Digital Trust Digest: Die wichtigsten Nachrichten dieser Woche (7.-11. November)

Der Digital Trust Digest bietet einen Überblick über die wichtigsten Nachrichten der Woche im Bereich Cybersicherheit.

Zusätzlich zu allem, was in dieser Woche in der Welt der Cybersicherheit passiert, ist heute in den Vereinigten Staaten der Tag der Veteranen. Wir möchten den Veteranen und ihren Familien unseren Dank für ihren Dienst aussprechen.

Hier sind die fünf wichtigsten Aktualisierungen im Bereich der Cybersicherheit, die Sie diese Woche kennen sollten:

Die American Bankers Association hat einen neuen Bericht veröffentlicht, der einen Rahmen für die Verbesserung des Kundenidentitätsmanagements skizziert, um die Finanzbranche und ihre Kunden vor Betrug zu schützen. 

Der Bericht zeigt auf, wie Schwachstellen in den wichtigsten Identitätsprozessen im Bankwesen zu betrügerischen Aktivitäten führen können. Der Bericht enthält Empfehlungen für Maßnahmen zur Betrugsprävention und zur Stärkung der digitalen Identitätsprozesse: 

• Schaffung einer digitalen Identität innerhalb des Führungsteams der Bank.
• Benchmarking mit anderen Unternehmen und bewährten Verfahren der Branche.
• Durchführung einer Ursachenanalyse zur Ermittlung von Schwachstellen.
• Abbildung der aktuellen identitätsbezogenen Anbieter.
• Verständnis der Roadmap des Kernbankensystemanbieters in Bezug auf die Kundenidentität.
• Bewertung von Anbietern im Zusammenhang mit dem Ökosystem der digitalen Identität. 
• Zusammenarbeit mit Branchengruppen, die sich mit der Entwicklung der digitalen Identität befassen.

Lesen Sie mehr über den Bericht hier.

Raconteur berichtet, dass "die EU der Einführung eines kontinentweiten digitalen Identitätssystems näher kommtaber es gibt noch immer technische und rechtliche Hürden". Dieses digitale Identitätssystem ist eine Reaktion auf die Umstellung auf ein digitales Leben während der Pandemie und auf die Notwendigkeit eines universellen Verfahrens zur Online-Überprüfung von Identitäten.

Obwohl dieses System die Anforderungen an den Schutz der Privatsphäre und den Datenschutz erfüllen muss, haben sich Industriegruppen und Verfechter digitaler Rechte gegen diese Initiative ausgesprochen. Insbesondere Browser-Anbieter wie Google und Mozilla argumentieren, dass die im Mandat vorgeschlagenen zusätzlichen Vertrauenszertifikate weniger sicher sind als die derzeitigen Website-Authentifizierungsmethoden und umfangreiche Arbeiten an der Web-Infrastruktur erfordern würden, um diese Änderungen zu berücksichtigen.

Lesen Sie mehr über das neue digitale Identitätssystem der EU und seine Herausforderungen hier.

Matthias Keller, Chief Scientist und SCP of Technology bei KAYAK, argumentiert, dass Apples Veröffentlichung von Passkeys als Teil von iOS 16 das Potenzial hat, die Art und Weise zu revolutionieren, wie Unternehmen die Anmeldung für ihre Produkte umsetzen. Keller weist außerdem darauf hin, dass Passkeys aufgrund der Verwendung starker Kryptografie die Möglichkeit ausschließen, große Mengen an Anmeldedaten von Websites oder cloudbasierten Passwortmanagern zu stehlen.

Zu den Vorteilen von Passkeys gehören:

• Die Server sehen die privaten Schlüssel der Benutzer nie.
• Die Nutzer haben keinen direkten Zugriff auf ihre privaten Schlüssel und können nur über eine Authentifizierung mit biometrischen Daten oder Gerätepasswörtern darauf zugreifen.
• Optimierte Benutzerführung bei der Registrierung und Verwendung von Passkeys.
• Es ist nicht mehr nötig, Passwörter zu aktualisieren oder sich endlose Passwörter zu merken.

Lesen Sie mehr über Apples Passkeys in diesem VentureBeat-Artikel.

Das Das Internet der Dinge wird aufgrund der grundlegenden Sicherheitsprobleme und Schwachstellen dieser Geräte zu einer massiven Angriffsfläche für Cybersicherheitsverletzungen. TechRepublic bietet diese Tipps, um Unternehmen dabei zu helfen, die Risiken zu verringern IoT :

• Erstellen Sie ein aktuelles, vollständiges Bestandsverzeichnis, um Risiken zu beseitigen und risikoreiche Geräte zu entfernen.
• Halten Sie sich an bewährte Verfahren zur Passwortsicherheit, indem Sie IoT eindeutige, komplexe und regelmäßig wechselnde Passwörter geben. 
• Verwalten Sie die Gerätefirmware, indem Sie auf die letzte Version aktualisieren und erkennen, wann ein Downgrade erforderlich ist, um eine Sicherheitslücke zu schließen.
• Schalten Sie fremde Verbindungen aus und beschränken Sie den Netzwerkzugang, um Angriffe durch zu viel Zugang zu verhindern.
• Sicherstellen, dass die Zertifikate auf dem neuesten Stand sind, gut verwaltet und validiert werden. 
• Achten Sie auf die Umgebungsabweichung, indem Sie sicherstellen, dass Geräte, die gesichert wurden, auch gesichert bleiben.

Lesen Sie mehr über die bewährten Sicherheitsverfahren von IoT hier.

Forrester's Bericht über modernes Zero Trust, Die Definition von modernem Zero Trusterläutert, wie sich diese Initiativen seit 2009 entwickelt haben. Der Bericht klärt auch die Definition des Konzepts, um Verwirrung und Skepsis zu beseitigen.

InfoSecurity Magazine hebt fünf wichtige Erkenntnisse aus dem Bericht hervor.

• Bei Zero Trust geht es mehr um Daten als um Netze, denn Daten sind heute der eigentliche Wert von Unternehmen.
• Richten Sie Zero-Trust-Initiativen an den geschäftlichen Vorteilen aus und integrieren Sie schrittweise die Initiativen mit unmittelbarer Relevanz. 
• Setzen Sie die aktualisierten Zero-Trust-Prinzipien in Ihren Initiativen um.
• Konzentrieren Sie Ihre Zero-Trust-Initiativen auf frühe Erfolge wie Dateiverschlüsselung und Data-in-Use-Kontrollen.
• Vermeiden Sie "Rip-and-Replace"-Initiativen und bauen Sie stattdessen auf vorhandenen Lösungen auf, die Ihr Unternehmen dort abholen, wo es heute steht.

Lesen Sie mehr über den Bericht von Forrester zum Thema Zero Trust hier.

Sie möchten die Schlagzeilen der letzten Woche nachlesen? Lesen Sie sie hier.