Werden Sie zum Cybersecurity-MVP: Wie die NFL und CISA Cybersecurity-Herausforderungen meistern

Tomás Maldonado, CISO bei der National Football League, und Jeff Greene, Executive Assistant Director der Cybersecurity Division bei der Cybersecurity and Infrastructure Security Agency (CISA), nahmen gemeinsam mit Bitwarden-CEO Michael Crandell an einem Kamingespräch beim Open Source Security Summit teil, um Sicherheitsbest Practices, häufige Fehler und die breite Palette an Ressourcen für Organisationen zu beleuchten. Sie sprachen außerdem darüber, wie Einzelpersonen und Organisationen Cyberkriminellen durch regelmäßige Software-Patches, ein Bewusstsein für Social-Engineering-Methoden und den Einsatz von Sicherheitstools wie Multi-Faktor-Authentifizierung und Passwort-Managern einen Schritt voraus sein können. 

Nachdem Maldonado jahrelang als Sicherheitsexperte bei renommierten Finanzunternehmen tätig war, übernahm er eine CISO-Rolle bei einem Chemieunternehmen und sammelte Erfahrung in stark regulierten Unternehmen. Maldonado scherzte: „Die NFL hat mich durch eine Cybersecurity-Combine geschickt.“ 

Bei CISA sind Greene und sein Team für Cybersicherheit, die Verringerung von Cyberbedrohungen und letztlich Cyberangriffen auf Bundes-, ziviler und Exekutivebene verantwortlich. Zwar hat jede Behörde ihren eigenen CISO, doch CISA legt Richtlinien fest und ist befugt, Anweisungen zu erteilen. Greene, der über 15 Jahre Erfahrung in der Cybersicherheit verfügt, war zuvor als Anwalt tätig. Vor dem Wechsel in seine aktuelle Rolle hatte er Positionen in der Privatwirtschaft und beim National Institute of Standards and Technology (NIST) inne.

In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit ist es entscheidend, Art und Umfang von Cyberbedrohungen zu verstehen. Cyberkriminelle verfeinern ihre Taktiken laufend, weshalb Sicherheitsteams ihnen immer einen Schritt voraus sein müssen. Neue Schwachstellen und Dauerbrenner wie Phishing und Ransomware bleiben auch mit dem Aufkommen neuer Technologien erhebliche Herausforderungen.

Cyberbedrohungen treten in verschiedenen Formen auf, die jeweils eigene Risiken bergen. Malware ist beispielsweise ein gefährlicher Gegner, da Angriffe immer ausgefeilter und schwerer zu erkennen sind. Zu dieser Kategorie gehören Viren, Würmer, Ransomware und Cryptojacking, die allesamt erheblichen Schaden an Systemen und Daten anrichten können.

Phishing-Angriffe sind eine weitere anhaltende Bedrohung für Organisationen jeder Größe. Bei diesen Angriffen werden häufig betrügerische E-Mails oder Nachrichten eingesetzt, um Empfänger zur Preisgabe sensibler Informationen zu verleiten. Schulung, Sensibilisierung und robuste Sicherheitsmaßnahmen, die solche Versuche erkennen und blockieren, sind entscheidend, um Phishing zu bekämpfen.

Ransomware, eine Art von Malware, die Daten verschlüsselt und für deren Freigabe eine Zahlung verlangt, ist ein erhebliches Problem. Organisationen müssen wachsam sein und umfassende Sicherheitsprotokolle einsetzen, um solche Angriffe zu verhindern und ihre Auswirkungen zu mindern.

Die Vorbereitung auf diese unterschiedlichen Arten von Cyberbedrohungen ist unerlässlich, um potenzielle Angriffsvektoren zu identifizieren und wirksame Strategien zur Risikominderung zu organisieren. Wenn Organisationen diese Bedrohungen verstehen und proaktive Sicherheitsmaßnahmen umsetzen, können sie ihre Netzwerke, Systeme und sensiblen Daten besser vor Cyberangriffen schützen.

Seit Jahren treffen sich die NFL und CISA 12 bis 18 Monate vor dem Super Bowl. Da der Super Bowl 2025 in New Orleans stattfinden wird, hat die NFL sichergestellt, dass Unternehmen, die während des Super Bowl Dienstleistungen anbieten, die Angebote von CISA kennen, darunter Planspiele, Schulungen, Sensibilisierungskampagnen, Schwachstellenscans und Penetrationstests.

Die NFL und CISA arbeiten außerdem zusammen, um Advanced Persistent Threats sowie ausgefeilte, lang andauernde Cyberangriffe zu identifizieren und einzudämmen, die darauf abzielen, sensible Informationen zu stehlen oder Abläufe zu sabotieren. Cloud-Computing bringt besondere Herausforderungen für die Cybersicherheit mit sich, weshalb es entscheidend ist, Cloud-Infrastrukturen gegen Fehlkonfigurationen und unzureichende Zugriffskontrollen abzusichern.

Ein Donut-Laden in der Nähe des Super Bowl könnte beispielsweise Tools wie einen öffentlichen Scan seiner öffentlich erreichbaren Websites nutzen, um sicherzustellen, dass keine Schwachstellen ausnutzbar sind. CISA kann außerdem grundlegende Sicherheitsziele bereitstellen, die Organisationen Anregungen zur Verbesserung ihrer Sicherheit geben.

CISA verfügt in jedem Bundesstaat über Cybersicherheitsberater, die mit Unternehmen in Kontakt treten können, die potenziellen Bedrohungen ausgesetzt sind. Zwar ist die Art der Bedrohung, der ein Energieunternehmen ausgesetzt sein kann, wahrscheinlich schwerwiegender als die eines Donut-Ladens, doch auch ein Donut-Laden verarbeitet vermutlich große Mengen personenbezogener Daten und kann von Schwachstellenscans profitieren. CISA konzentriert sich außerdem stark darauf, Unternehmen bei der Prävention und Triage von Ransomware-Angriffen zu unterstützen. Greene sagte: „Wenn wir davon ausgehen, dass ein Unternehmen gerade angegriffen wird oder ins Visier genommen wurde, nehmen wir direkt Kontakt auf und empfehlen Maßnahmen zur Abwehr von Cyberangriffen, auf die es sich konzentrieren sollte.“

Passwort-Manager helfen beim Schutz vor Ransomware indem sie Benutzern ermöglichen, für jede besuchte Website starke und einzigartige Passwörter zu erstellen. Dadurch wird das Risiko der Wiederverwendung von Passwörtern verringert und verhindert, dass Menschen nur deshalb auf schwächere Passwörter zurückgreifen, weil sie leicht zu merken sind. So sinkt die Wahrscheinlichkeit eines Diebstahls von Zugangsdaten.

Cybersecurity-Herausforderungen bei der Verwaltung sensibler Daten 

Unternehmen, die als „Organisation von Organisationen“ agieren, stehen vor vielen einzigartigen Herausforderungen im Bereich Cybersicherheit. Die NFL beaufsichtigt 32 Clubs, die jeweils eigene zusätzliche Geschäftsbereiche betreiben.

„Die Sicherheitspraktiken, -protokolle und -programme, die wir entwickelt haben, entsprechen den Empfehlungen des NIST zur Cybersicherheit. Natürlich stellen wir auch sicher, dass wir die von CISA angebotenen Dienste nutzen. Die einzelnen Clubs verstehen, wie die Liga ihnen helfen kann und auch, wie sie vor Ort von staatlichen Cybersicherheitsdiensten profitieren können.“ – Tomás Maldonado

Einzelne Clubs arbeiten oft eng mit lokalen Unternehmen und Dienstleistern zusammen und geben die von ihnen beobachteten Best Practices für Sicherheit an ihre Anbieter in der Lieferkette weiter.

Um Cyberangriffe zu verhindern, ist ein umfassender Ansatz erforderlich, der Risiken mindert und sensible Daten schützt. Unternehmen müssen in Lösungen investieren, die ihre Systeme vor internen und externen Bedrohungen schützen.

Passwort-Manager können Benutzern helfen, komplexe Passwörter sicher zu generieren und zu speichern. Die Förderung starker, einzigartiger Passwörter und der Aufbau einer Kultur der Cybersicherheit können verhindern, dass Cyberkriminelle Zugriff auf Systeme erlangen, und Mitarbeitenden die Tools und Ressourcen an die Hand geben, um potenzielle Bedrohungen zu erkennen und zu eskalieren. Die Implementierung der Multi-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene, da Benutzer vor dem Zugriff auf Systeme zwei Identifikationsformen bereitstellen müssen. Dadurch wird das Risiko eines unbefugten Zugriffs verringert, selbst wenn Passwörter kompromittiert wurden. Die Verschlüsselung sensibler Daten stellt sicher, dass sie ohne den Entschlüsselungsschlüssel nicht gelesen werden können, selbst wenn sie abgefangen werden. Das Einrichten von Warnmeldungen für verdächtige oder schädliche Aktivitäten ermöglicht es Sicherheitsteams, schnell auf potenzielle Bedrohungen zu reagieren. Durch Investitionen in diese Lösungen und die Einführung bewährter Verfahren können Unternehmen effektiv auf Cyberangriffe reagieren und ihre sensiblen Daten vor Kompromittierung schützen.

„In den Jahren seit [SolarWinds] haben wir unglaubliche Fortschritte bei der Einführung von Endpoint Detection and Response in mehr als 60 Bundesbehörden gemacht. Jetzt können wir Cyberbedrohungen analysieren und die sprichwörtlichen Punkte behördenübergreifend miteinander verbinden. Wir konnten unsere Ressourcen nutzen, um schädliche Aktivitäten zu erkennen, die unseren Endpoint-Detection-Technologien entgangen waren, denn als wir alles zusammengeführt haben, merkten wir, dass etwas nicht stimmte. Wir konnten Angriffe stoppen, die wir als Angriffe der nächsten Generation betrachten.“ – Jeff Greene

Ausgehend von der Unternehmenssicherheit sowie den bestehenden Chancen und Herausforderungen wies Crandell darauf hin, dass menschliches Versagen trotz unserer ausgereiften Sicherheitstechnologien nach wie vor eine der Hauptursachen für Sicherheitsverletzungen ist. Er fragte Maldonado und Greene nach Strategien und Praktiken, die eingeführt werden können, um besseres Verhalten zu fördern.

„Ich versuche, in meinem Team das Bewusstsein und die Schulung für die Arten von Bedrohungen zu fördern, denen wir als Organisation ausgesetzt sind“, sagte Maldonado. „Ich konzentriere mich auch auf Sicherheitsbedrohungen, denen Menschen in ihrem Privatleben begegnen können. Während manche ihre Mitarbeitenden vielleicht als schwächstes Glied betrachten, sehe ich es aus der Perspektive, dass unsere Mitarbeitenden unser größtes Kapital sind. Wenn ich 15.000 Menschen in meiner Organisation habe, habe ich potenziell 15.000 Security-Evangelisten.“

„Wenn ich sie erreichen und ihnen mehr Wissen über Cybersicherheit vermitteln kann, können sie gute Frühwarnindikatoren oder Evangelisten für bestimmte Sicherheitskontrollen sein … Letztendlich haben Menschen gute Absichten und wollen das Richtige tun.“ – Tomás Maldonado

Maldonado merkte außerdem an, dass Menschen sich nach wie vor stark auf Benutzernamen und Passwörter verlassen. Er sagte, die NFL habe versucht, von Passwörtern auf Passphrasen umzusteigen, weil er glaubt, dass dies für Angreifer schwerer zu knacken ist und für Einzelpersonen gleichzeitig leichter zu merken ist.

Bitwarden-Benutzer, die nach einer Alternative zu Passwörtern aus zufällig generierten Zeichen suchen, können ebenfalls von Passphrasen profitieren. Passphrasen können mit dem Bitwarden-Passphrasen-Generator oder dem Pop-up zur Erstellung von Einträgen im Tresor erstellt werden.

„Wenn Sie Menschen beibringen, wie sie ihre persönlichen Informationen schützen können, seien es Kreditkartendaten oder Bankkontodaten, werden sie diese Fähigkeiten – fast automatisch – auf ihr Berufsleben übertragen“, sagte Greene. „Aber all das konzentriert sich auf das kurzfristige Problem, und es gibt ein längerfristiges grundlegendes Problem … Wir sollten nicht in einer Umgebung leben, in der ein kurzer Fehler dazu führen kann, dass ein Cyberkrimineller ein Bankkonto leer räumt, Geheimnisse der nationalen Sicherheit stiehlt oder kritische Infrastruktur lahmlegt. Das passiert, weil die Software und Technologie, auf die wir uns verlassen, unsicher entwickelt wurden.“

„Kurzfristig müssen wir alles tun, was wir besprochen haben, und langfristig müssen wir ändern, wie diese Technologie entwickelt wird. Sie muss von Anfang an grundsolide sein. Wir brauchen Security-by-Design.“ – Jeff Greene

Beispiele für Security by Design sind: 

• Nutzung von Multi-Faktor-Authentifizierung.

• Meldung bekannter Schwachstellen.

• Ein System zur Erkennung von Schwachstellen.

• Sicherstellen, dass kein Gerät oder System mit einem voreingestellten Benutzernamen und Passwort ausgeliefert wird.

Organisationen sollten voreingestellte Benutzernamen und Passwörter sofort in starke und einzigartige Passwörter oder Passphrasen ändern, idealerweise verwaltet und abgesichert durch einen Ende-zu-Ende-verschlüsselten Passwort-Manager wie Bitwarden.

Greene ermutigt außerdem alle, die CISA-Website zu besuchen, um weitere Informationen zur offiziellen Secure by Design-Selbstverpflichtung zu erhalten.

Da sich Cyberbedrohungen ständig weiterentwickeln und immer ausgefeilter werden, gewinnt die Rolle von KI und maschinellem Lernen in der Cybersicherheit zunehmend an Bedeutung. Es ist entscheidend, dass Unternehmen Technologien einsetzen, die Cyberbedrohungen in Echtzeit erkennen und darauf reagieren können, wodurch das Risiko von Datenpannen und anderen Cyberangriffen deutlich reduziert wird. Mit Echtzeit-Bedrohungserkennung können KI- und Machine-Learning-Algorithmen große Datenmengen schnell analysieren und Muster sowie Anomalien erkennen, die auf eine Cyberbedrohung hindeuten können. Durch die Analyse historischer Daten kann KI zukünftige Cyberbedrohungen vorhersagen und Organisationen dabei helfen, sich auf potenzielle Angriffe vorzubereiten. 

„Da KI immer mehr zum Mainstream wird, müssen Sicherheitsfachleute die potenziellen Sicherheitsrisiken durch generative KI besser verstehen und wissen, wie wir Secure-by-Design-Prinzipien umsetzen können, um eine starke Grundlage für Datensicherheit zu schaffen“, sagte Maldonado. Er ist überzeugt, dass Security-by-Design-Prinzipien frühzeitig integriert werden müssen, während künftige Entwickler lernen, Code zu schreiben. „Für Entwickler besteht ein Anreiz, sehr schnell programmieren zu lernen, damit sie ein Produkt so schnell wie möglich auf den Markt bringen können“, sagte Maldonado. 

„Wir müssen von einer Denkweise wegkommen, in der Unternehmen belohnt werden, die Produkte schnell veröffentlichen, hin zu einer, in der Unternehmen belohnt werden, die Sicherheit von Anfang an bewusst priorisieren und einbauen. Unternehmen können ihre Marktziele erreichen und gleichzeitig Nutzer davor schützen, dass ihre Daten kompromittiert werden.“ – Tomás Maldonado

Dieser proaktive Ansatz ermöglicht es Sicherheitsteams, Cyberkriminellen einen Schritt voraus zu sein und Risiken zu mindern, bevor sie eintreten. KI-gestützte Systeme können automatisch auf erkannte Bedrohungen reagieren und sie neutralisieren, bevor sie erheblichen Schaden verursachen. Das reduziert die Belastung der Sicherheitsteams und sorgt für eine schnelle und wirksame Reaktion auf Cyberangriffe. Durch den Einsatz von KI und maschinellem Lernen können Organisationen ihre Cybersicherheitslage verbessern und ihre Daten besser vor neuen Bedrohungen schützen.

„Wir alle sind in der Lage, die Sicherheit unseres digitalen Lebens und unserer Unternehmen zu verbessern. So beängstigend es auch wirkt: Die meisten Cyberangriffe sind nicht raffiniert, und die meisten Angreifer sind träge. Wenn Sie als Einzelperson oder kleines Unternehmen einfache Dinge tun – Patches und Aktualisierungen einspielen, Sicherheitstools wie Passwort-Manager installieren und Multi-Faktor-Authentifizierung nutzen –, sind Sie den meisten Cyberkriminellen voraus.“ – Jeff Greene

Bereit, mit Passwortverwaltung zum MVP der Cybersicherheit zu werden? Starten Sie mit einer 7-tägigen kostenlosen Testversion für Unternehmen oder registrieren Sie sich für ein kostenloses Konto für Einzelpersonen.