In einer Sicherheitsrichtlinie werden Schutzziele und allgemeine Sicherheitsanforderung im Sinne offizieller Vorgaben eines Unternehmens oder einer Behörde formuliert. Detaillierte Sicherheitsmassnahmen sind in einem umfangreicheren Sicherheitskonzept enthalten.
Die Standard-Absicherung entspricht im Wesentlichen der klassischen IT-Grundschutz-Vorgehensweise. Mit der Standard-Absicherung kann ein ISB die Assets und Prozesse einer Institution sowohl umfassend als auch in der Tiefe absichern. Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.
Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.
Eine Backdoor oder Hintertür ist die Bezeichnung für eine unbefugte, heimliche und bewusst eingebaute Möglichkeit, den normalen Zugriffsschutz auf einem IT-System oder Software-Programm (Betriebssystem, Anwendung) zu umgehen und sich unbemerkt Zugriff darauf zu verschaffen. Bestimmte Staaten motivieren ihre inländischen Hersteller Backdoors in ihre IT-Produkte, um Wirtschaftsspionage betreiben zu können oder im Falle eines Cyberwars im Vorteil zu sein. Auch Hersteller von IT-Systemen nutzen implementierte Backdoors, um zu Service-oder Reparaturzwecken einen schnellen Zugriff auf ein IT-System zu gewährleisten. Damit lassen sich beispielsweise vergessene Zugangsdaten wieder zurücksetzen. Diese bewusst eingebauten Hintertüren stellen jedoch ein IT-Sicherheitsrisiko für den Nutzer dar, da die vorhandenen IT-Sicherheitsmechanismen mit der Kenntnis des geheimen Zugangs überwindbar sind. Backdoors werden auch häufig im Zusammenhang mit Malware verwendet, um unbefugten Zugriff auf ein IT-System zu erlangen.
Beispiele von Backdoors
Frontdoor als Alternative
Ein Botnet oder Botnetz ist der Zusammenschluss von Bots in einem vom Botmaster kontrollierten Netzwerk. Dabei ist ein Bot ein kompromittiertes IT-System (Endgerät, IoT-Gerät, …), das mit Schadsoftware (Malware) infiziert ist und durch eine entfernte Stelle (Botmaster) ohne Einverständnis und Kenntnis des Besitzers flexibel
steuerbar ist. Das heisst, der Botmaster kann die Daten und alle weiteren Ressourcen zu seinem Zwecke nutzen.
Der Botmaster ist der Angreifer mit entsprechenden Angriffstechnologien, der die Kontrolle über das Botnetz hat. Er ist in der Lage flexibel unterschiedliche Schadfunktionen (Spam, DDoS, Keylogger, Ransomware, Spyware, Adware, Trojanisches Pferd, …) in die intelligente Malware der Bots herunterzuladen und diese aus der Ferne zu steuern. Die C&C-Kommunikation (C2) ist die Netzwerkkommunikation zur Steuerung und Kommandierung von Bots (engl.: Command & Control). Es gibt Botnetze mit sehr vielen Bots: 1000, 10.000, 100.000 oder sogar 1.000.000.
In der Regel arbeiten die Cyberkriminellen auch mit einem funktionierenden Ökosystem. Es gibt Organisationen, die sich mithilfe der besten Informatik der Welt um die Programmierung von intelligenter Malware kümmern. Die eingebundenen Informatiker bekommen meist spezielle Aufgaben, die nicht direkt darauf schliessen lassen,
dass es sich um Malware handelt. Andere Organisationen haben sich darauf spezialisiert, die Malware auf die
IT-Systeme zum Beispiel über E-Mail-Anhänge von Phishing-Mails oder manipulierte Webseiten durch Drive-by-Downloads zu bekommen und damit ein aktives Botnetz aufzubauen. Dann gibt es noch Organisationen, die die Botnetze mit den gewünschten Schadfunktionen für eine spezielle Aufgabe und Zeit vermieten.
Die zentrale Idee von Bug-Bounty-Programmen ist, die Hacker-Community, Wissenschaftler oder weitere Akteure finanziell zu animieren, Schwachstellen in den eigenen Cyber-Sicherheitsprodukten und -Lösungen zu finden. Die Unternehmen, die das Bug-Bounty-Programm etablieren, können die gefundenen Schwachstellen dann zeitnah beheben, bevor kriminelle Organisationen sie nutzen können. Damit helfen Bug Bounty-Programme den Herstellern von IT-Produkten und -Lösungen Schwachstellen zu finden, damit diese behoben werden können, bevor sie Schäden bei den Kunden verursachen. Manchmal werden Bug-Bounty-Programme auch als Kopfgeld-Programme für Schwachstellen in Software der Auftragsgeber bezeichnet. Wirksame Lösung gegen Schwachstellen Erfahrungen mit Bug-Bounty-Programmen zeigen, dass die finanzielle Unterstützung
von Bug-Bounty-Programmen bis zu 100-mal kostenwirksamer ist, als eigenständige Bemühungen der Hersteller der IT-Produkte und -Lösungen Schwachstellen zu finden. Aus diesem Grund investieren immer mehr Hersteller von IT-Produkten und -Lösungen in Bug-Bounty-Programme, um die Anzahl an Schwachstellen erfolgreich
zu reduzieren und damit einen dringend notwendigen höheren Level an IT-Sicherheit von Cyber-Sicherheitsprodukten und -Lösungen zu erreichen. Bug-Bounty-Programme sind ein sehr effektives Mittel, um den Level an IT-Sicherheit in der IT und im Internet zu erhöhen.
Cyber-Resilience oder Cyber-Widerstandsfähigkeit ist eine ganzheitliche Strategie zur Stärkung der Widerstandskraft der IT-Systeme und IT-Infrastruktur einer Organisation gegenüber Cyber-Angriffen. Cyber-Resilience beinhaltet unter anderem die Konzepte der Cyber-Sicherheit und des Business Continuity Management (BCM). Cyber-Resilience soll Cyber-Angriffe auf die IT verhindern sowie den sicheren Weiterbetrieb der Geschäftsprozesse und die schnelle Wiederaufnahme des Betriebs der IT-Systeme und IT-Infrastruktur bei einem Ausfall sicherstellen. Je höher die zu schützenden Werte einer Organisation und damit das Risiko eines finanziellen Schadens sind, desto höher muss die Cyber-Resilience sein. Ziel ist es, eine hohe Robustheit der IT-Systeme und IT-Infrastruktur eines Unternehmens oder einer Organisation gegenüber den verschiedenen Bedrohungen zu schaffen und Risiken für Betriebsausfälle zu minimieren.
Eine Cyber-Sicherheitsarchitektur beschreibt die Cyber-Sicherheit auf zwei Ebenen:Sie legt die Grundstrukturen, das Fundament, fest und definiert Regeln, die das dynamische Zusammenspiel aller Cyber-Sicherheitskomponenten koordinieren.
Eine Cyber-Sicherheitsgefahr ist eine Situation oder ein Sachverhalt, der zu einer negativen Auswirkung führen kann. Diese negative Auswirkung einer Cyber-Sicherheitsgefährdung trifft in der Regel die Werte der Betroffenen. Beispiele von Cyber-Sicherheitsgefahren durch Angreifer sind:
Beispiele von Cyber-Sicherheitsgefahren durch das Unternehmen oder die Mitarbeiter:
Cyber-Sicherheitskonzepte sind eine umfassende Zusammenstellung der Cyber-Sicherheitsziele und daraus abgeleiteten Cyber-Sicherheitsstrategien und Cyber-Sicherheitsmassnahmen zur Umsetzung eines Cyber-Sicherheitssystems. Ein Beispiel für ein Sicherheitskonzept ist die Zusammenarbeit von PKIs (Private
Key-Infrastrukturen). Das Cyber-Sicherheitsziel ist, dass die Zertifikate von verschiedenen PKIs von allen Nutzern der verschiedenen PKIs verifiziert und genutzt werden können.
