Transcript
Page 1: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der
Page 2: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

as US-amerikanische Einzelhandelsun­ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der Geschichte. Hacker infizierten während der umsatzstärksten Saison des Einzelhandels das Kartensystem in

beinahe 1.800 Target-Niederlassungen mit Maiware. Sie fingen auf diese Weise die Kredit- und Bankkartendaten von etwa 40 Millionen Kunden ab.

Wie gelang den Hackern der Angriff auf ein so umfassendes System und wie konnten sie eine so große Menge wertvoller Daten abschöpfen? Die Antwort ist bei Fazio Mechanical Services (FSM), einer Heizungs-, Belüftungs- und Klimaanlagenfirma aus Pittsburgh zu finden. FSM stellte elektronische Abrechnungs-, Vertragsübermittlungs- und Projektmanage­mentdienste für einige der Target­Niederlassungen zur Verfügung und hatte

Zugang zu deren Netzwerk. Die Hacker stahlen die Anmeldeinformationen von FSM und verwendeten diese, um Zugang zu Targets Systemen zu erhalten.

Dieser Sicherheitsverstoß zeigt sehr anschaulich, wie Unternehmen jedes Sektors durch die Zusammenarbeit mit externen Dienstleistern potenziellen Risiken ausgesetzt sind. Aufgrund einer fehlenden ausgereiften Lösung für die Verwaltung, Kontrolle oder Überwachung der Netzwerkzugriffe durch Dritte, hielt Target die Hintertür für Hackern weit offen.

Wie viel wurde tatsächlich seit dem Jahr 2013 unternommen, um die Verwaltung von Netz­werkzugriffen seitens Lieferanten anzugehen und sicherer zu gestalten? Handelt es sich bei dieser Frage um ein Thema, das von Unter­nehmen aktiv behandelt und für das IT Lösungen eingesetzt werden? Oder ist es schon längst in Vergessenheit geraten und Unter­nehmen und deren sensible Daten sind überaus

69°/o DER BEFRAGTEN GEBEN AN, DASS SIE INNERHALB DES LETZTEN JAHRES TATSÄCHLICH ODER WAHRSCHEIN­LICH EINEN SICHERHEITSVERSTOß VERZEICHNETEN, DER SICH DURCH DEN ZUGRIFF VON EXTERNEN DIENSTLEISTERN AUF DAS UNTERNEHMENSNETZWERK EREIGNETE. gefährdet?

Wir befragten hunderte IT- und Sicher­heitsbeauftragte, die über eine Aufsichtsfunktion über die Netzwerkzugriffe Dritter verfügen, um genau das herauszufinden. Wir stellten fest, dass die Verwaltung von Netzwerkzugriffen durch externe Dienstleister bei vielen Unternehmen ein Thema ist. Allerdings haben nur wenige

Unternehmen Lösungen implementiert, die die Sicherheit ihrer sensiblen Geschäftsdaten vor dem möglichen Angriff Dritter garantieren. Und mit einer erwartungsgemäß stark steigen­den Anzahl von externen Dienstleistern in den kommenden Jahren bleibt nicht mehr viel Zeit, um sich vor dieser sehr realen Gefahr zu schützen.

• VENDDR Wl.NERRBIUTY: WIE lßSSEN SICH SICHERHEITSRISIKEN DURCH DIE ZUSRNNENRRBEIT Nil EXTERNEN DIENSREISTIRN VERMEIDEN

Page 3: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

Innerhalb der im Februar 2016 durchgeführten Studie nahmen 608 IT-Entscheidungsträger an der Umfrage teil. Befragt wurden IT-Experten, die Einblick in die Prozesse im Zusammenhang mit dem Fernzugriff von externen Dienstleistern auf das interne Unternehmensnetz haben. Die IT Ex�erten waren unterschiedlichen Bereichen zugeordnet, wie u.a. IT Support/Helpdesk, lli Sicherheit oder Netzwerk/allgemeine IT-P.ositionen. Die iTeilnehme� stammten aus eine� Reihe verschiedener Branchen, einschließlich Fachdienstleistern, Finanzwesen, Produktion, Gesundheit, Einzelhandel und öffentlicher Dienst. Die Umfrage wurde in Deutschland, Großbritannien, Frankreich und den USA durchgeführt.

Page 4: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

Betrachtet man das große Netzwerk an externen Dienstleistern, übe� das die meisten Unternen­men verfügen, ist die Diskussion rund um das Thema Datensicherheitsverletzungen durcn Lieferantenzugriffe überaus wichtig._D_i""'e _ _ Befragten berichteten, dass durchschnittlich 89 Lieferanten J>ro Woche autdas Netzwerk inres Unternehmens zugreifen. Die Teilnehmer gaoen an, dass 45% der Drittunternehmen, die Zugang zu ihrem internen Netzwerk haben, sich im vergangenen Jah� auch dort eingeloggt haoen.

Page 5: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

BOMGAR"

DURCHSCHNITTLICH VERBINDEN SICH 89

EXTERNE DIENSTLEISTER PRO WOCHE MIT

DEM NETZWERK DIESER UNTERNEHMEN.

Lieferanten und Drittunternehmen sind für Unternehmen zweifelsohne wichtig. Sie sind Tell des Systems, In dem sich moderne Unternehmen bewegen müssen, und dieses System wird an Umfang und Bedeutung weiter zunehmen. Etwa Dreiviertel (7196) der Befragten erwarten, dass Ihre Unternehmen In den kommenden zwei Jahren noch stärker auf Drittunternehmen angewiesen sein werden.

Parallel zur Vergrößerung des komplexen Netzwerks an Lieferanten und Drittunternehmen, steigt Jedoch auch das Risiko. Ohne ausreichende Richtlinien für die Kontrolle und Verwaltung der Zugriffe von Lieferanten auf Ihr Unternehmens­netzwerk, steht nicht nur die Sicherheit Ihres Unternehmens auf dem Splel, sondern auch die Ihrer Mitarbeiter und Kunden. llIII]

O VEIDIII WllDIIIBIUTY: WIE lßSSEI SICH SIIJIBIHDISRISIKEII DURCH DIE nl!BIMEIRRBBT MIT EIIERIEI DIEISTlBSTERN VERNEIIEI

[JlD VERÄNDERUNG DER ANZAHL AN EXTERNEN DIENSTLEISTERN INNERHALB DER LETZTEN ZWEI JAHRE

bllll! Verlnderung

44% s1111g ..... um

bis ;ai 20')(,

2o/o RlidlgMg

Page 6: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

1

1

Es ist nicht so, dass Unternehmen diese Risiken nicht nachvollziehen können. Die Befragten waren sich im Allgemeinen der Gefaliren bewusst, die durch ineffiziente Verwaltung und unzureichende Nachvollziehbarkeit von Netzwerkzugriffen durch Lieferanten entstehen. Daraus ergab sich jedoch ganz klar, dass keine ausreichenden Maßnahmen ergriffen werden, um die Risiken und Bedenken rund um das Thema Sicherheitsverstöße durch Lieferantenzugriffe anzugelien.

Page 7: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

BOMGAR.

WIE WIRD MAN DURCH EXTERNE DIENSTLEISTER ANGREIFBAR?

X OFFENER, NICHT EINGESCHRÄNKTER ZUGANG ZUM NETZWERK

Knapp die Hälfte (44%) der Teilnehmer gaben an bei Netzwerkzugriffen von Lieferanten mit einem Zweipunkt-Ansatz (ON/OFF), anstatt mit verschie­denen Zugriffsebenen für verschiedene Lieferanten zu arbeiten. Dies läuft darauf hinaus, dass etwa jedes zweite Unternehmen externen Dienstleistern entweder Zugriff auf das gesamte Netzwerk gewährt, oder diese vollständig davon ausschließt.

Dieser Ansatz bringt große Risiken mit sich. Die meisten Lieferanten benötigen keinen Zugriff auf Ihr gesamtes Netzwerk. Sie sollten ihnen lediglich Zugang zu spezifischen Systemen oder Anwend­ungen gewähren, je nachdem welche Dienstleistung für Ihr Unternehmen übernommen wird. Dieses Vorgehen sollte mit Individuellen Zugangsdaten, entsprechenden Unternehmensrichtlinien und sicheren Tools für den Fernzugriff einhergehen.

X HOHES MAß AN {UNGERECHTFER­TIGTEM) VERTRAUEN IN EXTERNE DIENSTLEISTER

Viele haben zu großes Vertrauen in die externen Dienstleister, mit denen sie zusammenarbeiten. Die erstaunliche Anzahl von 92% der Befragten gibt an, dass sie ihren externen Dienstleistern vollkommen oder meistens vertraut. Die Erkenntnis nimmt zu, dass die Entscheidung der Netzwerkfreigabe für Ihre externen Dienstleister auf mehr als nur blindem Vertrauen basieren muss. Mehr als zwei Drittel (67%) der Befragten glauben, dass sie ihren Lieferanten tendenziell zu sehr vertrauen.

Unternehmen benötigen solide Kontrollen, um die Sicherheitsri­siken durch externe Dienstleister zu mindern. Wissen Sie, welche Technologie und Tools Drittunternehmen nutzen, um Ihr Netzwerk aufzurufen? Können Sie sehen, wann sie Ihr System betreten und was sie dort tun? Nutzen die Mitarbeiter Ihrer externen Dienstleister einfache Passwörter gemeinsam oder werden Best Practices in Sachen Sicherheit angewandt, wie z.B. mehrstufige Authentifizierung und Rotation von Anmeldeinfor­mationen? Es ist in der heutigen Zeit nicht mehr ausreichend darauf zu vertrauen, dass ein externer Dienstleister Sicherheits­richtlinien zum Schutz vor Bedrohungen anwendet. l[IJJ

X MANGELNDE TRANSPARENZ BEI NETZWEKZUGRIFFEN DURCH EXTERNE DIENSTLEISTER

Es ist angesichts der hohen Anzahl an wöchentlichen und jährlichen Netzwerkzugriffen von externen Dienstleistern absolut unumgänglich zu wissen, welche Dienstleister sich wann einloggen. Befragt man die Teilnehmer gezielt, kennen nur 35% sicher die tatsächliche Anzahl der Netzwerkzugriffe von Lieferanten und nur 34% kennen die Anzahl individueller Anmeldungen, die auf externe Dienstleister zurückzuführen sind.

Das womöglich schockierendste Ergebnis der Umfrage ist wohl Folgendes: 69% der Befragten geben an, dass sie innerhalb des letzten Jahres tatsächlich oder womöglich einen Sicherheitsverstoß verzeichneten, der sich durch den Zugriff von externen Dienstleister auf das Unternehmensnetzwerk ereignete. Die Tatsache, dass viele Unternehmen nicht einmal mit Sicherheit sagen können, ob ein Datensicherheitsverstoß Ergebnis eines Lieferantenzugriffs ist, ist ernüchternd. Zudem beweist es, dass Transparenz der Zugriffe eine Schlüsselrolle spielen muss.

Diese Zahlen weisen beim Thema Schutz vor Datensicherheitsverletzungen auf ein erhebliches Defizit auf Seiten vieler Unternehmen hin. Ohne Prüfprotokoll, das genau nachweist, welche Lieferanten Zugriff auf Ihr Netzwerk hatten, können Sie nie sicher sein, ob eines dieser Benutzerkonten kompromittiert wurde. Fall es dazu kommt, wird Ihr Unternehmen jegliche Verantwortung für eine Datensicherheitsverletzung tragen müssen.1[!11

O VENDDR WI.NERRBllßY: WIE UIS S EN SICH SICHERHEITSRISIKEN DURCH DIE ZUSAMMENARBEIT MIT EXTERNEN DIENSilEISTIRN VERMEIDEN

l[IJJ VERTRAUEN IN EXTERNE DIENSTLEISTER

7%

meistens

vollltindlg

1[!11 CYBER·ANGRIFFE AUFGRUND VON

NETZWERKZUGRIFFEN DRITTER

,

Ich weißes nicht/keine Ahnung

OL

J-. w•hnchelnllch

35% J-. definitiv

Page 8: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

BOMGAR"

X VERALTETE RICHTLINIEN UND UMSETZUNG RUND UM DAS THEMA

DRITT ANBIETER ZUGRIFFE

Zwei Drittel der Befragten berichten, dass sie es als schwierig empfinden, den sich wandelnden Sicherheitsbedrohungen für ihre Unternehmen entgegenzuwirken. Dies spiegelt sich in der Tatsache wider, dass mehr als die Hälfte (55%) der Teilnehmer ihre Richtlinien für Netzwerkzugriffe von externen Dienstleis­tern in den vergangenen zwei Jahren nicht überprüft haben. Lediglich 51 % sagten, sie setzen Richtlinien für Netzwerkzugriffe Dritter um.

Die Bemühungen, jedem neuen Sicherheitsrisiko durch

die Aktualisierung der Richtlinien für Drittanbieterzugriffe zu begegnen, können vergeblich erscheinen. Veränderungen ergeben sich täglich, manchmal sogar stündlich. Tatsache ist, dass eine aktuelle Richtlinie für Netzwerkzugriffe Dritter grundlegend für den Schutz Ihres Unternehmens ist. Noch viel entscheidender ist, dass jede festgelegte Richtlinie über eine entsprechende Umsetzungsstrategie und Tools verfügen sollte, welche die Implementierung von weiterent­wickelten Richtlinien einfach und wirksam gestaltet. ll!JII

74°/o SIND DER MEINUNG, DASS BEI DER AUSWAHL VON DRITTUNTERNEHMEN DEN HAUPTRISIKEN NICHT GENÜGEND BEACHTUNG GESCHENKT WIRD. 64°/o GEBEN AN, DASS IHRE UNTERNEHMEN SICH BEIM OUTSOURCING STATT AN SICHERHEIT MEHR AN KOSTEN ORIENTIEREN.

X SICHERHEIT WIR D NICHT ALS DAS WICHTIGSTE KRITERIUM BEI DER

LIEFERANTENAUSWAHL ANGESEHEN

Mehr als die Hälfte (56%) der Befragten denkt, dass die Bedrohung aufgrund von Netzwerkzugriffen von externen Dienstleistern in ihrem Unternehmen nicht ernst genug genommen wird. Tatsächlich glauben drei Viertel (74%), dass bei der Auswahl von Drittunternehmen den Hauptrisiken nicht genügend Beachtung geschenkt wird. 64% geben an, dass ihre Unternehmen sich beim Outsourcing statt an Sicherheit mehr an Kosten orientieren.

Diese Thematik ist nur sehr schwer zu lösen, da es neben

der Bereitstellung einer sicheren Lösung für die Verwaltung von Drittanbieterzugriffen gleichermaßen um eine Veränderung der Unternehmenskultur geht. Wenn Kosten so im Fokus der Geschäftsführung liegen, muss vielleicht folgendes erwähnt werden: Berichten zufolge hat die Sicherheitslücke bei Target zu Kosten in Höhe von 252 Mio. Dollar geführt. Wenn die Bedrohung nicht ernst genommen wird, sind die anfallenden Kosten weit höher als die Kosten für die Risikovorsorge. llIIE

• VENDDR WLNERRBIUTY: WIE lßSSEN SICH SICHERHEITSRISIKEN DURCH DIE ZUSRNNENRRBEIT Nil EXTERNEN DIENSREISTERN VERMEIDEN

llIJII LETZE ÜBERPRÜFUNG DER NETZWERKZUGRIFFE DRITTER

Vor mehr •lsdrel J•hren

30°/o

Vor einem Jehr

lnnerh•lb des

letzten J•hres

lch-iß es nicht/

keine Ahnung

llIIE UMFANG DER SICHERHEITSRICHTLINIEN IM BEZUG AUF

N ETZWERKZUGRIFFE DRITTER

Ot

Unsere Rlchtllnlen decken dies •b

und wir setzen sie kon111quent um

Ich -18 es nicht ßO/o

39% Unsere Rlchtllnlen

decken dln •b, •ber wir setzen sie

nkht Immer um

Page 9: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der
Page 10: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

BOMGAR.

Unsere Umfrageteilnehmer zeigen sich über zukünftige Sicherheitsverstöße besorgt. Mehr als zwei Drittel (77%) glauben, dass ihr Unternehmen innerhalb der nächsten zwei Jahre vor einem erheblichen Datensicherheitsprob-

lem aufgrund der Aktivität von Lieferanten in ihrem Netzwerk stehen wird. Besorgniserregend ist jedoch, dass 64% der Befragten befürchten, dass dies innerhalb des nächsten Jahres eintreten wird. IID

77°/o GLAUBEN, DASS IHR UNTERNEHMEN INNERHALB DER NÄCHSTEN ZWEI JAHRE VOR EINEM ERHEBLICHEN DATENSICHERHEITSPROBLEM AUFGRUND DER AKTIVITÄT VON EXTERNEN DIENSTLEISTERN IN IHREM NETZWERK STEHEN WIRD.

Parallel zur Vergrößerung des Netzwerks von Lieferanten und Drittunternehmen, steigt jedoch auch das Risiko potenzieller Datensicher­heitsverletzungen. Lieferanten werden ihrerseits zunehmend Drittunternehmen beauftragen, um Arbeiten in Ihrem Namen durch­führen zu lassen. 72% der Teilnehmer erachten dieses "Risiko durch Vierte" jedoch für die Zukunft als erhebliches Problem. Die Verwaltung von Netzwerkzugriffen für die externen

Dienstleister, die Sie kennen, ist schon schwierig genug, ganz zu schweigen von der Verwaltung für die, die Sie nicht kennen. Die wachsende Komplexität von Lieferantennetzwerken stellt dabei eine umfassende Herausforderung dar. Ein weiterer wichtiger Punkt ist, dass

die Anzahl der Geräte innerhalb Ihres Netzwerks in den kommenden Jahren exponentiell steigen wird. Knapp drei Viertel (74%) der Befragten zeigen

sich bereits für das kommende Jahr über Sicherheitslücken besorgt, die von diesen Geräten herrühren. Dabei handelt es sich nicht nur um Smartphones und andere mobile Endgeräte. Das "Internet der Dinge" und die starke Zunahme von internetfähigen Peripheriegeräten erhöhen erheblich die Anzahl der Angriffspunkte, über die ein Cyber-Angriff erfolgen könnte. [[l]I

IT-Manager, CIOs und CSOs wissen, was zur Minderung dieses Risikos unternommen werden muss. Mehr als die Hälfte (55%) nehmen an, dass ihr Unternehmen besser geschützt sein wird, wenn sie über eine Richtlinie verfügen, in der Lieferantenzugriffe entsprechend einer Risikoeinstufung klassifiziert sind. Beinahe acht von zehn Personen (78%) glauben, dass Datenschutzverletzungen Dritter nur durch Maßnahmen zur Zugriffskontrolle auf Personen-, Prozess- und Technologieebene effizient verringert werden können. Man ist sich darüber einig, dass bessere Kontrollen innerhalb des Lebenszyklus von externen Dienstleistern (57%). Effizienz bei der Verwaltung und Überwachung von Lieferanten (52%) und eine effiziente Kontrolle der Risiken durch Drittunternehmen (52%) wichtige Überlegungen für den Schutz vor Datensicherheitsverletzungen durch externe Dienstleister sein werden.

Nun bleibt nur noch der Übergang von der Bewusstwerdung hin zur Umsetzung.

• VENDDR WI.NERRBIUIY: WIE UISSEN SICH SICHERHEITSRISIKEN DURCH DIE ZUSRNNENRRBEIT Nil EXTERNEN DIENSilEISTERN VERMEIDEN

liD ZEITRAHMEN BIS ZU EINER SCHWERWIEGENDEN DA TE NS ICH ERH EITSVE RLETZU NG

24%

11%

Bereltl Weniger eingetreten als 1ech1

Monllte

%

Sechs Monate­elnJahr

Ein­zwei

Jahre

Lilnger alnwel Jahre

[[l]I SCHLÜSSELFRAGEN FÜR DEN SCHUTZ VOR DATEN SI CH E RH E ITSVERSTÖSSEN

Höhere Qu.lltit/strllrtere Kontrollen wihrend des ges•rnten Lt!benszyklus

von Drittuntemehmen

Geschwindigkeit/Effizienz bei der Verwaltung & Überwachung von

Ueferanten

Effiziente Ob-.c:hung von Risiken durch externe Dlenstllllster

Elnheltllchkelt bei der Verw11ltung der Netzwerkzugriffe Dritter

Verringerung der Kosten & des Zeitllufwllnd1 bei der Verwaltung von

Ris iken durch extern e Dienstleister

Verbesserung der Einhaltung von Compll•nce-Rlchtllnlan

---�57°/o ____ 5 o,

52%

37%

19°/o

Page 11: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

PRIVILEGED ACCESS MANAGEMENT

II Die Auflistung aller Lieferanten samt ihrem bestehenden Zugang

zu Systemen, Daten oder Anwend­ungen sowie dem Grund für deren Zugriffsbedarf. Diese Informationen sollten regelmäßig überprüft werden, um festzustellen, ob Lieferanten immer noch auf entsprechender Ebene Zugriff erhalten müssen.

II Einschränkung des Zugriffsindividueller Lieferanten (auch

individueller Personen innerhalb des Drittunternehmens), sodass sich diese nur in die Anwendung oder Systeme einloggen können, die für ihre Position erforderlich sind.

II Identifizierung, wenn einLieferantenkonto möglicherweise

kompromittiert wurde, sowie die sofortige Entziehung oder Einschränkung der Netzwerkzugriffs­berechtigung von bestimmten Lieferanten.

G VENDDR Wl.NERRBIUTY: WIE lßSSEN SICH SICHERHEITSRISIKEN DURCH DIE ZUSRNNENRRBEIT Nil EXTERNEN DIENSREISTIRN VERMEIDEN

a Einführung und Umsetzung vonProzessen, die festlegen, wer in

Ihrem Unternehmen dazu berechtigt ist, externen Dienstleistern Zugriff zu gewähren.

II Kontrolle und Überwachung von zusätzlichen Lieferanten, die auf

Ihre Systeme zugreifen könnten, wie z.B. vierte Subunternehmer.

Page 12: Bomgar Vendor Vulnerability Research DE · as US-amerikanische Einzelhandelsun ternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der

Recommended