{"id":3471,"date":"2022-01-11T16:16:34","date_gmt":"2022-01-11T16:16:34","guid":{"rendered":"https:\/\/network-king.net\/mehr-transparenz-fuer-mehr-sicherheit\/"},"modified":"2022-01-11T16:18:28","modified_gmt":"2022-01-11T16:18:28","slug":"mehr-transparenz-fuer-mehr-sicherheit","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/mehr-transparenz-fuer-mehr-sicherheit\/","title":{"rendered":"Mehr Transparenz f\u00fcr mehr Sicherheit"},"content":{"rendered":"\n

Sicherheit durch Unklarheit und die Praxis des \u201eVersteckens\u201c von Informationen, um sie vor dem Zugriff von Cyberkriminellen zu sch\u00fctzen, war schon immer ein umstrittenes Thema in der Sicherheitsbranche \u2013 und es wird zunehmend infrage gestellt. Viele halten dieses Vorgehen f\u00fcr einen gro\u00dfen Fehler, der Unternehmen bei Angriffen auf ihr Netzwerk benachteiligen kann. Denn die Cybersicherheit ist zu wichtig geworden, um sie einigen anonymen IT-Spezialisten zu \u00fcberlassen, die im Inneren einer Bank, einer Regierungsbeh\u00f6rde oder eines Krankenhauses arbeiten. <\/p>\n\n\n\n

Andererseits wird Transparenz weiterhin als Vorteil f\u00fcr Organisationen angesehen, die ihr Netzwerk sch\u00fctzen und proaktiv auf Bedrohungen reagieren wollen, ohne alle Beteiligten zu gef\u00e4hrden: das Unternehmen selbst, seine Kunden und seine Lieferanten. Sie hilft Entwicklern und ihren Kunden, die verschiedenen Komponenten ihres Systems zu verstehen und Probleme zu erkennen, die zu Schwachstellen f\u00fchren k\u00f6nnen.<\/p>\n\n\n\n

Unvorhergesehene Sicherheitsl\u00fccken sind eine Tatsache in der heutigen Technologielandschaft. Sicherheit ist eine kollektive und gemeinsame Verantwortung und erfordert die Zusammenarbeit zwischen Herstellern, Systemanbietern und Endnutzern, um Abhilfema\u00dfnahmen schnell und effektiv umzusetzen. Aber ohne eine Verpflichtung zur Transparenz \u2013 vor allem seitens der f\u00fchrenden Unternehmen der Technologiebranche und der Anbieter \u2013 ist es einfach nicht m\u00f6glich, \u00f6ffentliches Vertrauen zu schaffen und Sicherheit zu gew\u00e4hrleisten.<\/p>\n\n\n\n

Elektrofahrzeuge sind ein gutes Beispiel f\u00fcr den Wert der Zusammenarbeit und Transparenz im Bereich der Cybersicherheit. Viele Modelle erfordern eine extrem anspruchsvolle Software, die h\u00e4ufig aktualisiert werden muss. Tesla zum Beispiel gibt mindestens einmal im Monat Updates an seine Besitzer aus.<\/p>\n\n\n\n

Um Updates bereitzustellen, ben\u00f6tigt ein Elektroautohersteller weltweite Zugriffsrechte auf die Bordcomputer seiner Fahrzeuge. Nat\u00fcrlich wollen die Besitzer sicher sein, dass ihr Auto dadurch nicht gehackt, gestohlen, ferngesteuert, verriegelt oder w\u00e4hrend der Fahrt ausspioniert wird. Aus diesem Grund m\u00fcssen die Hersteller von Elektrofahrzeugen sehr offen \u00fcber ihre Cybersicherheit sprechen, damit Autobesitzer oder vertrauensw\u00fcrdige Experten beurteilen k\u00f6nnen, ob die Systeme des Unternehmens wirksamen Schutz bieten.<\/p>\n\n\n\n

Viele Anbieter haben neue Wege entwickelt, um dem Wunsch von Beh\u00f6rden und Kunden nach mehr Transparenz Rechnung zu tragen. So stellen unabh\u00e4ngige Labore zunehmend weltweit anerkannte Sicherheitszertifikate f\u00fcr eine wachsende Zahl von Telekommunikationsprodukten aus.<\/p>\n\n\n\n

Was mobile Ger\u00e4te betrifft, ist das Network Equipment Security Assurance Scheme (NESAS) aktuell die beste L\u00f6sung. Dieses gemeinsam von 3GPP und GSMA definierte, weltweit anerkannte System pr\u00fcft nicht nur Produkte, sondern auch deren Entwicklung und Wartung (einschlie\u00dflich der Installation von Firmware-Updates). Au\u00dferdem verf\u00fcgt NESAS \u00fcber einen Streitbeilegungsmechanismus f\u00fcr Beschwerden von Unternehmen, die der Meinung sind, dass ihre Produkte oder die von Wettbewerbern nicht fair bewertet wurden.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Die Pr\u00fcfung von Netzwerkger\u00e4ten wird von unabh\u00e4ngigen Pr\u00fcfdienstleistern auf der Grundlage fest definierter Bewertungsrahmen und Sicherheitskataloge durchgef\u00fchrt. Neben der Produktsicherheit wird in einem erg\u00e4nzenden Verfahren auch der Sicherheitsaspekt \u00fcber den gesamten Produktlebenszyklus hinweg auditiert.<\/p>\n\n\n\n

Transparenz ist auch der Schl\u00fcssel f\u00fcr die Sicherheit betrieblicher Technologieanlagen. In einer komplexen industriellen Umgebung ist es schwierig, ein zuverl\u00e4ssiges Inventar aller Ger\u00e4te im Netzwerk zu erstellen. Denn niemand kann etwas verwalten, von dem er nicht wei\u00df, dass er es hat. Die erste Regel eines konvergierten IT\/OT-Sicherheitssystems besteht deshalb darin, eine vollst\u00e4ndige Transparenz zu gew\u00e4hrleisten, die mit einer Art Bestandsaufnahme beginnt und durch eine kontinuierliche Netzwerk\u00fcberwachung erg\u00e4nzt wird. Diese bietet auch die M\u00f6glichkeit, den Bestand in der virtuellen Karte zu aktualisieren, wenn neue IT-Komponenten oder -Elemente hinzugef\u00fcgt und stillgelegte Ger\u00e4te entfernt werden. Dadurch lassen sich au\u00dferdem der Datenverkehr im gesamten System verfolgen, alle nicht-standardm\u00e4\u00dfigen Aktivit\u00e4ten markieren und je nach Schweregrad des Risikos Warnmeldungen generieren.<\/p>\n\n\n\n

Bei der Erkennung neuer Schwachstellen in OT-Netzwerken und -Ger\u00e4ten verlassen sich Unternehmen auf ihr Anlageninventar, um zu entscheiden, wie schwerwiegend die Schwachstelle ist, wie sie sich auf ihre Umgebung auswirkt und wie das Ger\u00e4t gepatcht werden muss . Mit einem automatisierten Anlageninventar k\u00f6nnen Industrieunternehmen die Produktivit\u00e4t und Effizienz ihrer OT-Teams steigern, indem sie ihre Anlagendaten schnell verwalten, um ihre Umgebungen in einem einzigen Dashboard zu erkennen und zu sch\u00fctzen.<\/p>\n\n\n\n

Wie wird diese Transparenz hergestellt?<\/h2>\n\n\n\n

Die Einf\u00fchrung eines durchg\u00e4ngigen Sicherheitsrahmens, der \u00fcber den gesamten Lebenszyklus eines Produkts angewendet werden kann, erm\u00f6glicht mehr Transparenz und bessere Sicherheit. Unterst\u00fctzen Sie interne offensive Sicherheitsforschungsteams oder f\u00f6rdern Sie die Beitr\u00e4ge externer Sicherheitsforscher durch Bug-Bounty-Programme sowie Forschungszusch\u00fcsse. Diese proaktiven Ans\u00e4tze sollen sicherstellen, dass die Kunden auf die F\u00e4higkeit eines Unternehmens vertrauen setzen. Au\u00dferdem k\u00f6nnen Schwachstellen auf diese Weise gemeinsam und zuverl\u00e4ssig entdeckt, entsch\u00e4rft und offengelegt werden.<\/p>\n\n\n\n

Zusammenarbeit ist auch der Schl\u00fcssel zur Verbesserung der Sicherheit. Dazu geh\u00f6rt die funktions\u00fcbergreifende Zusammenarbeit zwischen Industriepartnern, akademischen Einrichtungen und Regierungsorganisationen, die durch Richtlinien, Standards, Abhilfema\u00dfnahmen sowie Forschung das gemeinsame Sicherheitsverst\u00e4ndnis f\u00f6rdert. Denn offene Zusammenarbeit ist der beste Weg, um Sicherheit zu gew\u00e4hrleisten.<\/p>\n\n\n\n

Dar\u00fcber hinaus ist die Teilnahme an Industriekonsortien und Normungsgremien ein guter Schritt, um zu gew\u00e4hrleisten, dass Technologieprojekte den sich entwickelnden Standards f\u00fcr Datenschutz und Sicherheit entsprechen. Einige Beispiele daf\u00fcr sind die Trusted Computing Group (TCG), das Confidential Computing Consortium (CCC), das 3rd Generation Partnership Project (3GPP), das National Institute of Standards and Technology (NIST) und die International Organization for Standardization (ISO).<\/p>\n\n\n\n

Da die Schwachstellenforschung und die Angriffsmethoden immer ausgefeilter werden, ist es auch wichtig, die Entwicklung von Standards f\u00fcr das Design, die Sicherheit und das Risikomanagement von Industrieprodukten zu unterst\u00fctzen. MITER und mehrere f\u00fchrende Unternehmen der Branche arbeiten daran, das von der Gemeinschaft betriebene System zur Aufz\u00e4hlung von Schwachstellen (Common Weakness Enumeration) um neue Hardwarel\u00fccken zu erweitern. Ihre Systeme zur Aufz\u00e4hlung und Klassifizierung von Schwachstellen (Common Vulnerabilities and Exposures, CVE) sowie Angriffsmustern (Common Attack Pattern Enumeration and Classification, CAPEC) sollen au\u00dferdem verbessert werden. Weitere M\u00f6glichkeiten sind die laufenden Bem\u00fchungen der Special Interest Group (SIG) Product Security Incidence Response Teams (PSIRT) sowie des Forum of Incident Response and Security Teams (FIRST), das sich auf das Common Vulnerability Scoring System (CVSS) konzentriert.<\/p>\n\n\n\n

Schlie\u00dflich sollten die f\u00fchrenden Unternehmen der Branche die Transparenz erh\u00f6hen, indem sie die Sicherheitskennzahlen ihrer Produkte auf dem Markt zug\u00e4nglich machen \u2013 beispielsweise Details \u00fcber intern und extern identifizierte Bedrohungen.<\/p>\n\n\n\n

\u201eIch sage voraus, dass Unternehmen auf der ganzen Welt beginnen werden, sich gegen die mangelnde Transparenz von Anwendungsanbietern hinsichtlich der Komponenten zu wehren, die sie zur Bereitstellung ihrer L\u00f6sungen verwenden. Der Mangel an Transparenz bei geschlossenen Ger\u00e4ten, virtuellen Maschinen und Anwendungsplattformen l\u00e4sst Unternehmen im Dunkeln, wenn Zero-Day-Schwachstellen in den Softwarekomponenten auftauchen, die zum Aufbau dieser Plattformen verwendet werden. Die Unternehmen sind nicht mehr bereit, die Vorgehensweise der Anbieter abzuwarten.\u201c, sagt Ron Culler, Senior Director of Technology and Solutions bei ADT Cybersecurity.<\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheit durch Unklarheit und die Praxis des \u201eVersteckens\u201c von Informationen, um sie vor dem Zugriff von Cyberkriminellen zu sch\u00fctzen, war schon immer ein umstrittenes Thema in der Sicherheitsbranche \u2013 und es wird zunehmend infrage gestellt. Viele halten dieses Vorgehen f\u00fcr einen gro\u00dfen Fehler, der Unternehmen bei Angriffen auf ihr Netzwerk benachteiligen kann. Denn die Cybersicherheit…<\/p>\n","protected":false},"featured_media":3453,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[70],"tags":[],"company":[],"topic":[],"class_list":["post-3471","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-network"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/3471","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=3471"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/3453"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=3471"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=3471"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=3471"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=3471"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=3471"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=3471"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}