Am wirksamsten sind Honeypots, wenn sie großflächig eingesetzt werden und somit eine breite Angriffsfläche bieten. Durch die technische Weiterentwicklung sind sie mittlerweile – auch im Vergleich zu IDS/IPS – kostengünstig und für den Einsatz in der OT einfach konfigurierbar. Auf einer Anwendung lassen sich mehrere zehntausend Honeypots einsetzen. Im Idealfall sollten wichtige Netzsegmente jeweils zur Hälfte aus echten und unechten Systemen bestehen. Cyberangriffe werden normalerweise von langer Hand geplant und innerhalb von Minuten durchgeführt. Honeypots bemerken bereits in einer frühen Phase, wenn jemand unautorisiert im Netzwerk unterwegs ist. Da sie nur bei echten Angreifern, Viren oder Trojanern anschlagen, erzeugen sie wenige, aber dafür qualitativ hochwertige Nachrichten. Anders beim IDS/IPS: Das System schaltet sich erst ein, wenn es Datenanomalien erkennt. Das kann auch Fehlermeldungen bei erwünschten Veränderungen verursachen, etwa, wenn wegen einer Urlaubsvertretung ein Update des Betriebssystems von einem anderen Rechner als üblich erfolgt. Oft verhindert dies, dass Unternehmen Angreifer erkennen.
Über Honeypots lässt sich zudem steuern, was Cyberkriminelle in Netzwerken sehen. Sie bieten sich etwa bei einem Port-Scan aktiv an. Die ‘unechten’ Betriebssysteme oder Steuerungen, die auf den virtuellen Instanzen laufen, lassen sich beliebig verändern, um mit den Angreifern zu interagieren und sie so lange wie möglich auf den Honeypots zu halten. Als besonders wirksam erweisen sich die Täuschungen (Deception) bei Ransomeware-Angriffen. Gelingt es einem klassischen IDS/IPS, eine solche Attacke abzuwehren, merkt der Angreifer, das er nicht weiterkommt und sucht nach einem neuen Weg. Verschlüsselt er hingegen einen Honeypot, erstickt das den Angriff im Keim. Die Attacke läuft ins Leere und verursacht keinen Traffic mit dem Hauptnetzwerk, da nicht mit Switches, Routern oder Firewalls kommuniziert wird. Besonders relevant ist das für die OT, denn so wird die produktive Umgebung nicht beeinflusst. Mit sogenannten Honey-Boxen, die eine Vielzahl an Honeypots bündeln, lassen sich – je nach Angriffsart – mehr als 50 verschiedene Systemtypen darstellen.
Im Gegensatz zu einem automatisert ablaufenden IDS/IPS benötigt eine Honeypot-Lösung allerdings ein Management. Das System muss betreut, optimiert und überwacht werden, um bei einem Angriff reagieren zu können. Dies kann entweder durch interne Mitarbeiter oder externe Dienstleister geschehen. Der Mehrwert liegt darin, bösartige Aktivitäten zu verlangsamen. Die Zeit, in der sich ein Hacker mit einem für ihn wertlosen Köder beschäftigt, gilt es zu nutzen, um den Angriff zu entschärfen und möglichst viele Daten über den Ablauf zu sammeln. Mit diesen Informationen kann die Sicherheitsstrategie weiter verbessert werden. Unternehmen mit entsprechende Know-how und Personal decken das inhouse ab. Die Alternative sind externe Managed Services, bei denen auf Cybersecurity spezialisierte Dienstleister ihre Kapazitäten und Erfahrungen einbringen.
2023 blockierte Trend Micro mehr als 161 Milliarden Cyberbedrohungen weltweit - 10 Prozent mehr als im Jahr zuvor und fast 107 Milliarden mehr als noch vor fünf Jahren. Der Security-Spezialist berichtet zudem davon, dass Cyberkriminelle gezieltere Attacken setzen. Auch Cloud-Umgebungen rücken zunehmend in den Fokus.‣ weiterlesen
Im Juli 2023 ist die neue EU-Maschinenverordnung in Kraft getreten. Ab dann bleiben noch 42 Monate, um die neuen Vorgaben anzuwenden. Welche securityrelevanten Aspekte dabei von Bedeutung sind, zeigt der folgende Beitrag. (Bild: ©S and V Design/stock.adobe.com)Technologische Entwicklungen im Maschinenbau, allen voran die intelligente Vernetzung von Maschinen und die Verwendung von KI-Technologie, bringen auch neue Herausforderungen mit sich: Verstärkt müssen sich Unternehmen auch dem Thema der Cyberkriminalität widmen. Immer häufiger sehen sie sich Hacker-Angriffen ausgesetzt, Datendiebstahl sowie -verschlüsselung und damit einhergehende Erpressungsversuche können beträchtliche finanzielle Schäden verursachen. Diesen Entwicklungen trägt die neue EU-Maschinenverordnung (EU) Nr. 2023/1230 Rechnung. In ihr finden sich Vorgaben zur Cybersicherheit, die Unternehmen künftig umsetzen müssen, um auch weiterhin das CE-Kennzeichen zu erhalten. Im Unterschied zur alten Maschinenrichtlinie 2006/42/EG gilt die Verordnung für alle EU-Länder und muss nicht erst in nationale Gesetze gegossen werden. Obgleich sie erst ab dem 20. Januar 2027 anzuwenden ist, stellt die neue EU-Maschinenverordnung im Bereich der Cybersecurity anspruchsvolle Vorgaben, auf die sich die Unternehmen frühzeitig vorbereiten sollten.Die Verordnung nimmt vor allem die Hersteller in die Pflicht. Sie sind künftig dazu angehalten, Vorkehrungen zu treffen, um ihre Maschinen gegen Cyberangriffe zu sichern. Doch bedeutet dies nicht, dass damit die anderen Akteure aus der Verantwortung entlassen wären – insbesondere die Anwender werden zu einer gewissenhaften Nutzung angehalten.Die neuen Vorgaben zur Cybersecurity finden sich größtenteils in Anhang lll der Verordnung. Relevant sind hier vor allem folgende Aspekte:
So wie Hacker verstärkt künstliche Intelligenz in ihre Angriffe integrieren, dürften auch Security-Ansätze häufiger von KI profitieren. Ob generative KI im Sinn von ChatGPT und Dall-E das Identitäts- und Zugangsmanagement verändern könnte,
behandelt Dirk Decker (Bild) von Ping Identity im Meinungsbeitrag. Vorneweg: Sie wird es – aber in einigen Jahren. ‣ weiterlesen
Trend Micro hat seinen Sicherheitslagebericht zur Jahresmitte vorgestellt. Demnach wird generative künstliche Intelligenz immer mehr zur Bedrohung. Auch Linux-Systeme werden häufiger angegriffen.‣ weiterlesen
Laut einer aktuellen Studie des TÜV-Verbands waren 11 Prozent der teilnehmenden Unternehmen im vergangenen Jahr von IT-Sicherheitsvorfällen betroffen. Der Krieg in der Ukraine aber auch digitale Trends erhöhen die Risiken. Zu den häufigsten Angriffsmethoden zählen Phishing und Erpressungssoftware.‣ weiterlesen
Wie der IT-Security-Spezialist Sophos in einem aktuellen Report beschreibt, können Lösegeldzahlung im Falle von Ransomware-Angriffen Wiederherstellungskosten zusätzlich vergrößern. In Deutschland waren laut Untersuchung 58 Prozent der befragten Organisationen von einer Attacke betroffen.‣ weiterlesen
Welchen Gefahren sind Unternehmen Kritischer Infrastrukturen (KRITIS) derzeit ausgesetzt? Wo liegen ihre größten Herausforderungen? Und welche Rolle spielen Systeme zur Angriffserkennung dabei? Um diese und weitere Fragen zu beantworten, hat das Research- und Beratungsunternehmen Techconsult im Auftrag der Secunet Security Networks AG mehr als 120 Kritis-Unternehmen befragt.‣ weiterlesen
Edge ist nicht gleich Edge: Für unterschiedliche Einsatzzwecke haben Unternehmen die Wahl zwischen mehreren Varianten der dezentralen Datenverarbeitung. Couchbase, Anbieter einer Datenmanagement-Plattform, zeigt die fünf verschiedenen Typen des Edge-Computings. ‣ weiterlesen
Cyberattacken gelten als Bedrohung Nummer 1 für Unternehmen. Umso wichtiger ist es, auf mögliche Vorfälle vorbereitet zu sein. Dadurch kann im Ernstfall der Umgang mit der Krise leichter fallen. Welche Punkte es dabei zu beachten gilt, beleuchten Johannes Fischer und Joshija Kelzenberg von Crunchtime Communications.‣ weiterlesen