COMPACTT It Im Mittelstand
Total Page:16
File Type:pdf, Size:1020Kb
02/2021 Februar 2021 Deutschland € 18,90 www.TecChannel.de it im mittelstand COMPAC T COMPACCOMPACTT it im mittelstand RATGEBER ■ TIPPS ■ PRAXIS Security Angrisvektoren Notfallmanagement SECURITY Cyberrisiken Tipps & Tools ■ Trends: Wie Sie 2021 ■ Endpoint Protection: Die gehackt werden besten Security-Suites ■ Risiko Homeoce ■ Das können Next ■ Schwachstelle Mensch: Generation Firewalls Pharming, Spear Phishing, ■ Ransomware-Schutz Social Engineering für Windows 10 ■ Wie sich IT-Sicherheit ■ How-to: So erstellen Sie neu ernden muss sichere Passwörter IT-Sicherheit ■ Von der Risikoanalyse zum tragfähigen Notfall- management Tipps & Tools ■ Sieben Maßnahmen für bessere Cloud-Sicherheit ■ So geht Zero Trust ■ Manipulationsschutz mit Blockchain PREMIUM ZUGANG Mehr Faktenwissen, Daten und Hintergründe für TecChannel-Premium-Mitglieder. NUR 11,83 € IM MONAT Fotografie: SFIO CRACHO/Shutterstock Fotografie: PDF-AUSGABEN TUTORIALS PREMIUM-E-BOOKS Alle TecChannel- Tutorials mit praxisnahen Jährlich sechs Premium- Compact-Ausgaben Tipps und Tricks als E-Books zu aktuellen als PDF im Heftarchiv. PDF-Download. IT-Themen. JETZT BESTELLEN: www.tecchannel.de/premium TecChannel erscheint im Medienhaus Business Media GmbH, Lyonel-Feininger-Str. 26, 80807 München, Registergericht München, HRB 99187, Geschäftsführer: Jonas Triebel. Die Kundenbetreuung erfolgt durch den Kundenservice, DataM-Services GmbH, Postfach 9161, 97091 Würzburg, Geschäftsführerin: Sigrid Sieber, Tel. 0931/4170-177, Fax 0931/4170-497, E-Mail: [email protected] tec_11_EW_Tec_Abo_Premium.indd 1 09.10.20 16:52 Inhaltsverzeichnis ‹ 3 Trends & Technologien 8 › Wie Sie 2021 gehackt werden 9 Remote Hacks Reloaded 10 Cloud-Konfigurations-Fails 10 Remote-Office-Gefahren 11 Tunnel im Tunnel 11 Malware auf KI-Basis 12 Quantencomputer-Dystopie 13 › Das kleine ABC der Schadsoftware 16 › Was Sie über Social Engineering wissen müssen 17 Beispiele für Social Engineering 19 Social-Engineering-Angriffe erkennen und abwehren 20 Die Verantwortung der User 20 Bedrohung begrenzen und verhindern 21 Social Engineering – Eine Erfolgsbranche 22 › Was Sie über Privilege Escalation wissen müssen 22 Das Gefahrenpotenzial der Rechteausweitung 23 Beispiele für Privilege-Escalation-Angriffe 25 Privilege Escalation – die Techniken 26 Abwehrmaßnahmen 27 › Was Sie über Spear Phishing wissen müssen 28 Was hinter Spear-Phishing-Angriffen steckt 29 Aufbau und Funktionsweise 29 Vorsichtsmaßnahmen gegen E-Mail-Betrug 32 › Was Sie über Pharming wissen müssen 32 Wie funktionieren Pharming-Angriffe? 33 Wie gängig sind Pharming-Attacken? 35 Wie lässt sich Pharming verhindern? 36 › Wie persönliche Daten zur Waffe werden 37 So funktioniert Doxing 38 Beispiele für Doxing-Angriffe 39 Vorbeugende Maßnahmen 41 › Was Sie über DLP wissen müssen 41 Use Cases von DLP-Software 42 Zahlen und Fakten 42 Die Funktionsweise von DLP 44 Metriken 45 Anbieter und Produkte 4 › Inhaltsverzeichnis 46 › Daten-Insights trotz Verschlüsselung 47 Was Homomorphic Encryption kann 48 Homomorphe Verschlüsselungsmethoden 48 Use Cases für Homomorphic Encryption 50 › Was ist Code Signing? 51 Code-Signing-Zertifikate 52 Sicherheits- und Verwaltungshinweise 53 Fazit: Code Signing bleibt elementar wichtig Sicherheit im Unternehmen 54 › Die IT-Sicherheit braucht eine Neuorientierung 56 Endpoints statt Cloud 56 Security braucht Offenheit 57 KI ja, Outsourcing nein 58 Was Security by Design braucht 58 Sicherheit auch im Unternehmensdesign 60 › Wie Corona und das Homeoffice die Cybersecurity fordert 61 Homeoffice ist eine Bewährungsprobe 63 Konsolidierung der Security-Konzepte notwendig 64 Auf vertrauenswürdige Service-Provider setzen 65 CISO und CIO müssen stärker kooperieren 67 › Die fünf größten Datenverlustrisiken 68 Wissen über schützenswerte Informationen als Basis 69 Gefahren von innen 71 Externe Bedrohungen 73 › Wie sicher sind Ihre KI-Projekte? 74 KI-Datenhunger macht Risiko 75 AI Security by Design 75 Inversion-Angriffe sind im Kommen 76 Nicht nur Algorithmen absichern 76 Wolkig mit Aussicht auf KI 77 Security-Checkliste für KI-Projekte 78 › Das muss ein Chief Information Security Officer können 79 Die Verantwortlichkeiten eines CISO 80 Anforderungen und Qualifikationen 81 Per Zertifizierung zum CISO 82 CISO, CIO und CSO 83 Jobprofil und Gehalt Inhaltsverzeichnis ‹ 5 Strategien 84 › Cyberrisiken für Ihr Business aufspüren und einschätzen 86 Wie läuft ein Risikomanagementprozess ab? 86 Wie funktioniert die Risikoidentifikation? 87 Wozu dient die Risikoanalyse und -bewertung? 88 Was beinhaltet die Risikosteuerung und -strategie? 89 Was versteht man unter dem Implementieren eines Risikomanagementverfahrens? 91 Welche Rolle spielt die Risikowahrnehmung? 91 Gemeinsame Risikokultur 92 › Tragfähige Konzepte fürs Notfallmanagement 93 Vermehrte aufsichtsrechtliche Anforderungen 93 Risikomanagement und IT-Notfallmanagement sind Aufgabe der Geschäftsführung 94 Was steht hinter den Begrifflichkeiten? 94 Anforderungen an das Notfallmanagement 95 Notfallmanagement bei der Gestaltung von IT-Verträgen 96 Ausblick 97 › Wie Sie Ihr SIEM ohne Budget aufmöbeln 98 IT-Security in der Krise? 99 1. Daten-Pipeline-Shift 99 2. Feeds mit Kontext 100 3. SIEM-Prozess-Review 100 4. Eine Frage der Grundlage 100 5. Angriffsflächenminimierung 101 6. Analyse-Addon-Evaluierung 101 7. Automatisierungsunterstützung 101 8. Abhilfe aus der Cloud 102 › Ist UBA das bessere SIEM? 103 Security-Rohdaten in der Praxis 104 Wie Analytics die IT-Sicherheit bereichert 105 UBA vs. SIEM 106 › So geht Zero-Trust-Umgebung 107 Neue Netzwerksicherheit, neue Gefahren 108 Erfolgsfaktor Entschlüsselung 110 › Sieben Maßnahmen für mehr Sicherheit in der Cloud 110 Das Problem wird wohl noch schlimmer 113 Sieben Sicherheitsmaßnahmen für die Cloud 116 Sichtbarkeit vor Kontrolle 6 › Inhaltsverzeichnis 117 › Wie Digitale Identität per Blockchain geht 118 Digitale Identität: Eine Definition 119 Self Sovereign Identity: Selektive Datenfreigabe 119 Decentralized Identity: Gegen den Kontrollverlust 121 Verifiable Credentials: Mit Online-Brief und -Siegel 121 Decentralized Identity meets Blockchain 122 Blockchain: B2B-Prozesse im Umbruch 124 › Betrugsprävention per Blockchain 125 Praxisbeispiel: Online-Abstimmungen während der Pandemie 127 Manipulationsschutz durch die Blockchain 128 › Methoden und Tücken der Zwei-Faktor-Authentifizierung 129 Zwei-Faktor-Authentifizierung mit SMS Token 130 2FA mit Smartcards 130 Zwei-Faktor-Authentifizierung via TOTPs 131 2FA per Universal Second Factor 131 Fazit Tipps & Tools 132 › Die besten Security-Plattformen 139 › Die besten Next Generation Firewalls 145 › Praktische Security-Tools für Docker und Kubernetes 149 › So wappnen Sie Ihren PC gegen Erpresser 149 Überwachter Ordnerzugriff 151 Backups – aber richtig 152 Kostenloser Ransomware-Schutz 152 Keep calm, stay patched 152 Makros deaktivieren 153 IT-Abteilung vs. Ransomware 154 › Spezial-Linux für Pentester und Security-Profis 158 › So erstellen und merken Sie sich wirklich sichere Passwörter ohne Zusatz-Tools 158 Das kleine Passwort-Einmaleins 159 So erstellen Sie ein maximal sicheres Passwort 160 So merken Sie sich komplizierte Passwörter 161 Verwenden Sie einen Passwort-Manager 162 Was tun, wenn das Passwort geleakt wurde? 162 Die DOs and DON‘Ts bei der Passworterstellung Impressum ‹ 7 Impressum Verlag: IDG Business Media GmbH TecChannel ist Mitglied der IDG Business Media GmbH Lyonel-Feininger-Straße 26 und somit ein Teil der IDG-Verlagsgruppe. Darin erschei- 80807 München nen unter anderem auch folgende Zeitschriften: Telefon: +49-89-360-86-0 Telefax: +49-89-36086-118 E-Mail: [email protected] Vertretungsberechtigter: Jonas Triebel, Geschäftsführer Registergericht: Amtsgericht München, HRB 99187 Verantwortlicher für den redaktionellen Teil: Heinrich Vaske, Editorial Director, V.i.S.d.P. (Anschrift siehe Verlag) ISSN: Verantwortlicher für Abonnement, Einzel- und den Anzeigenteil: Nachbestellung, Umtausch 2195-4747 Peter Lauck, Sales Director defekter Datenträger: (Anschrift siehe Verlag) 089/36086-730, TecChannel Kundenservice [email protected] DataM-Services GmbH Umsatzsteuer- Postfach 9161, 97091 Würzburg identifikationsnummer: DE 811 257 800 [email protected] Tel.: 0931/4170-177 Titelbild: Fax: 0931/4170-497 Sergey Nivens, Servicezeiten: 08:00 bis 17:00 Uhr Shutterstock.com (an Werktagen Montag bis Freitag) Trends & Technologien 8 › Wie Sie 2021 gehackt werden Trends & Technologien Die COVID-19-Pandemie hat Deutschland auch im Jahr 2021 im Griff und treibt die Zahl der in Heimarbeit Beschäftigten in die Höhe. Beste Voraussetzungen für Krimi- nelle, denen die große Zahl an Homeoffice-Arbeitsplätzen viele neue Angriffspunkte für Cyberattacken beschert. Großangelegte Einfallversuche durch Remote-Angriffe, Phishing und Social Engineering sind an der Tagesordnung. Und immer öfter rich- ten Hacker massiven Schaden an. Neue Angriffsvektoren Wie Sie 2021 gehackt werden Dieses Jahr werden kriminelle Hacker alles daransetzen, die Effizienz ihrer Angriffe weiter zu steigern. Im Fokus stehen vor allem Corona-bedingte Schwachstellen. Die Corona-Pandemie hat das gesamte Unternehmensumfeld seit März letzten Jah- res komplett aus den Angeln gehoben – insbesondere auch, was die Bedrohungs- landschaft angeht. Das ist eigentlich kein Wunder angesichts der Tatsache, dass die Umstellung auf Remote Work in den meisten Fällen in wenigen Tagen abgewickelt werden musste, um den Geschäftsbetrieb am Laufen zu halten. › COVID-19 hat nicht nur das Business grundle- gend verändert, son- dern auch die Angriffs- flächen