Für viele Unternehmen ist heutzutage kaum etwas so wertvoll wie Daten. Ein so kostbares Gut will gut geschützt sein, denn der Verlust sensibler Daten kann Probleme verschiedenster Art nach sich ziehen. Hier kommt Data-Loss-Prevention (DLP) als Konzept und wesentlicher Bestandteil von Datenschutzkonzepten ins Spiel.

Data-Loss-Prevention ermöglicht Unternehmen einen effizienten und automatisierten Schutz ihrer Daten. Lesen Sie jetzt, was Sie darüber wissen sollten.

Was ist Data-Loss-Prevention?

Der Begriff Data-Loss-Prevention (DLP) beschreibt Maßnahmen zum Schutz sensibler Daten. Dabei kann es sich sowohl um die Strategie als Ganzes als auch um spezifische Cyber-Security-Lösungen zur Erreichung dieses Ziels handeln.

Was ist Data-Leak-Prevention?

Die oft synonym dafür verwendete Bezeichnung Data-Leak(age)-Prevention beschreibt Fachleuten zufolge nicht exakt das Gleiche: Während Data-Loss-Prevention demnach vor bemerktem Datenverlust schützt, soll Data-Leakage-Prevention der unerwünschten Weitergabe von Informationen vorbeugen.

Die Funktionsweise von Data-Loss-Prevention-Systemen

Damit wirksamer Schutz vor Datenverlust gelingt, ist es entscheidend, zunächst festzustellen, wo (besonders) sensible Daten geschützt werden müssen und welche das sind. Ist dies gelungen, lassen sich die notwendigen Schutzmaßnahmen einleiten. Welche Data-Loss-Prevention-Lösungen für all dies infrage kommen, hängt unter anderem vom Status der Daten ab. Dieser unterscheidet sich wie folgt:

• Daten in Benutzung („Data in Use“ / DiU): etwa Daten im RAM oder Cache, also im flüchtigen Speicher eines Rechners (oder mehrerer)
• Daten in Bewegung („Data in Motion“ / DiM): Datenübertragung über interne oder öffentliche Netzwerke (also in Rechnersystemen, Routern und auf Servern während der Übertragung)
• Daten im Ruhezustand („Data at Rest“ / DaR): gespeicherte Daten, z. B. in Datenbanken oder Dateisystemen (auf Festplatten)

Übliche Enterprise-DLP-Lösungen bieten in der Regel Schutz für alle drei genannten Datenzustände. Integrierte DLP-Lösungen beschränken sich dagegen mitunter nur auf einen Status. Zur Identifizierung schützenswerter Informationen analysiert die gewählte Software den Datenbestand mit DLP-Techniken wie diesen:

• Exact-File-Matching: Datenerkennung anhand zugeordneter Hash-Dateien ohne Scan der Inhalte
• Exact-Data-Matching (EDM): Abgleich von Datensätzen anhand einer Kombination von Kriterien (z. B. Name, Wohnort, Geburtsdatum)
• Regelbasiertes Matching: Findet Daten basierend auf Mustern. Beispiele dafür sind etwa die IBAN oder Kreditkartennummern.
• Maschinelles Lernen: KI-gestützte Suche

Nachdem das DLP-System die sensiblen Daten identifiziert hat, gibt es verschiedene Möglichkeiten, zu verhindern, dass diese in unautorisierte Hände gelangen oder gelöscht werden. Eine Option ist es, den Zugriff auf die Daten außer in begründeten Fällen zu blockieren oder auf einen bestimmten Nutzerkreis einzuschränken. Dies geschieht beispielsweise durch Firewalls, Verschlüsselung oder Zugriffskontrollen. Eine Alternative dazu sind Warnungen, die Nutzer:innen dafür sensibilisieren, verantwortungsvoll mit Daten umzugehen. Dies kann in Echtzeit geschehen, etwa beim Abruf sensibler Information, aber auch periodisch in Form von Schulungen. Folgender Überblick zeigt mögliche Funktionen von DLP-Lösungen:

• Erkennung von Bedrohungen wie Malware
• Überwachung von Anwendungen und Transaktionen
• Blockierung und Verschlüsselung sensibler Daten
• Zugriffsrechte
• Datenbewegungen erfassen
• Benachrichtigung bei auffälligen Vorgängen
• Protokollierung von Nutzerinformationen

Anwendungsbereiche von DLP

Maßnahmen zum Schutz vor Datenverlust kommen in unterschiedlichsten Branchen, Unternehmen und Organisationen zum Einsatz. Hier einige Beispiele für Anwendungsbereiche von DLP:

• Finanzwesen: Schutz von Finanzberichten und Handelsinformationen
• Gesundheitswesen: Schutz von Patientendaten
• Regierungsbehörden: Schutz geheimer Regierungsinformationen
• Einzelhandel: Schutz von Kundeninformationen

Da der Datenfluss in Unternehmen und Organisationen über viele verschiedene Kanäle erfolgt, müssen DLP-Lösungen in der Lage sein, diese im Auge zu behalten und gegebenenfalls einzugreifen oder Alarm zu schlagen. Beispiele hierfür sind:

• E-Mail-Data-Loss-Prevention: Überwachung der Inhalte und Empfänger:innen von E-Mails. Auch fehlende Verschlüsselungen oder der E-Mail-Versand außerhalb der Arbeitszeiten können so unterbunden werden.
• Cloud-Data-Loss-Prevention: Soll sicherstellen, dass alle Daten verschlüsselt sind und die Weitergabe an nicht autorisierte Empfänger:innen verhindern. Überwacht Cloud-Aktivitäten der Mitarbeiter:innen, erkennt untypisches Verhalten und kann den Zugriff auf Daten personenbezogen einschränken.
• Wechseldatenträger: Automatische Datenverschlüsselung, Überwachung der Datenübertragung, personenbezogene Einschränkung des Zugriffs und regelmäßige Back-ups.
• Endgeräte: Automatische Sicherheitsupdates für alle Geräte im Netzwerk. Sicherstellung von Datenverschlüsselung, ausreichendem Passwortschutz und nur autorisiertem Zugriff.

Nützliche Tools & Software gegen Datenverlust

Nachdem wir Ihnen die Definition, Funktionsweise und Anwendungsbereiche von DLP-Lösungen erklärt haben, stellen wir Ihnen nun Data-Loss-Prevention-Software bekannter Anbieter vor. Zum Schutz vor Datenverlust sowie zur Abwehr von Cyberangriffen stehen unter anderem folgende Optionen zur Auswahl:

Microsoft Data-Loss-Prevention

Microsoft Data-Loss-Prevention ist in verschiedene Produkte des Windows-Erfinders integriert – unter anderem in Microsoft 365 und Azure. DLP verhindert hier unbefugten Zugriff und eine unerwünschte Weitergabe von Daten. Dafür kommen beispielsweise folgende Methoden zum Einsatz:

• Vorgefertigte oder benutzerdefinierte Richtlinien zur Identifizierung vertraulicher Daten in E-Mails und Dokumenten sowie auf Webseiten
• Maschinelles Lernen zur Erkennung sensibler Informationen wie Kreditkartennummern oder Passwörtern
• Verschlüsselung und Authentifizierung zur Zugriffskontrolle
• Überwachungs- und Audit-Tools zur Erkennung verdächtiger Aktivitäten und entsprechende Warnmeldungen

Google Data-Loss-Prevention

Google Data-Loss-Prevention ermöglicht es Unternehmen, Daten in ihren Cloud-Anwendungen zu schützen. Dafür greift die cloud-basierte DLP-Lösung unter anderem auf folgende Methoden zurück:

• Maschinelles Lernen, um personenbezogene und andere sensible Daten in Echtzeit zu erkennen
• Automatische Klassifizierung der erkannten Daten und Einleitung passender Sicherheitsmaßnahmen
• Automatische Verschlüsselung
• Data-Masking, um sensible Daten unlesbar zu machen
• Warnmeldungen

Sophos Data-Loss-Prevention

Die Sophos-DLP-Software überwacht die Datenverwendung und -übertragung innerhalb und außerhalb von Unternehmensnetzwerken. Zum Funktionsumfang zählen:

• Erkennung sensibler Daten anhand vordefinierter Regeln und Muster
• Überwachung der Datenübertragung unter Berücksichtigung von E-Mails, File-Sharing, Cloud-Diensten und USB-Geräten
• Automatisierte Richtlinien zur Zugriffsbeschränkung
• Compliance: Unterstützung bei der Einhaltung von Vorschriften und Datenschutzbestimmungen
• Warnmeldungen

Apex One Data-Loss-Prevention

Hierbei handelt es sich um eine DLP-Lösung von Trend Micro, die Daten in Echtzeit identifizieren und schützen kann. Zu den Funktionen zählen:

• Erkennung sensibler Daten mithilfe von vordefinierten Regeln und Mustern
• Überwachung der Datenübertragung (E-Mails, Cloud-Dienste. File-Sharing, USB-Geräte)
• Verschlüsselung und Maskierung von Daten
• Compliance-Unterstützung
• Warnmeldungen

AWS Data-Loss-Prevention

Dieser Dienst von Amazon Web Services (AWS) ist speziell auf AWS-Systeme zugeschnitten und ermöglicht hier eine effiziente Verwaltung. Zum Schutz Ihrer Daten kommen z. B. folgende Methoden zur Anwendung:

• Machine-Learning-Algorithmen und Mustererkennung
• Erstellung von Richtlinien
• Automatisches Verschlüsseln, Löschen oder Anonymisierung von Daten
• Compliance-Unterstützung
• Berichterstattung und Auditierung

Cisco Umbrella Data-Loss-Prevention

Diese cloudbasierte DLP-Lösung lässt sich mit anderen Sicherheitslösungen desselben Anbieters kombinieren (z. B. mit Cisco AnyConnect, Cisco Web Security Appliance oder Cisco Secure Email Threat Defense). Hier ein Auszug der Funktionen:

• Echtzeit-Datenidentifikation über Machine-Learning-Algorithmen
• Richtlinienbasierte Regeln für den Umgang mit sensiblen Daten
• Automatisches Verschlüsseln, Blockieren oder Anonymisieren von Daten
• Compliance-Unterstützung
• Berichterstattung und Auditierung

Risiken von Datenverlust und der Datenschutz: Darauf sollten Sie achten

Datenschutz spielt bei Data-Loss-Prevention eine wichtige Rolle. Folgende Dinge sollten Sie in Ihre Überlegungen einbeziehen:

• Datenschutzkonformität: Die von Ihnen eingesetzten DLP-Technologien müssen mit geltenden Datenschutzgesetzen übereinstimmen. Stellen Sie sicher, dass die Verarbeitung personenbezogener Daten dementsprechend erfolgt.
• Klare Richtlinien und Verfahren: Damit Ihre Mitarbeiter:innen DLP-Lösungen datenschutzkonform anwenden können, sollten Sie diese entsprechend schulen.
• Keine Totalüberwachung: Das Ausmaß der Überwachung darf nicht unverhältnismäßig sein und sollte sich auf den Umgang mit sensiblen Daten beschränken, die Sie zuvor identifiziert haben (s.o.).
• Transparenz und Offenlegung: Informieren Sie potenziell Betroffene im Vorfeld über durchgeführte DLP-Überwachungsmaßnahmen. Sowohl Mitarbeiter:innen als auch Kund:innen sollten Bescheid wissen, inwiefern Sie ihre Daten erheben und verwenden.
• Datensicherheit: Die durch DLP-Dienste geschützten Daten sollten sicher aufbewahrt sein. Dafür empfehlen sich entsprechende technische und organisatorische Maßnahmen.
• Rechenschaftspflicht: Ihr Unternehmen muss nachweisen können, dass es Datenschutzvorgaben einhält. Dokumentieren Sie dafür Ihre Datenschutzmaßnahmen und nutzen Sie Auditierungsmethoden, beispielsweise nach ISO 27001.

 
DLP in Unternehmen einführen: Best-Practices

Die Einführung von Data-Loss-Prevention in Unternehmen ist ein komplexes Unterfangen, das Spezialist:innen aus dem Bereich der Cybersicherheit begleiten sollten. Sofern die entsprechende Expertise bzw. Manpower nicht bereits inhouse vorhanden ist, empfiehlt sich ein darauf spezialisierter externer Partner. Dieser sollte Sie bei der Konzeption, Strategie und Einführung von DLP-Maßnahmen unterstützen. Bei der Implementierung gilt es folgende Punkte zu beachten:

Was ist das Ziel?

Definieren Sie zusammen mit Ihren Cybersecurity-Expert:innen genau, welche Ziele Sie mit Data-Loss-Prevention verfolgen möchten. Häufig erfolgt die Einführung, um Compliance-Standards einzuhalten. Damit allein reizen Sie die Möglichkeiten jedoch nicht ansatzweise aus. Besprechen Sie daher im Vorfeld, was alles möglich und gewünscht ist.

Integration in bestehende Sicherheitsarchitektur

Berücksichtigen Sie das bereits vorhandene Sicherheitsumfeld. Ihre DLP-Lösung sollte sich möglichst nahtlos und komplett integrieren, sodass Sie etwa bestehende Firewalls oder Überwachungssysteme weiterverwenden können.

Implementierung nach Plan

Entwickeln Sie gemeinsam mit den DLP-Verantwortlichen Pläne, die Zweck und Verwendung der neuen Tools festhalten. Analysieren Sie dabei deren betriebliche Auswirkungen und stellen Sie fest, in welchem Maß diese tolerierbar sind.

DLP-Lösungen aktuell halten

Üblicherweise wächst der Funktionsumfang von DLP-Lösungen kontinuierlich – analog zu den Bedrohungen, vor denen sie schützen sollen. Prüfen Sie daher neue Optionen regelmäßig auf ihr Potenzial für Ihr Unternehmen und ermöglichen Sie den regelmäßigen Rollout neuer Features für Ihr DLP-System. Nur so kann der Schutz vor Datenverlust mit den potenziellen Gefahren schritthalten.

Richtlinien für Änderungen

Wie soeben angedeutet, ist es mit der einmaligen DLP-Einrichtung allein nicht getan. Die verwendeten Tools müssen bei Bedarf aktualisiert werden. Prüfen und dokumentieren Sie die Konfiguration mehrmals pro Jahr.

Testen Sie Ihr DLP-System

Führen Sie in regelmäßigen Abständen Audits und Selbsttests durch, um die Zuverlässigkeit Ihres DLP-Systems sicherzustellen. Mögliche Schwachstellen können Sie beispielsweise mit einem Penetrationstest ermitteln. Darüber hinaus hilft Ihnen dieser unter Umständen bei der Ausrichtung Ihrer Maßnahmen. Beachten Sie außerdem, dass Advanced-Persistent-Threats (APTs) unter Umständen zusätzliche Sicherheitsmaßnahmen erfordern.

 
Das Wichtigste zu Data-Loss-Prevention in Kürze

• Data-Loss-Prevention (DLP) identifiziert und schützt sensible Daten in Ihrem Unternehmen.
• Um schützenswerte Daten zu erkennen, scannen DLP-Lösungen den Bestand mit verschiedenen Methoden.
• Bei Auffälligkeiten kommt es zum Einsatz geeigneter Maßnahmen, um einen Datenverlust zu vermeiden.
• DLP-Lösungen gibt es von vielen verschiedenen Anbietern.
• Bei der Anwendung ist die Einhaltung von Datenschutzgesetzen und -richtlinien essenziell.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/was-ist-data-loss-prevention/

Stashcat – Wie sicher ist der Business-Messenger?

Stashcat ist ein Hochsicherheits-Messenger, der die interne Zusammenarbeit im Team verbessert und den Bedarf an vertraulicher Kommunikation in Behörden, Unternehmen und bei der Polizei decken soll. Doch hält er, was der Anbieter verspricht?

Lange Zeit fehlte der öffentlichen Verwaltung, Hochsicherheitsorganisationen und Unternehmen eine datenschutzkonforme, einfach zu bedienende Alternative zu Messengern wie WhatsApp. Zwar gibt es davon auch eine Business-Variante, die aber nicht überall die notwendigen Anforderungen erfüllt. Diese Lücke schließt unter anderem Stashcat, ein 2016 in Deutschland entwickelter Business-Messenger.

Mit Stashcat können Sie Text-, Sprach-, Video- und Dateinachrichten unkompliziert und sicher austauschen. Als All-in-One-Lösung ergänzt Stashcat die Messenger-Funktionen zudem durch umfangreiche Kollaborationsfunktionen für die Projektarbeit. Erfahren Sie hier, was Stashcat genau ist, wie es funktioniert und inwieweit die Sicherheit höher ist als bei anderen Business-Messengern.

Was ist Stashcat?

Eine schnelle interne Abstimmung, eine Textnachricht während der Fahrt über eine Verspätung oder eine kurze Terminabfrage im Video-Chat: All das gehört zum Alltag – nicht nur in Unternehmen, sondern auch im öffentlichen Dienst oder in Institutionen und Vereinen.

Stashcat ist ein noch relativ neuer, nach Herstellerangaben besonders sicherer Business-Messenger, der Teams unterschiedlicher Größe bei ihrer täglichen Arbeit unterstützt – mit Ende-zu-Ende-Verschlüsselung und laut Anbieter in Übereinstimmung mit der europäischen Datenschutzgrundverordnung.

Seit seiner Markteinführung wurde das Tool zum Vorreiter im Bereich der Ende-zu-Ende-Verschlüsselung und gilt als abhörsicher. Viele Behörden, Landespolizeien und Unternehmen nutzen den Messenger. Stashcat hostet nach Angaben des Anbieters sämtliche Daten auf deutschen Servern.

Die Kollaborationsplattform überzeugt außerdem durch ihre leichte Bedienbarkeit und ihren großen Funktionsumfang. Dazu gehören Einzel- und Gruppenchats, Videokonferenzen, Sprachanrufe, gemeinsame Kalender, Bildschirmfreigabe, Cloudspeicher, das Teilen von Informationen mittels Broadcast-Listen und Gastzugänge. Daneben bietet Stashcat praktische Dateiablage- und Verwaltungsfunktionen, die individuell pro Kanal angelegt oder öffentlich in Ordnern abgelegt werden.

Darüber hinaus überzeugt Stashcat durch eine leicht verständliche Rechte- und Rollenverwaltung mit individuellen Benutzerrollen und -berechtigungen. Weitere Funktionen von Stashcat sind Umfragen, Übersetzungen und ein internes Kontaktbuch.

Der Business-Messenger ist als App (iOS und Android) für Mobilgeräte und Browser-Version (macOS und Windows) für Desktop-Computer verfügbar.

Ab Version 2.0 ist Stashcat schnittstellenfähig und unterstützt die nahtlose Integration mit anderen Tools und Systemen. Damit können zum Beispiel verschiedene Polizeidienststellen in Deutschland ihre Daten untereinander sicher austauschen – in Übereinstimmung mit der Datenschutzgrundverordnung.

Für eine verbesserte grenzübergreifende Zusammenarbeit ist in diesem Zusammenhang auch der Ausbau der Interoperabilität auf dem europäischen Markt geplant. Der Anbieter Stashcat betrachtet seine föderative Plattform als „Auftakt zu einer neuen Ära der Sicherheit in Europa”.

Unified Communications and Collaborations (UCC) bündelt alle relevanten Kommunikationsdienste und Medien in einer zentralen Plattform. Sprachtelefonie über Fest- oder Mobilnetz, Videokonferenzen, E-Mails oder Chats.

Wie funktioniert Stashcat?

Stashcat basiert auf einem Client-Server-Modell, bei dem die Kommunikation zwischen den Nutzer:innen über Server mit Ende-zu-Ende Verschlüsselung läuft. Alle relevanten Daten werden durch neueste SSL-Verschlüsselungsmethoden gesichert.

Für den Datenaustausch zwischen Server und Endgerät werden die Informationen durch eine Kombination aus AES (256bit)- und RSA (4096bit)-Algorithmen verschlüsselt. So lassen sich Dokumente, Freigaben und Ordner schnell, einfach, sicher und datenschutzkonform von einem Arbeitsplatz zum anderen senden und somit teilen.

Die Funktionen von Stashcat lassen sich gruppieren in

1. Messenger-Funktionen
2. Dateiablage- und Verwaltung
3. Sprach- und Videotelefonie sowie Videokonferenzen
4. Kollaborationstools für die Teamarbeit
5. Privatsphäre und Push-Benachrichtigungen
6. Organisationsverwaltung und Administration
7. Sicherheitsfunktionen
8. Kontakte und Kontaktverwaltung

Je nach Organisationsstruktur können Sie Stashcat als Software-as-a-Service in der sicheren Stashcat Cloud oder in einer eigenständigen Umgebung, bzw. auf selbst betriebenen Servern ist möglich.

Was zeichnet die Stashcat-Sicherheit aus?

Die Daten bleiben während der Übertragung, beim Speichern auf dem Server und beim Herunterladen durch den Empfänger verschlüsselt. Nachrichten können nur die beabsichtigten Empfänger:innen lesen.

Für die Speicherung der Daten setzt Stashcat deutsche Server ein, die derzeit in einem Hochsicherheitszentrum in München stehen. Regelmäßige, automatische Online-Back-ups sollen den Schutz vor Datenverlust durch Hardware-Ausfall, Virenbefall oder höhere Gewalt sicherstellen.

Das interne Kontaktbuch von Stashcat arbeitet ohne An- und Weitergabe von privaten Handynummern. Darüber hinaus sind Funktionen für die sichere Mobilgeräteverwaltung (Mobile Device Management) sowie zur Rechte- und Rollenverwaltung enthalten, sodass Sie keine separaten Tools hierfür benötigen.

Stashcat ist eine proprietäre Plattform. Das heißt, dass die Entwickler:innen das alleinige Recht besitzen, die Plattform weiterzuentwickeln und Änderungen vorzunehmen. Der Quellcode ist nicht öffentlich zugänglich.

SwyxON bündelt Festnetz-, Mobil- und Video-Telefonie, Messaging und E-Mails in einer einheitlichen, nutzerfreundlichen Lösung.

Stashcat: Vor- und Nachteile

Die moderne Arbeitswelt hat sich stark verändert: Anstatt sich wie früher zur selben Zeit am Arbeitsplatz zu treffen, arbeitet die Belegschaft heute oft an verschiedenen Orten und zu unterschiedlichen Zeiten an ein- und demselben Projekt. Kollaborationstools sind daher unerlässlich, um den Informationsfluss und -Austausch zu gewährleisten. Die Anwendungen verbinden Mitarbeiter:innen auf Projektbasis miteinander.

Die wesentlichen Vor- und Nachteile des beliebten und sicheren Messengers sind:

Vorteile von Stashcat

• Sicherheit: Stashcat gilt als sicherer als andere Business-Messenger, da das System eine Ende-zu-Ende-Verschlüsselung von Daten durch eine Kombination aus (256bit)- und RSA (4096bit)-Algorithmen verwendet.
• Datenschutz: Stashcat erfüllt die Anforderungen der EU-DSGVO und bietet seinen Nutzer:innen volle Kontrolle über ihre Daten.
• Flexibilität: Stashcat steht sowohl als Desktop-Anwendung als auch als mobile App zur Verfügung und ist somit sehr flexibel.
• BYOD-Prinzip: Stashcat arbeitet nach dem BYOD-Prinzip (Bring Your Own Device). Jede:r kann das Messaging-Tool auf dem eigenen Gerät nutzen, ohne dass es zu einem Sicherheitskonflikt kommt.
• Einfache Bedienung: Sämtliche Stashcat-Funktionen lassen sich weitgehend intuitiv bedienen.
• Verfügbarkeit: Stashcat kann einfach in bestehende IT-Infrastrukturen integriert und zeitgleich auf PC, Mac, Tablets und Smartphones genutzt werden.

Nachteile von Stashcat

• Kosten: Im Vergleich zu einigen anderen Business Messengern ist Stashcat eher im Premium-Segment angesiedelt.
• Bekanntheit: Stashcat ist noch nicht so bekannt wie einige andere Business Messenger und hat daher noch keine so große Nutzerbasis. Mögliche Bugs werden also möglicherweise nicht so schnell entdeckt wie bei bekannteren Messengern.
• Eingeschränkte Funktionen: Im Vergleich zu einigen anderen Business Messengern bietet Stashcat möglicherweise nicht alle Funktionen, die Unternehmen benötigen.

Bezüglich der Kosten ist anzumerken, dass Stashcat unterschiedliche Preismodelle anbietet, die Sie je nach Anzahl der Nutzer:innen und gewünschten Leistungen anpassen können.

Welche Stashcat-Alternativen gibt es?

Es gibt mehrere Alternativen zu Stashcat auf dem Markt, darunter:

1. Signal
2. Teamwire
3. Threema Work
4. Wire
5. Stackfield
6. Microsoft Teams
7. Slack

Hier ist zu beachten, dass jede dieser Plattformen unterschiedliche Funktionen und Sicherheitsmerkmale aufweist. Beispielsweise integriert Stackfield neben verschiedenen Möglichkeiten der DSGVO-konformen Kommunikation auch Möglichkeiten zum Projektmanagement.

Stashcat hingegen konzentriert sich, wie beispielsweise Teamwire auch, hauptsächlich auf die sichere und verschlüsselte Kommunikation zwischen Benutzer:innen. Die weit verbreitete Kollaborationsplattform Microsoft Teams hingegen hat beispielsweise einige Bedenken in Bezug auf die Sicherheit und den Datenschutz der europäischen Union aufgeworfen. Hier muss man sich in teilweise auf die Aussagen des Herstellers Microsoft verlassen, der stets beteuert, dass Teams und Microsoft 365 softwareseitig in Deutschland datenschutzkonform arbeiten.

Allerdings bietet Microsoft Teams – ähnlich wie Slack – eine besonders breite Palette an Funktionen für smarte Zusammenarbeit. Die Wahl der Business-Messenger-Plattform hängt demnach stark von den spezifischen Anforderungen eines Unternehmens oder einer Institution ab.

Das Wichtigste zu Stashcat in Kürze

Stashcat ist eine sichere Business-Messenger-Plattform, die auf Datenschutz und Datenschutz-Compliance ausgelegt ist. Die wichtigsten Merkmale von Stashcat sind:

• Ende-zu-Ende-Verschlüsselung der gesamten Kommunikation
• Sichere Speicherung von Daten auf deutschen Servern
• Konformität mit europäischen Datenschutzbestimmungen (DSGVO-konform)
• Verwaltung von Nutzerrollen und -berechtigungen
• Flexibilität in der Konfiguration der Plattform

Quelle:

https://www.vodafone.de/business/featured/digitales-business/stashcat-wie-sicher-ist-der-business-messenger/

Die Tricks von Cyberkriminellen werden immer besser. Doch die meisten Passwörter geraten immer noch mit vergleichsweise einfachen Angriffsformen wie dem Credential-Stuffing in falsche Hände. Wie das funktioniert und was Sie und Ihre Mitarbeiter:innen darüber wissen sollten, lesen Sie hier.

Auf über 200 Milliarden Euro schätzt der Branchenverband Bitkom den Schaden durch Cyberkriminalität 2022 allein in Deutschland. Viele dieser Angriffe erfolgen mit Schadsoftware, die über das Internet – zum Beispiel per E-Mail – an Computernutzer:innen versendet wird.

Millionen solcher Schadprogramme (Malware) gelangen so täglich in Unternehmensnetze. Zur Gefahr werden sie, wenn die Empfänger:innen diese Dateien öffnen und damit deren geheime Spionagefunktionen unbemerkt aktivieren. Die Programme schnüffeln beispielsweise nach Passwörtern, die sie dann direkt an ihre Programmierer versenden.

Doch immer häufiger brauchen Kriminelle gar keine versteckte Malware mehr, um an Passwörter von Nutzer:innen zu gelangen. Denn viele Passwörter und andere sensible Daten von Anwender:innen befinden sich bereits im Darknet. Die Kriminellen verkaufen sie dort an die Meistbietenden. Mit Credential-Stuffing werden diese Daten dann zur ernsten Gefahr.

Was ist Credential-Stuffing?

Der Begriff Credential-Stuffing beschreibt eine Hackingattacke, bei der Kriminelle gestohlene Zugangsdaten, sogenannte „Credentials“, aus einer bestimmten Quelle benutzen. Mit diesen Daten verschaffen sie sich die Diebe Zugriff auf weitere Nutzerkonten einer Person.

Hierfür erwerben Hacker:innen im Darknet Datenbanken mit Nutzerdaten und Passwörtern aus früheren erfolgreichen Hackingattacken. Anschließend probieren sie mithilfe automatisierter Anmeldeprogramme diese Zugangsdaten bei vielen weiteren Plattformen aus – in der Hoffnung, dass dieselben Nutzerdaten dort auch funktionieren. Dieser Vorgang wird auch als Stuffing (auf englisch: „stopfen“) bezeichnet, weil die gestohlenen Passwörter nacheinander in zahlreiche Anmeldeportale „gestopft” werden. Die Angreifer probieren die Zugangsdaten zum Beispiel für ein Download-Portal oder ein Social-Media-Konto oder bei bekannten Online-Auktionshäusern oder Webshops aus.

Haben die Kriminellen damit Erfolg, stehlen sie mithilfe dieser Zugangsdaten persönliche Informationen der Kontoinhaber:innen, beispielsweise Kreditkartendaten. Sie können aber beispielsweise auch mit den erbeuteten Nutzerdaten Waren und Dienstleistungen auf Kosten der Geschädigten bestellen.

Wie funktioniert ein Credential-Stuffing-Angriff?

Credential-Stuffing-Attacken profitieren von der großen Zahl an Nutzerkonten, die die meisten Anwender:innen mittlerweile haben. Dem gegenüber steht die Schwierigkeit, sich für jede Plattform ein anderes Passwort zu merken.

Viele Anwender:innen greifen heute im Tagesverlauf mit mehreren Endgeräten auf ihre Nutzerkonten zu und verwenden daher bewusst simple oder leicht zu merkende Passwörter, um sich schnell über jede dieser Plattformen anmelden zu können. In etwa jedem fünften Fall werden dieselben Anmeldenamen und Passwörter für verschiedene Benutzerkonten verwendet, hat eine Studie des Hasso-Plattner-Instituts ergeben.

Ein großer Teil der Internetnutzer:innen ist beispielsweise bei Social-Media-Plattformen, Streaming-Anbietern und Internet-Kaufhäusern registriert. Entsprechend hoch ist somit die Chance für Hacker:innen, solche Mehrfach-Nutzungen von Passwörtern durch bloßes Ausprobieren bei weiteren Plattformen aufzuspüren.

Hacker:innen verwenden hierfür sogenannte Bot-Netze, also Netzwerke aus physischen oder virtuellen Computern im Internet, deren Aufgabe es ist, die Passwörter auf vielen weiteren Plattformen auszutesten.

Die Werkzeuge für das automatische Ausprobieren von Nutzerdaten werden dabei immer leistungsfähiger. So täuschen einige Credential-Stuffing-Programme vor, sich im selben IP-Adressraum zu befinden wie die echten Inhaber:innen der Nutzerdaten. So verhindern sie, dass die betroffenen Plattformen verdächtige Anmeldeversuche aus dem Ausland oder verdächtigen Subnetzen erkennen und automatisiert sperren.

Eine Hochrechnung des Softwareanbieters Arkose Labs hat ergeben, dass Credential-Stuffing-Angriffe inzwischen knapp 30 Prozent aller Hackingangriffe ausmachen. Etwa jeder zwanzigste Anmeldeversuch steht im Verdacht, eine solche Hackingattacke per Credential-Stuffing zu sein.

Hacker:innen kaufen im Darknet gestohlene Anmeldedaten und testen diese über Botnetze auf anderen Plattformen aus.

Diese Branchen sind besonders betroffen

Credential-Stuffing als Angriffsform ist nicht auf bestimmte Branchen oder Unternehmen beschränkt, sondern funktioniert grundsätzlich übergreifend in allen passwortgesicherten Zugangssystemen. Trotzdem sind einige Branchen besonders betroffen. Im Einzelnen sind dies:

• Unternehmen, mit sehr vielen Kunden, die sich über Webportale anmelden. Dazu gehören beispielsweise die Gastronomie, sowie Banken und Finanzdienstleister, Online-Kaufhäuser und Vermietungsportale. Angreifer:innen können hier auf fremde Bankkonten zugreifen oder im Namen Dritter Waren einkaufen.
• Unternehmen, die ihre Waren und Dienstleistungen digital über das Internet anbieten, beispielsweise Softwarefirmen und Streaminganbieter. Hier können Angreifer:innen mit gestohlenen Accounts digitale Inhalte bestellen und herunterladen.
• Unternehmen, die ihren Mitarbeiter:innen mobiles Arbeiten ermöglichen und hierfür passwortgeschützte Zugänge in ihr Firmennetz einrichten. Hacker:innen können per Credential-Stuffing in diese Netze eindringen und Unternehmensdaten stehlen.

Credential-Stuffing vs. Brute-Force-Angriffe vs. Password-Spraying

Neben dem Credential-Stuffing wenden Hacker:innen auch andere Verfahren an, um Nutzerkonten zu knacken. Besonders verbreitete Angriffsvektoren sind die Brute-Force-Attacke und das Passwort-Spraying.

Brute-Force-Angriffe

Die Attacke per Brute-Force (auf englisch: „Brutale Gewalt“) basiert auf dem monotonen und sehr schnellen Ausprobieren zahlreicher möglicher Passwörter für ein einzelnes Nutzerkonto. Angreifer:innen verwenden hierfür Wörterbücher in der jeweiligen Landessprache und zusätzlich Listen beliebter Passwörter wie „Gott“, „Admin“, „qwertz“, „letmein“ oder „Passwort“.

Früher rieten Expert:innen daher oft, anstelle von gängigen Passwörtern aus dem Lexikon beispielsweise abweichende Schreibweisen hierfür zu verwenden. Besonders beliebt ist hierfür das sogenannte Leetspeak, das Buchstaben durch ähnlich aussehende Ziffern ersetzt, zum Beispiel das „E“ durch eine „3“, das „A“ durch eine „4“ und das „T“ durch eine „7“. Dabei wird das Wort „Passwort“ zu „P4ssw0r7“ und das Wort „Leetspeak“ zu „13375p34k“.

Inzwischen kennen Brute-Force-Programme aber auch die meisten dieser Tricks und können dank immer schnellerer Programmroutinen komplette Wörterbücher samt ihrer Leet-Varianten in nur wenigen Minuten durchprobieren.

Effizient sind Brute-Force-Attacken überall dort, wo sie in kurzer Zeit sehr viele Passwortvarianten durchprobieren können, ohne dass Websites nach einem dritten erfolglosen Anmeldeversuch das Benutzerkonto sperren oder sogenannte Captcha-Mechanismen als erweiterte Sicherheitsmechanismen zum Einsatz kommen. Hacker:innen verwenden hierfür Programme wie Medusa oder den Brutus-Password-Cracker, die Spezialist:innen auch bei Pentests einsetzen.

Passwort-Spraying

Während die Brute-Force-Attacke gezielt einzelne Anwenderkonten angreift, richtet sich das Passwort-Spraying gegen eine Vielzahl von Nutzerkonten gleichzeitig, geht dafür aber weniger in die Tiefe. So beschränkt es sich auf das Ausprobieren einer kleinen Anzahl besonders gängiger Passwörter, beispielsweise die auch bei der Brute-Force-Attacke zum Einsatz kommenden Wörter „Gott“, „Admin“ oder „Passwort“. Die angreifende Software testet aber keine ganzen Wörterbücher durch.

Das Passwort-Spraying funktioniert besonders gut auf Plattformen mit sehr vielen Nutzerkonten, die Benutzernamen nach festen Regeln bilden. Wenn Sie in Ihrem Unternehmen alle Benutzernamen nach der Regel Vorname.Nachname@Firmenname bilden, dann ist dies ein idealer Angriffspunkt für das Passwort-Spraying.

Entsprechende Software testet einfach alle gängigen Kombinationen aus Vor- und Nachnamen und testet diese mit gängigen Passwörtern. Die Chance ist hoch, dass mindestens eine Person im Unternehmen ein schwaches, bekanntes Passwort nutzt. Wenn Kriminelle dieses Benutzerkonto einmal hacken, können sie anschließend Schadsoftware ins gesamte Unternehmensnetz einspielen.

Schutzmaßnahmen für Unternehmen

Angriffe per Credential-Stuffing sind ein erhebliches Sicherheitsrisiko für Unternehmen. Denn Kriminelle können damit nicht nur an Kreditkartendaten gelangen oder im Namen Dritter Waren bestellen. Sie gelangen auf diesem Weg auch in Unternehmensnetze und können dort sensible Daten stehlen.

Wenn Wettbewerber oder ausländische Nachrichtendienste beispielsweise Geschäftsgeheimnisse per Advanced Persistent Threat (APT) aus Ihrem Firmennetz stehlen wollen, werden sie auch im Darknet gezielt nach Passwörtern von Führungskräften oder anderen Mitarbeiter:innen aus Ihrem Unternehmen suchen und diese Passwörter in Ihrem Netz ausprobieren.

Auch beim Spear-Phishing können Hacker:innen ihre Erfolgschancen erhöhen, wenn sie bereits über dank Credential-Stuffing über gültige Zugänge und Passwörter verfügen, über die sie dann weitere Mitarbeiter:innen Ihres Unternehmens von innen heraus kontaktieren.

Fatal hierbei: Anders als Attacken per Brute-Force oder Passwort-Spraying hinterlässt gezieltes Crendetial-Stuffing als Teil eines APT so gut wie keine Spuren in ihren Anmeldesystemen. Die meisten Brute-Force-Aufrufe können Sie beispielsweise im Dashboard Ihres Anmeldeservers sehen und gezielt unterbinden. Eine Credential-Stuffing-Anmeldung mit einem kompromittierten Passwort aus dem Darknet können Sie hingegen kaum von einem erlaubten Zugriff der echten Person unterscheiden.

Daher sollten Sie Ihr Unternehmensnetz gegen Credential-Stuffing besonders wirksam schützen. Diese Tipps helfen Ihnen dabei:

• Machen Sie Credential-Stuffing zum Thema in Ihren Sicherheitsschulungen. Viele Anwender:innen kennen die Gefahren dieser Attacke nicht und verwenden daher Passwörter mehrfach.
• Gestalten Sie Ihr Unternehmensnetzwerk ergonomisch. Wenn Ihre Mitarbeiter:innen sich nach der Anmeldung im Benutzerkonto noch einmal bei allen weiteren Anwendungen separat anmelden müssen, ist die Gefahr groß, dass sie dafür mit der Zeit immer dieselben Passwörter verwenden. Wird dann beispielsweise das Portal Ihres Mietwagen-Anbieters gehackt, werden einige der dort verwendeten Passwörter auch den Zugang zu Ihrem Firmennetz ermöglichen.
• Führen Sie alle Kommunikationsplattformen im Unternehmen mittels Unified Communications (UC) zusammen und verwenden Sie auch für mobile Endgeräte ein einheitliches Rechtemanagement über ein Unified Endpoint Management (UEM). Dies reduziert die Anzahl der notwendigen Anmeldevorgänge und Passwörter.
• Im Internet finden Sie Listen bekannter Passwortdiebstähle aus den vergangenen Jahren. Betroffen waren beispielsweise Firmen wie Adobe, Facebook oder die Marriot-Hotels. Beachten Sie, dass Kriminelle einmal gestohlene Passwörter auch nach vielen Jahren noch im Darknet handeln. Diese Passwörter sind damit für alle Zeiten unbenutzbar.
• Viele Unternehmen geben in ihren internen Passwort-Richtlinien vor, wie oft Mitarbeiter:innen ihre Passwörter ändern müssen. Doch der Zwang zu häufigem Wechsel kann auch gefährlich sein. Denn wenn sich Ihre Mitarbeiter:innen jeden Monat neue Passwörter ausdenken müssen, werden viele diese Passwörter nach festen Regeln bilden. Sie hängen beispielsweise fortlaufende Nummern an oder verändern jeweils nur einen Buchstaben im Passwort oder schreiben das Passwort auf einen Zettel, der unbeaufsichtigt am Arbeitsplatz liegt. Oder sie werden – um die Zahl der immer wieder neu zu merkenden Passwörter klein zu halten – diese auf verschiedenen Systemen wiederverwenden. Doch gerade dies erhöht die Gefahr erfolgreicher Credential-Stuffing-Attacken. Daher empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Grundschutz-Kompendium inzwischen keinen turnusmäßigen Wechsel des Passworts mehr. Stattdessen schlägt das BSI einen anlassbezogenen Passwortwechsel vor – beispielsweise beim Verdacht, dass es eine Hackingattacke gegeben haben könnte.
• Mithilfe eines Passwortmanagers und -generators können Ihre Mitarbeiter:innen individuelle und schwer zu knackende Passwörter für jeden Einsatzzweck erzeugen. Die unterschiedlichen Passwörter für die einzelnen Anwendungen werden dann im Passwortmanager verwahrt und der Zugriff hierauf mit einem einzelnen und somit leichter zu merkenden Masterpasswort geschützt. Idealerweise sollte das Passwortprogramm auf einer sicheren, verschlüsselten Plattform liegen, etwa in der Private Cloud Ihrer Firma. Ihre Mitarbeiter:innen sollten mit allen ihren Endgeräten auch von unterwegs darauf zugreifen können. Andernfalls ist die Gefahr groß, dass Team-Mitglieder einzelne Passwörter doch auf einen Zettel notieren und im Portemonnaie oder der Smartphonehülle ablegen.
• Richten Sie, wo immer dies möglich ist, eine Zwei-Faktor-Authentifizierung (2FA) ein. So können Angreifer:innen mit einzelnen gestohlenen Passwörtern noch nicht auf Ihre Systeme zugreifen. Ein sehr effizienter Schutz ist die Kombination von biometrischen Verfahren wie einem Fingerabdruckscan am mobilen Endgerät mit einer Passwortabfrage auf dem Notebook oder Desktop-PC. Die Wahrscheinlichkeit, dass Angreifer:innen gleichzeitig auf Ihren Arbeitsplatzrechner und Ihr Mobilgerät zugreifen können, ist sehr gering. Damit ist 2FA einer der besten Schutzmechanismen gegen Passwortdiebstahl und Credential-Stuffing.

Das Wichtigste zu Credential-Stuffing in Kürze

• Credential-Stuffing ist eine verbreitete Hackingattacke, die mit kompromittierten Passwörtern arbeitet.
• Die Angriffsform Credential-Stuffing kann alle Branchen betreffen. Besonders betroffen sind beispielsweise Unternehmen mit Webportalen.
• Credential-Stuffing ist verwandt mit Angriffsformen wie Brute-Force und Password-Spraying, aber es hinterlässt weniger Datenspuren in Ihren Systemen.
• Unternehmen können die Gefahren des Credential-Stuffing minimieren, indem sie ihre Mitarbeiter:innen entsprechend schulen und ihre Passwort-Richtlinien anpassen.
• Durch den Einsatz einer Zwei-Faktor-Authentifizierung reduzieren Sie die Gefahren von Hackingattacken auf Ihr Unternehmensnetz.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/was-ist-credential-stuffing-und-wie-schuetzen-sie-ihr-unternehmen-davor/