Security ist branchenabhängig

Tipps gegen den Datenklau

09.09.2013 von Lorenz Kuhlee
Standardisierte IT-Sicherheit ist zwar ein Wunschtraum vieler Experten, sinnvoll ist sie jedoch nicht wirklich. Jede Branche braucht ihre eigene Strategie.
Der Bankensektor ist besonders stark vom Datenklau betroffen.
Foto: roberts_stockman/Fotolia.com

Verizons Untersuchungen im Rahmen des jüngsten "Data Breach Investigations Report" haben ergeben, dass Daten, die aus einer Datenverletzung resultieren, eine ganz andere Geschichte erzählen als die, die wir aus den verschiedenen Branchen hören. Es gibt keine Reihe von Best Practices, die auf jede Branche und organisatorische Größe angewendet werden können. Nicht alle Passwörter sind leicht zu erraten, und wir können keine pauschalen Aussagen darüber treffen, dass Web-Applikationen die beliebtesten Angriffsvektoren sind. Jeder Versuch, einen "One-size-fits-all"-Ansatz durchzusetzen kann dazu führen, dass einige Organisationen vor gezielten Angriffen nicht ausreichend geschützt sind, während andere möglicherweise zu viel für die Verteidigung von einfachen opportunistischen Angriffen einbringen.

Die 8 schlimmsten Hackerangriffe
Security-Experten Faronics erklärt die größten Hackerskandale der vergangenen zehn Jahre. Die unmitttelbaren Schäden gingen dabei in Millionenhöhe.
134 Millionen Kundendaten ...
... stahlen Cyberkriminelle 2009 mithilfe einer Spionagesoftware. Sie lasen die Kreditkartendaten von 134 Millionen Kunden des amerikanischen Unternehmens Heartland Payment Systems.
860.000 Benutzernamen und E-Mail Adressen ...
... haben Hacker während eines Angriffs auf die US-Sicherheitsberater von Stratfor gestohlen und die Kundendaten anschließend im Netz veröffentlicht. Ein Link enthielt 75.000 Namen, E-Mail-Adressen, Kreditkartennummern sowie Passwörter von Stratfor-Kunden. Zusätzliche 860.000 Daten waren Benutzernamen und E-Mail-Adressen von registrierten Nutzern auf der Stratfor-Website.

So sollten sich zum Beispiel viele kleine Einzelhändler und Restaurants auf die Grundlagen konzentrieren, da Angreifer schlecht konfigurierten Remote Administration Services nutzen um Zahlungsdaten von Point of Sale-Systemen zu ziehen. Aber die Basics reichen für die Finanz-und Versicherungsbranche nicht aus, deren Geldautomaten Angriffsziel von Skimming-Attacken sind. Und wenn wir diesen physikalischen Angriffspunkt abziehen, sehen wir einen viel höheren Anteil der Angriffe auf seine Web-Applikationen als in alle anderen Segmenten. Wenn wir uns auf Fertigungs-, Maschinenbau-, Beratungs- und IT-Service-Unternehmen konzentrieren, lassen sich eine ganz andere Reihe von Angriffen beobachten, die menschliche Schwächen durch gezielte soziale Angriffe ausnutzen um multifunktionale Malware auf interne Systeme zu bekommen.

Hier nun die wichtigsten Empfehlungen:

Finanzen und Versicherungen

Healthcare

Einzelhandel

Hotel- und Gaststättengewerbe

Diebstahl von geistigem Eigentum (GE)