abgesegnete Anwendungen auf ihr geschäftlich genutztes Gerät herunterladen.
4. Bankentaugliche Applikationen mit eingebauter Sicherheit werden kommen. Mobile Endgeräte werden vermehrt für Kontoabfragen, Überweisungen und zur Bezahlung von Waren und Leistungen genutzt und sind damit für Cyberkriminelle attraktiv, weil diese immer einen Weg finden, die Sicherheitsvorkehrungen zu umgehen. Um für die nötige Sicherheit beim Online-Banking zu sorgen, wird die Bankenbranche voraussichtlich dazu übergehen, Anwendungen mit robusten eingebauten Sicherheitsebenen zu offerieren.
5. Hyper-Konnektivität führt zu wachsenden Problemen beim Schutz von Identität und Privatsphäre. Im geschäftlichen Umfeld haben immer mehr User rechtmäßigen Anspruch auf den Zugang zu Daten unterschiedlichster Herkunft. Dadurch wird Datenschutz an jedem einzelnen Zugangspunkt unumgänglich, und zwar durch effektivere Zugangsdaten, Einrichtung sicherer, für Partner zugängliche Systeme und optimierte Protokollierung und Analyse. Erschwerend kommt eine neue Generation von plattformübergreifendem Sabotage-Malcode hinzu, der die Sorge der Datenschützer schürt. Die Unternehmen werden dieses Problem 2012 nicht länger ignorieren können und einige harte Entscheidungen treffen müssen.
6. Die Digitalisierung von Patientendaten zieht neue Risiken nach sich. In den USA werden Gesundheitsreform und Konjunkturpakete die Einführung elektronischer Patientendatensätze und entsprechender Technik im gesamten Gesundheitswesen vorantreiben. Der American Recovery and Reinvestment Act sieht die Digitalisierung sämtlicher medizinischer Datensätze bis 2014 vor; der vorbereitende Arbeitsaufwand wird 2012 und 2013 entsprechend hoch sein. Es wird zur Einführung neuer Geräte kommen, die über die physischen Grenzen von Gesundheitsdienstleistern hinweg sensible Informationen verschicken; und es werden vermehrt mobile Geräte eingesetzt werden. Die Sicherung solcher neu implementierten EHR-Systeme, der mobilen Endgeräte und die Verwaltung mobiler klinischer Applikationen wird auch in Zukunft im Mittelpunkt der Interessen der Gesundheitsbranche stehen.
7. Mobile und medizinische Devices werden miteinander verschmelzen. Mobile Endgeräte und Gesundheitsapplikationen werden verbreitet zum Einsatz kommen, wodurch es einfacher wird, ein Smartphone in einen Cardio-Monitor oder Diabetes-Tester zu verwandeln. Einige Experten sind deshalb überzeugt, dass bestimmte Gruppierungen mobile Endgeräte zu medizinischen Geräten erklären werden, um sie kontrollieren und regulieren zu können. Mit voranschreitender Entwicklung von Interoperabilitätsstandards werden mobile Endgeräte zu Knoten im Netzwerk der Organisation werden. Sie werden Daten mit anderen Geräten und Usern teilen und als Folge davon für dieselben Bedrohungen und Schwachstellen anfällig sein wie andere netzwerkgebundene Peripheriegeräte, etwa Drucker und Faxe, bereits heute.
8. Smart-Grid-Sicherheitsstandards werden weiterentwickelt. In den USA werden die Kommissionen für öffentliche Versorger gemeinsam mit dem National Institute of Standards and Technology weiter an der Entwicklung von Smart-Grid-Standards arbeiten. Die bundesstaatlichen Regulierungsbehörden für öffentliche Versorgung wollen sich Anfang nächsten Jahres auf einen Standard einigen. Die Regierung wird immer häufiger von Versorgern den Nachweis verlangen, dass ihre Smart-Grid- und Zähler-Infrastrukturen nicht nur die Privatsphäre von Verbrauchern und ihre Verbrauchsdaten schützen, sondern auch zur Sicherheit der Advanced-Metering-Infrastruktur (AMI) beitragen. Irgendwann werden bundesstaatliche Rahmenbestimmungen einzelstaatliche Richtlinien und Anforderungen aufheben.
9. Neue Bedenken gegen IPv6 könnten laut werden. Die amerikanische Regierung hat nach wie vor mit dem Rollout von IPv6-fähigen Geräten zu kämpfen, während Unternehmen bereits von IPv4 auf IPv6 hochrüsten. Die Bedenken werden das gesamte Jahr prägen und IPv6-spezifische Schwachstellen und Bedrohungen werden auch 2012 Probleme verursachen. Auch die beiden anderen fundamentalen Eckpfeiler des Internet – Border Gateway Protocol und Domain Name System – stehen in einer Next-Generation-Version zur Verfügung. 2012 werden viele zu diesen neueren Versionen wechseln und eine neue Runde an Schwachstellen und Exploits eröffnen.
10. Social-Engineering kehrt zurück. Primäre Bedrohung aus dem Bereich des Social-Engineering wird zielgerichtetes Spear-Phishing sein – betrügerische E-Mails, die sich an ein ganz bestimmtes Unternehmen richten, um an vertrauliche Daten zu gelangen. Da die Zahl der Nutzer von Smart-Devices dramatisch zunimmt, wird die Vermittlung sicherer Computing-Praktiken weiterhin eine der Hauptaufgaben sein. Soziale Netzwerke werden den Schutz ihrer User vor Malware sowie Spam- und Phishing-Mails weiter ausbauen, jedoch werden Anwender nach wie vor auf ausgefeilte Tricks hereinfallen und gefährliche Websites besuchen oder persönliche Informationen preisgeben.
11. Programme zur Zertifizierung von Sicherheit werden an Popularität gewinnen. Zertifizierungen sind im Aufwind, nicht zuletzt weil Regierungen verstärkt IT-Aufträge in den Bereichen Cloud und Identity für ihre Behörden vergeben; der Privatsektor wird dementsprechend nachziehen. Interne Bedrohungen werden auch in Zukunft das Vertrauen von Unternehmen, Regierungen und privaten Usern dämpfen und enorme Schäden für die Systeme in Büros und daheim mit sich bringen. Diesen sich ständig ändernden Bedrohungen voraus zu sein und Tests entsprechend weiter zu entwickeln, wird die Herausforderung 2012 sein. Einige Vereinigungen werden als Mittel der Vertrauensbildung im Online-Verkehr vorschlagen, Unternehmen als Ganzes zu zertifizieren, nicht nur einzelne Produkte oder Services.
12. Big Data werden an Volumen zunehmen und damit auch der Sicherheitsbedarf. Big Data, also große Datenmengen, die sich heutzutage mit den richtigen Tools bewältigen lassen, werden 2012 auf dem Vormarsch sein, da ihre Analyse für Unternehmen von großem Wert ist. Firmen werden daraus neue Geschäftschancen entwickeln und zur Steigerung ihres Erfolges Voraussetzungen für eine evidenzbasierte Entscheidungsfindung schaffen. Allerdings werden sie zu diesem Zweck diese Daten umfassend schützen müssen.
13. Die Absicherung von Online-Identitäten ist nicht mehr optional. Aufgrund des enormen Anstiegs von Online-Identitätsdiebstahl suchen Verbraucher, Unternehmen und Behörden verstärkt nach Wegen, ihre Identitäten besser zu schützen. Dabei ist der private Sektor gefordert, kostengünstige Lösungen bereitzustellen, die zum Schutz von Online-Identitäten beitragen und das Vertrauen stärken.
„“Die Ausbreitung von Internet-Konnektivität, von mobilen Endgeräten und Web-Applikationen bereichert unser Leben und fördert auf neue bedeutsame Weise das Entstehen globaler Geschäftschancen““, sagt Roger Thompson, Emerging Threats Researcher bei ICSA Labs. „“In dieser Ära der Hyper-Konnektivität, die durch das Verschwimmen von Trennlinien zwischen Berufs- und Privatleben zusätzlich an Komplexität gewinnt, liegt es bei jedem Einzelnen von uns – ob geschäftlicher oder privater Anwender – unsere Online-Aktivitäten zu schützen und mit der Technik verantwortungsvoll umzugehen, damit Assets, Identität und Daten geschützt sind.““
ICSA Labs ist als unabhängiger Bereich von Verizon Anbieter von Tests und Zertifizierungen für Sicherheits- und Gesundheits-IT-Produkte sowie für netzwerkgebundene Endgeräte. Viele der weltweit bedeutendsten Hersteller von Sicherheitsprodukten lassen diese von ICSA Labs auf Compliance, Zuverlässigkeit und Leistungsfähigkeit testen. ICSA Labs ist nach ISO/IEC 17025 zugelassen und nach ISO 9001 zertifiziert. Weitere Informationen unter www.icsalabs.com und www.icsalabs.com/blogs.
Lesen Sie mehr zum Thema
