Ein weiteres Jahr neigt sich dem Ende \u2013 Zeit f\u00fcr uns, auf das, was war, zur\u00fcckzublicken. 2021 standen viele Themen auf der Agenda: Ransomware ist und bleibt eine Gefahr f\u00fcr Unternehmen jedweder Gr\u00f6\u00dfe, Betreibende kritischer Infrastrukturen (KRITIS) waren gefordert und auch im Bereich der Zertifikate gab es Neuerungen. Wir fassen dieses aufregende Jahr f\u00fcr Sie zusammen und geben Ihnen einen spannenden \u00dcberblick \u00fcber die wichtigsten Themen des Jahres.<\/p>\n
<\/p>\n
Verschl\u00fcsselung sei ein Mittel, mit dem sich Terroristen sch\u00fctzen w\u00fcrden, w\u00e4hrend Strafverfolgende vor unl\u00f6sbaren Herausforderungen st\u00fcnden. Das war der Tenor gleich zu Beginn des Jahres 2021, als Regierungen sich nach dem Terroranschlag in Wien gegen Ende-zu-Ende-Verschl\u00fcsselung aussprachen. Der Crypto Wars war auch 2021 in vollem Gange: Man hatte eine Resolution zum Entschl\u00fcsseln beschlossen.<\/p>\n
In unserem Beitrag \u201eVerschl\u00fcsselungsverbot: EU macht Ernst mit Crypto Wars\u201c<\/a> zeigten wir Anfang Januar in einem R\u00fcckblick, wie es zu den Pl\u00e4nen kam und wie es mittels Generalschl\u00fcssel gelingen sollte, verschl\u00fcsselte Kommunikationen zu dechiffrieren. Der Branchenverband Bitkom warnte in einer Grundsatzerkl\u00e4rung vor der Schw\u00e4chung der Verschl\u00fcsselung, weitere Vereinigungen schlossen sich dieser Warnung an. Die Resolution zum Entschl\u00fcsseln wurde \u2013 allen Warnungen und Alternativen zum Trotz \u2013 beschlossen. Wie Bitkom h\u00e4tten auch wir uns einen inklusiveren, demokratischeren und kooperativeren Ansatz gew\u00fcnscht.<\/p>\n Exchange Server, der Dienst von Microsoft, mit dem sich die E-Mail-Kommunikation in Netzwerken steuern l\u00e4sst, hat ein riesiges Sicherheitsproblem. Microsoft versuchte, die Schwachstellen mit au\u00dferplanm\u00e4\u00dfigen Updates zu schlie\u00dfen \u2013 das klappte eher m\u00e4\u00dfig. Zudem spielte der Redmonder die Gefahr, die von den Exchange-Sicherheitsl\u00fccken ausgeht, zun\u00e4chst herunter. Da zehntausende von Unternehmen, Beh\u00f6rden, Forschungseinrichtungen, Banken und anderen Institutionen betroffen waren und immer noch sind, war die Lage ernst \u2013 so ernst, dass das BSI die \u201eIT-Bedrohungslage rot\u201c ausgerufen hatte. Unternehmen mussten aktiv werden \u2013 und sie m\u00fcssen es immer noch, denn auch heute, fast ein Jahr nach Bekanntwerden der L\u00fccken, werden diese ausgenutzt. In unserem Beitrag \u201eMicrosoft Exchange Server-Hack verursacht IT-Bedrohungslage rot\u201c<\/a> gehen wir detailliert darauf ein, wie Betroffene handeln sollten.<\/p>\n Im Juni 2021 berichteten wir von Shathak<\/a>, einer E-Mail-basierten Angriffskampagne, die sich auch im deutschsprachigen Raum immer weiter verbreitet hat. Shathak-Angriffe haben es in sich: E-Mails, die als K\u00f6der eingesetzt werden, sind so gut getarnt, dass die Infektionsgefahr f\u00fcr Anwendende nicht ersichtlich ist. Das liegt mitunter daran, dass eine E-Mail-Kette vorget\u00e4uscht wird, sodass Nutzende von vertrauensw\u00fcrdigen E-Mails ausgehen. In unserem Beitrag haben wir das Vorgehen des Shathak-Angriffs genau beschrieben und Ihnen Tipps gegeben, mit denen Sie sich sch\u00fctzen k\u00f6nnen.<\/p>\n SSL-Zertifikate hatten vor einigen Jahren noch Laufzeiten von bis zu f\u00fcnf Jahren. Das zeigte sich vor allem dann problematisch, wenn SSL-Zertifikate kompromittiert wurden: K\u00fcrzere Laufzeiten f\u00fchren zu einer verk\u00fcrzten M\u00f6glichkeit, kompromittierte Zertifikate zu missbrauchen. In unserem Blogbeitrag \u201eSSL-Zertifikat-Laufzeit: Die Hintergr\u00fcnde zur verk\u00fcrzten Zertifikatslaufzeit\u201c<\/a> zeigten wir in Form einer Roadmap auf, wie sich Zertifikatslaufzeiten in den vergangenen Jahren entwickelt haben und wer jeweils \u00c4nderungen angeregt hat.<\/p>\n Welche Vor- und Nachteile verk\u00fcrzte Laufzeiten von SSL-Zertifikaten haben, f\u00fchrten wir weiter auf. Zu guter Letzt haben wir Ihnen eine M\u00f6glichkeit aufgezeigt, administrativen Aufwand deutlich einzuschr\u00e4nken: Dank unserem Abo-Modell f\u00fcr SSL-Zertifikate und der Automatisierung in der PSW Konsole k\u00f6nnen unsere gesch\u00e4tzten Kundinnen und Kunden Geld, Zeit und Nerven beim Ausstellen von SSL-Zertifikaten sparen.<\/p>\n Um das SSL-\/TLS-Zertifikate-\u00d6kosystem sicherer zu gestalten, initiierte Google vor einigen Jahren die Initiative Certificate Transparency. Apple hatte die hauseigenen CT-Richtlinien bis dato sehr an den Chrome-CT-Richtlinien angepasst, sich davon jedoch im April 2021 gel\u00f6st: Der Konzern aktualisierte die CT-Policy. In unserem Beitrag \u201eCertificate Transparency (CT): Apple aktualisiert Zertifikatstransparenz\u201c<\/a> k\u00f6nnen Sie nachlesen, welche Regeln Apple f\u00fcr die hauseigenen CT-Logs aufgestellt hat.<\/p>\n Phishing kann in vielen verschiedenen Formen auftreten und viele Wege sind beim Phishing m\u00f6glich \u2013 es handelt sich um kein reines E-Mail-Problem. Diese Fakten einschlie\u00dflich bekannter Phishing-Formen haben wir Ihnen in unserem April-Beitrag \u201ePhishing-Schutz: So erkennen Sie Phishing und sch\u00fctzen sich\u201c<\/a> dargestellt. Am Ende dieses Artikels finden Sie Tipps, mit denen Sie sich effizient vor Phishing sch\u00fctzen k\u00f6nnen.<\/p>\n <\/p>\n Seit vielen, vielen Jahren w\u00fctet er \u00fcberall auf der Welt: Der Verschl\u00fcsselungstrojaner Emotet, der vom BSI-Pr\u00e4sidenten Sch\u00f6nbohm im Jahre 2019 zum \u201eK\u00f6nig der Schadsoftware\u201c gek\u00fcrt wurde. Ende Januar 2021 ist es dann gelungen: Ermittelnde konnten Kontrolle \u00fcber die Infrastruktur der Emotet-Trojaner bekommen \u2013 Emotet war zerschlagen. Wie wir im Februar berichteten<\/a>, sollte damit jedoch nicht Entwarnung gegeben werden: Wahrscheinlich, so mutma\u00dften wir, w\u00fcrden andere Verschl\u00fcsselungstrojaner den Platz von Emotet einnehmen.<\/p>\n Deshalb und weil Ransomware auch ohne Emotet massiv w\u00fctet, haben wir im M\u00e4rz mit einigen Ransomware-Mythen aufger\u00e4umt<\/a>. Wir pr\u00fcften Aussagen zu Ransomware, mit denen wir im Alltag immer wieder konfrontiert werden, und stellten fest, dass Vorsorge der beste Schutz ist.<\/p>\n Das gilt auch f\u00fcr die Ransomware-Familie REvil, \u00fcber die wir im Juli aufgekl\u00e4rt<\/a> haben. Die Hacker-Gruppe hatte es auf Acer, auf den Apple-Fertiger Quanta und auf die US-Firma Kaseya abgesehen \u2013 wir zeigten alle drei F\u00e4lle, die mit teils gigantischen L\u00f6segeldforderungen einhergingen. Tipps, wie Sie sich gegen Ransomware sch\u00fctzen k\u00f6nnen, begleiteten den Beitrag.<\/p>\n Einen Status quo zum Thema Ransomware zeigten wir im September<\/a>, basierend auf dem Ransomware-Report 2021 von Sophos. Die erschreckenden Tatsachen: Ransomware traf nahezu jedes dritte mittelst\u00e4ndische Unternehmen \u2013 hierzulande waren sogar 46 Prozent der befragten Unternehmen mit Ransomware-Angriffen konfrontiert. Diese werden gezielter, womit auch das Schadenspotenzial steigt. Eine Varonis-Studie kommt zu \u00e4hnlichen Ergebnissen. Doch es gibt auch gute Nachrichten: Forschenden ist es gelungen, Ransomware auf Firmware-Ebene zu stoppen.<\/p>\n <\/p>\n Betreibende kritischer Infrastrukturen (KRITIS) werden immer h\u00e4ufiger Ziel von Cyberkriminellen. Die Bundesregierung m\u00f6chte mit dem IT-Sicherheitsgesetz 2.0 f\u00fcr Abhilfe sorgen, indem die Abwehr von KRITIS gesteigert wird. Neben Details zur Gesetzgebung haben wir uns in unserem Artikel \u201eIT-Sicherheitsgesetz 2.0: KRITIS ausreichend sch\u00fctzen\u201c<\/a> mit konkreten Zahlen besch\u00e4ftigt, die von der Bundesregierung und dem BSI stammen. Wir f\u00fchren aus, warum KRITIS immer h\u00e4ufiger Opfer von Angriffen werden und analysieren, inwieweit das IT-SiG 2.0 hilfreich sein kann.<\/p>\n Hilfreich sollen auch die Unterst\u00fctzungen sein, die KRITIS vom BSI erhalten. Deshalb aktualisierte das Bundesamt f\u00fcr Sicherheit in der Informationstechnik die hauseigenen Hilfestellungen f\u00fcr KRITIS \u2013 wir berichteten im August 2021<\/a>. Auch wir bieten verschiedene Formen der Unterst\u00fctzung: Etwa durch Awareness-Schulungen, Cyber-Security-Schulungen, Schulungen im IT-Grundschutz oder durch ISO\/IEC 27001-Zertifizierungskurse.<\/p>\n <\/p>\n \u00c4u\u00dferst beliebt bei unseren Leserinnen und Lesern sind unsere Themenreihen, in denen wir Wissen in Serienform bieten. Im Jahr 2021 haben wir vier verschiedene Themenreihen auf den Weg gebracht:<\/p>\n Mit dem Schutz digitaler Identit\u00e4ten ging unsere erste Serie des Jahres 2021 im April an den Start: \u201eIdentit\u00e4tsdiebstahl im Internet\u201c<\/a> befasste sich mit verschiedenen kriminellen Methoden, Internet Identit\u00e4ten zu stehlen \u2013 etwa mittels Hacking, Phishing, Malware und Social Engineering. Zu jedem Punkt sind wir mit weiteren Beitr\u00e4gen weiter ins Details gegangen.<\/p>\n Im Oktober starteten wir mit \u201eDigital ausweisen: Digitale Identit\u00e4t, digitale Signatur & digitales Zertifikat\u201c<\/a> eine weitere Serie: Nach einem allgemeinen \u00dcberblick ging es in Einzelbeitr\u00e4gen wieder in die Tiefe. Dabei haben wir auch geschaut, was sich zum Thema digital ausweisen auf politischer Ebene tut.<\/p>\n Nach f\u00fcnfj\u00e4hriger Pause starteten dieses Jahr wieder unsere beliebten Messenger-Tests<\/a>: Wir schauen uns WhatsApp, Threema, Signal, Telegram, Wire, ginlo, ICQ und WeChat an \u2013 insbesondere bez\u00fcglich Sicherheit und Datenschutz. Zum Finale kommt es erst in 2022: Freuen Sie sich darauf, zu erfahren, wer diesmal Testsieger wird.<\/p>\n Im September kl\u00e4rten wir dar\u00fcber auf, was es mit den Begriffen \u201eauthentisieren\u201c, \u201eauthentifizieren\u201c und \u201eautorisieren\u201c auf sich hat. Gleichzeitig war das der Start f\u00fcr eine Kurzserie<\/a>, die sich in den Folgebeitr\u00e4gen rund um Passw\u00f6rter, Biometrie und Mehr-Faktor-Authentifizierung drehte.<\/p>\n <\/p>\n Ver\u00e4nderte Angriffssituationen erfordern immer auch sich \u00e4ndernde Sicherheitsl\u00f6sungen. So rief die EU mit PSD2 die zweite EU-Zahlungsrichtlinie ins Leben, mit der Banken und sonstige Finanzunternehmen in die Pflicht genommen wurden, neue technische Anforderungen umzusetzen. Mitunter ist es zur Pflicht geworden, PSD2-konforme Zertifikate als Verschl\u00fcsselungsl\u00f6sung einzusetzen, die auch von D-TRUST feilgeboten werden. D-TRUST geh\u00f6rt zu den deutschen Zertifizierungsstellen, die wir in unserem Portfolio aufgenommen haben, sodass auch wir Ihnen PDS2-konforme Zertifikate von D-TRUST anbieten k\u00f6nnen. Alle Informationen dazu stellten wir Ihnen im Juni im Artikel \u201eD-TRUST: PSD2-konforme Verschl\u00fcsselungsl\u00f6sungen\u201c<\/a> zusammen.<\/p>\n Neu in unserem Portfolio sind au\u00dferdem VMC-Zertifikate, mit denen Ihr Firmenlogo bereits im Posteingang von E-Mail-Empfangenden angezeigt wird \u2013 wir berichteten im August<\/a>. Was VMC-Zertifikate f\u00fcr die Sicherheit und gegen Phishing tun k\u00f6nnen und mit welchen weiteren Vorteilen sie verbunden sind, stellt der Beitrag \u00fcbersichtlich dar.<\/p>\n Um das ganze Ausma\u00df von Cyberkriminalit\u00e4t zu begreifen, ist es hilfreich, auf Studien und Reports zu schauen. So etwa das \u201eAllianz Risk Barometer\u201c, welches die relevantesten Unternehmensrisiken abbildet. Als die drei wichtigsten Gesch\u00e4ftsrisiken stellten sich in 2021 Betriebsunterbrechungen, Pandemie-Ausbr\u00fcche und Cyberrisiken heraus. Dass der Faktor Mensch zu den wichtigsten beim Betrachten der Sicherheitsstrategie von Unternehmen geh\u00f6rt, stellten wir im dazugeh\u00f6rigen Beitrag \u201eCyber-Risiken: Wie gro\u00df ist die Gefahr von Cyberangriffen?\u201c<\/a> heraus; doch auch das Unternehmensnetzwerk bietet gro\u00dfe Angriffsfl\u00e4chen.<\/p>\n Im Juni berichteten wir<\/a> \u00fcber den L\u00e4nderreport \u201eCybercrime 2020\u201c vom BKA. Dieses Bundeslagebild Cybercrime zeigte deutlich, dass mit der Corona-Krise die Angriffsfelder f\u00fcr Kriminelle angestiegen sind \u2013 Home-Office und Homeschooling sind wichtige Stichpunkte, die zu deutlich steigenden Zahlen f\u00fchrten. Das BKA sch\u00e4tzt entstandene Sch\u00e4den allein durch Ransomware auf einen hohen siebenstelligen Bereich, wobei Reputationssch\u00e4den und Imageverluste noch nicht einkalkuliert wurden. Da die Aufkl\u00e4rungsrate sehr gering ist, hilft nur eines: effizienter Selbstschutz. Wie dieser aussehen kann, lesen Sie im Artikel.<\/p>\n Dass E-Mail-Betrug f\u00fcr Unternehmen die gr\u00f6\u00dften Verluste bedeutet, zeigten wir in einem Beitrag im August 2021<\/a>: Der j\u00e4hrlich vom FBI herausgegebene Internet Crime Report zeigt, dass E-Mail-Attacken und Phishing, aber auch Ransomware zu den h\u00e4ufigsten Gefahren geh\u00f6ren. Gesamtverluste von mehr als 4 Milliarden US-Dollar nur im Jahr 2020 nennt das FBI in seinem Report. Kriminellen w\u00fcrden dabei auf Themen unserer Zeit setzen, etwa auf die Corona-Krise. Eine in dem Beitrag au\u00dferdem genannte Studie zeigt, dass Mustererkennungen beim E-Mail-Betrug m\u00f6glich sind: Ziel der Untersuchung war es, herauszufinden, ob Opfer aus bestimmten Gr\u00fcnden zum Angriffsziel werden. Die Studienergebnisse sind interessant und k\u00f6nnen dabei unterst\u00fctzen, sich vor E-Mail-Betrug zu sch\u00fctzen.<\/p>\n Mit der Studie \u201eWirtschaftsschutz 2021\u201c zeigte auch der Branchenverband Bitkom, wie sehr deutsche Unternehmen von Cyberkriminalit\u00e4t betroffen sind. Tats\u00e4chlich waren die Sch\u00e4den doppelt so hoch wie in den Vorjahren. In unserem Beitrag \u201eCyberangriffe verursachen 223 Milliarden Euro Schaden in der Wirtschaft\u201c<\/a> geben wir einen \u00dcberblick \u00fcber die Bitkom-Studie, erkl\u00e4ren, wie Unternehmen die Lage selbst einsch\u00e4tzen und geben Tipps zum Schutz vor Cyberkriminalit\u00e4t.<\/p>\n <\/p>\n Sie sehen: 2021 war gepr\u00e4gt von unsicheren Zeiten \u2013 neue Angriffsarten und Angriffsfamilien gesellen sich zu altbekannten, denen zum Teil \u2013 wie bei Emotet \u2013 den Wind aus den Segeln genommen werden konnte. Doch auch neue Sicherheitsl\u00f6sungen bot das Jahr 2021: Mit VMC-Zertifikaten gibt es ein Marketing-Tool mit Phishing-Schutz und Forschende sind bem\u00fcht, L\u00f6sungen gegen Ransomware zu finden \u2013 wie der Ansatz, bei dem die Verschl\u00fcsselung von Daten auf Firmware-Ebene gestoppt werden konnte.<\/p>\n F\u00fcr 2022 gibt es keine Entwarnung: Trotz vieler interessanter Ans\u00e4tze wird Ransomware ein Thema bleiben, welches uns begleitet. Das Wettrennen zwischen Cyberkriminalit\u00e4t und IT-Sicherheit wird weiter an Fahrt aufnehmen \u2013 deshalb: Bleiben Sie am Ball! Wissen ist Macht und je mehr Sie \u00fcber IT-Sicherheit und etwaige Gefahren wissen, umso machtvoller stehen Sie Letzteren gegen\u00fcber. Wir begleiten Sie gerne dabei und berichten weiter aus der Branche. Wir danken Ihnen herzlich f\u00fcr Ihre Treue im Jahr 2021 und w\u00fcnschen Ihnen einen sicheren Start ins neue Jahr.<\/p>\nMicrosoft Exchange-Server: Bedrohungslage rot<\/h3>\n
Shathak: E-Mail-basierte Agriffskampagne breitet sich weltweit aus<\/h3>\n
SSL-Zertifikate: Neues aus 2021<\/h3>\n
Phishing hatte Hochkonjunktur<\/h3>\n
Ransomware: Eine neverending Story<\/h2>\n
KRITIS: Neue Hilfestellungen<\/h2>\n
Themenreihen: Wissen in Serie<\/h2>\n
Identit\u00e4tsdiebstahl im Internet<\/h3>\n
Digital ausweisen<\/h3>\n
Messenger-Test 2021<\/h3>\n
Authentisieren, authentifizieren & autorisieren<\/h3>\n
PSW GROUP: Neu in unserem Portfolio<\/h2>\n
Reports und Studien 2021<\/h2>\n
Danke f\u00fcr 2021!<\/h2>\n