:quality(80)/p7i.vogel.de/wcms/ad/c2/adc201f97f0060f4cd626f625e92b6cb/0111701152.jpeg "Manja Schüle, Brandenburgs Wissenschaftsministerin, über ChatGPT: „Manchmal behauptet es auch schlicht Unsinn“ (Bild: Karoline Wolf)")
:quality(80)/p7i.vogel.de/wcms/f5/98/f598a6d642a33b9684c389194f97bd7d/0111701130.jpeg "Digitalisierungsminister Pegel sieht in Taiwan ähnliche Herausforderungen bei der Digitalisierung wie in Mecklenburg-Vorpommern (Bild: Konstantin Hermann – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/cc/3fcc311534553ef9bc4c6b67dd04f5bb/0111654194.jpeg "Stephan Weil, Ministerpräsident Niedersachsens: „Wir müssen auch in Deutschland unsere kritische Infrastruktur wirksamer schützen“ (Bild: Niedersächsische Staatskanzlei/Rainer Jensen)")
:quality(80)/p7i.vogel.de/wcms/d2/7a/d27a10c8fde9b0e4a061bb515505574c/0111643548.jpeg "Mit dem Paket für die digitale Verwaltung will die Bundesregierung die im Koalitionsvertrag festgeschriebenen Ziele zur Modernisierung der deutschen Verwaltung, zum Abbau von Digitalisierungshemmnissen und zur Steigerung der Wettbewerbsfähigkeit Deutschlands untermauern (Bild: merklicht.de – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/bf/babf6f753a6efbc5402a8daae1feb5da/0111701988.jpeg "OpenAI-Chef, Sam Altman: „Es gibt Situationen – und ich denke, dies ist eine davon – in denen wir proaktiv handeln sollten“ (Bild: SomYuZu – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/f4/63f4dc9e353db0b67d8636fdb8178cfc/0111665805.jpeg "Heinz-Peter Meidinger engagiert sich seit Jahrzehnten in Berufsverbänden und gilt als renommierter Fachmann der Bildungspolitik. Ende Juni verabschiedet er sich in den Ruhestand (Bild: Deutscher Lehrerverband)")
:quality(80)/p7i.vogel.de/wcms/02/e8/02e8b3d8e10eef85e7828d81e280c99b/0111639721.jpeg "Der TÜV-Süd unterstützt Rechenzentren beim Zertifizierungsprozess „Blauer Engel“ nach DE-U/ 228 (©TÜV-Süd)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/7b/a87bfecc5f927cc79fe3596501350818/0111556710.jpeg "Die KOMMUNALE in Nürnberg bringt Entscheider der Öffentlichen Verwaltung mit Vertretern der freien Wirtschaft in Kontakt. (© KOMMUNALE)")
:quality(80)/p7i.vogel.de/wcms/b5/07/b507687cad6f633b5946875b43216670/0111470895.jpeg "Daniela Ortmann ist die neue Vorsitzende des ver.di Bundesbeamtenausschusses (© Kay Herschelmann)")
:quality(80)/p7i.vogel.de/wcms/68/70/6870e7d1b1ebc1dd259363988e4e1e3c/0111426991.jpeg "Manuel Atug (AG KRITIS) warnt auf dem KISA Kundenforum 2023 vor Hackern (© KISA)")
:quality(80)/p7i.vogel.de/wcms/b7/0a/b70a3259150992ec5292d4c62977b0d8/0111438101.jpeg "Im Bundeskanzleramt in Berlin übernimmt Frederik Blachetta ab sofort die Position des CDO (Bild: draghicich - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/21/a0219e077801ea3a97a91fa4847b7527/0111190125.jpeg "(© Computacenter)")
:quality(80)/p7i.vogel.de/wcms/47/2f/472f90c283a6dc05875b31699f425268/0111183793.jpeg "(© Axians Infoma)")
:quality(80)/p7i.vogel.de/wcms/61/45/6145082fe2d5d082ec1290cf8b4bd8b1/0110567250.jpeg "(© National Cancer Institute)")
:quality(80)/p7i.vogel.de/wcms/bd/33/bd33df83fceedc71c6fd7fc0c5ee8c5f/0110567236.jpeg "(© Suriyo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/00/84/008499da62176484461a2e25407be021/0111256989.jpeg "Der Schirmherr des eGovernment Summit 2023, der Beauftragte der Bundesregierung für Informationstechnik, Dr. Markus Richter (Bild: Vogel IT-Akademir)")
:quality(80)/p7i.vogel.de/wcms/59/ea/59eaf92ed9991222146abe4a8cea85ab/0111200130.jpeg "Machen Sie mit und wählen Sie den CIO des Jahres 2023! (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/4c/0d/4c0de169fbce22d9a750037ed1d4d66b/0111495677.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/13/2b/132bb48c68be3db224a1608e8891bb4f/0111416944.jpeg "(© Maridav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ea/4aeaf61fff726dbdc495e4ae61432ec4/0111416905.jpeg "(© regisafe)")
:quality(80)/p7i.vogel.de/wcms/af/aa/afaabca5b950364133618dc00c3416e0/0111674953.jpeg "3rd Level Support: höchste Eskalationsstufe im Kundendienst (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/a9/26a90eda36e087cd9836ebdbbb173383/0111674095.jpeg "2nd Level Support: Bindeglied zwischen 1st Level Support und 3rd Level Support (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/45/2045b59fd6df7e7fa8a2492a7f361e78/0111673527.jpeg "Eine adaptive Sicherheitsrichtlinie erlaubt es Administratoren, sich schnell an die sich ständig ändernde Bedrohungslandschaft anzupassen (Bild: aga7ta – stock.adobe.com)")
Zentralbank Bangladesch Bankraub mithilfe gestohlener Passwörter
Die größten Sicherheitslücken im Firmennetzwerk entstehen, wenn Cyber-Kriminelle in den Besitz von Zugangsdaten gelangen. Wie real die Gefahr eines solchen Hacker-Angriffes ist, erlebte die Zentralbank von Bangladesch. Ihr Fall zeigt auch, dass sich ein schlüssiges Sicherheitskonzept nicht allein auf den Passwortschutz beschränken darf.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/106800/106874/65.png "pp_h_rgb.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/ac/5fac002ce6460/nortal-rgb-positive--1---1-.png "Nortal_RGB_positive (1) (1).png (Nortal)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Im Februar dieses Jahres erbeuteten Hacker 81 Millionen US-Dollar von der Zentralbank in Bangladesch, die sie in die Philippinen überwiesen und über zwischengeschaltete Spielbank-Konten im Nirwana verschwinden ließen. Bis die Bank diesen Cyber-Angriff bemerkte, war es zu spät.
Erst als die Hacker weitere 870 Millionen US-Dollar stehlen wollten, flogen sie auf. Von den 870 Millionen US-Dollar konnte die Bank das meiste retten – die 81 Millionen auf den Philippinen sind definitiv weg. Der Trick bei dem Bankraub war recht simpel: Gestohlene Zugangsdaten dienten den Cyber-Kriminellen dazu, sich in das SWIFT-Netz für Bankenkommunikation einzuwählen und dort die Überweisungen zu veranlassen.
Banken geben viel Geld für Sicherheitssysteme aus, um ihre Software und Netzwerke vor Angriffen von außen zu schützen. Wenn der Eindringling jedoch einen Schlüssel hat, nutzt das beste Abwehrsystem nichts. Ein Hacker kann sich mit einem gestohlenen Passwort als autorisierter Mitarbeiter tarnen und unbemerkt verschiedene Aktionen durchführen. Das System akzeptiert die passenden Zugangsdaten und erkennt folglich keinen Einbruch, vor dem es warnen müsste.
Schwachstellen detailliert dokumentiert
Wie raffiniert Angreifer heute solche Schlupflöcher nutzen, kann man in einem Hacker-Tagebuch im Internet detailliert nachlesen. Der Autor beschreibt, wie er in das Netzwerk des italienischen IT-Security-Unternehmens Hacking Team eingedrungen ist und sich anschließend von Sicherheitslücke zu Sicherheitslücke gehangelt hat.
Angeblich sei es noch viel einfacher, in die großen Netzwerke der Fortune-500-Unternehmen einzudringen. Diese böten viele Angriffspunkte, weil sie eMail-Adressen nicht ausreichend sichern und anfällige Technologie einsetzen. Die Bedrohung, welche von gestohlenen Zugangsdaten und Passwörter ausgeht, betrifft demnach alle Unternehmen.
Eine aktuelle Studie von Skyhigh Networks zeigt, dass im Durchschnitt jeder zehnte Mitarbeiter bereits Opfer eines solchen Übergriffs war. Auch Verizons 2016 Data Breach Investigations Report bestätigt die Gefahr: 63 Prozent aller datenbezogener Sicherheitsverletzungen stehen in Zusammenhang mit gestohlenen Passwörtern. Außerdem gibt es immer wieder Meldungen über gehackte E-Mail-Accounts oder gestohlene Zugangsdaten, die Kriminelle weiterverkaufen. Damit werden Angreifern Tür und Tor geöffnet.
Die Internet-Verbindung als Risikofaktor
Unternehmen sind in Zeiten der Digitalisierung kein in sich abgeriegelter Mikrokosmos mehr. Viele Mitarbeiter nutzen private Smartphones, Tablets oder Notebooks am Arbeitsplatz – oder dürfen umgekehrt Firmengeräte für Privates einsetzen. Das Risiko des Passwortdiebstahls steigt, je mehr sich Privates und Geschäftliches vermischen.
Via Cloud-Dienst können Mitarbeiter von überall über verschiedene Endgeräte auf sensible Firmendaten zugreifen. Dadurch gibt es nicht mehr nur ein zentrales Tor, durch das Angreifer eindringen können, sondern eine Vielzahl an kleinen Türen. Die ständige Verbindung mit dem Internet macht diese Eingänge für Hacker zu verlockenden Zielen. So veranschaulicht auch die Studie von Verizon die Online-Verbindungen als das derzeit größte IT-Sicherheitsrisiko für Unternehmen.
Entscheidend ist, dass man diese Eingangspunkte überwacht. Hier kommt ein automatisiertes Monitoring ins Spiel. Die verwendeten Tools sammeln ununterbrochen Daten über die Aktivitäten im System und werten sie in Echtzeit aus. Sie sind außerdem rund um die Uhr im Einsatz und analysieren riesige Mengen an Informationen.
Wenn nun zum Beispiel ein Mitarbeiter große Datenmengen herunterlädt, sensible Inhalte löscht oder – wie im Fall der Zentralbank von Bangladesch – große Geldsummen auf ungewöhnliche Konten überweist, fällt das auf. Denn die IT-Security-Abteilung erkennt mithilfe der Software diese verdächtigen Vorkommnisse sofort und leitet umgehend Abwehrmaßnahmen ein.
Ein passendes Security-Konzept ist notwendig
Zu einem erfolgreichen Security-Konzept gehört neben dem Monitoring eine Firewall auf dem neusten Stand. Auch die aktuellen Software-Updates müssen eingehalten und eingespielt sein. Denn immer wieder werden auch in großen Standardanwendungen Sicherheitslücken aufgedeckt, die es schnellstmöglich zu schließen gilt, bevor Angreifer sie ausnutzen.
Die getroffenen Sicherheitsvorkehrungen dürfen sich jedoch nie auf einen einzigen Aspekt konzentrieren, sondern sie müssen sich zu einem mehrschichtigen Security-Konzept zusammenfügen. So war es von der Zentralbank in Bangladesch ein großer Fehler, nur auf den Passwortschutz zu vertrauen. Die Bank ging davon aus, dass sich das gesicherte SWIFT-System nicht hacken lässt und deshalb keine weiteren Sicherheitsvorkehrungen notwendig sind.
Jedoch mussten die Hacker das System gar nicht knacken. Ihnen reichten die gestohlenen Zugangsdaten vollkommen aus, um ins System einzudringen. SWIFT weist jede Verantwortung für den Einbruch zurück und lehnt Schadenersatzansprüche ab. Denn Verantwortung trage allein die Bank, die eigene IT-Umgebung abzusichern.
Mit einem mehrschichtigen Security-Konzept aus Passwortschutz, Firewall und automatischem Monitoring hätte die Zentralbank in Bangladesch den Hackerangriff und damit den Millionenschaden abwenden können.
* Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609060/original.jpg "Server des Zollkriminalamts und der Bundespolizei werden gehackt, darunter ein Server, auf dem das Patras-System läuft: ein Geodaten-Programm, das den Standort von Ermittlern und Tatverdächtigen anzeigen kann. Sie veröffentlichen Rufnummern von GPS-Trackern, Namen von Beamten und Angaben zu observierten Fahrzeugen. Als Täter wird die Hacker-Gruppe No-Name-Crew genannt. Jüngst wurde bekannt, dass der Hack einen Familienstreit zum Ursprung hat, in dem ein Bundespolizeimitarbeiter seiner Tochter einen Trojaner auf den Rechner spielte, um deren Internetaktivitäten zu überwachen. Ein Hacker-Freund der Tochter bemerkte dies und drang über den PC des Vaters in den Server der Bundespolizei.")
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609061/original.jpg "Hacker dringen in das Netzwerk der Bundes-CDU und gelangen so an 5.800 Datensätze mit eMail-Adressen, Namen und Mitgliedsnummern.")
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609057/original.jpg "Das Computersystem des Internationalen Währungsfonds (IWF) ist Ziel eines Hacker-Angriffs. Nach Medienberichten werden eMails und andere Dokumente entwendet.")
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609055/original.jpg "Mit einem Trojaner gelangen Unbekannte in Computer des französischen Wirtschafts- und Finanzministeriums. Ziel sind vertrauliche Dokumente zur französischen G20-Präsidentschaft.10.000 Computer werden vorsichtshalber heruntergefahren.")
(ID:44173515)
:quality(80)/images.vogel.de/vogelonline/bdb/1942700/1942744/original.jpg "Die Malware Emotet ist mit ganzer Kraft wieder da (Alexander Limbach - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947200/1947237/original.jpg "Die Malware Emotet wird per eMail-Anhang verbreitet (aga7ta - stock.adobe.com)")