[datensicherheit.de, 21.06.2018] Kürzlich hat Thales seinen „Thales Bericht zu Datensicherheitsbedrohungen, Europa-Ausgabe“ vorgestellt, entstanden in Zusammenarbeit mit den Analysten von 451 Research. Der Bericht zeigt, dass die Deutschen und die Europäer insgesamt im Bereich IT-Sicherheit aufrüsten, nicht zuletzt befördert durch die seit dem 25. Mai 2018 buß­geld­be­wehrte EU-Datenschutz-Grundverordnung.

Trotz wachsender Investitionen sind aber die Datenschutzverletzugen nicht zuletzt in Deutschland sprunghaft auf 33 % gegenüber 22 % im Vorjahr angestiegen. Das legt die Vermutung nahe, dass die Anstrengungen (und Budgets) nicht ausreichen, um Cyberkriminellen den entscheidenden Schritt voraus zu sein. Oder schlimmer, dass die aufgestockten Mittel nicht effektiv eingesetzt werden.

Studienergebnis: Länderzusammenfassung – Deutschland

1. Steigende Investitionen in die IT-Sicherheit – an der richtigen Stelle?
   • Ungefähr drei Viertel (74 %) der Befragten in Deutschland gaben an, dass ihr Unternehmen für 2018 höhere Sicherheitsausgaben plant. Das entspricht mehr oder weniger dem europäischen (72 %) und weltweiten Durchschnitt (78 %).
   • Dennoch berichtete ein Drittel aller deutschen Unternehmen (33 %) trotz der hohen Sicherheitsausgaben von Datenschutzverletzungen im letzten Jahr, diese Zahl unterscheidet sich nur geringfügig vom europäischen Durchschnitt (32 %).
   • Darüber hinaus hatte fast die Hälfte (46 %) der Befragten in Deutschland das Gefühl, dass sie „sehr” oder „extrem” angreifbar und sensible Daten so externen Bedrohungen ausgesetzt sind, verglichen mit 41 % in ganz Europa.
   • Die Befragten in Deutschland nannten das Sichern von Data-at-Rest (75 %) und den Netzwerkschutz (75 %) als die effektivsten Maßnahmen, um Datenschutzverletzungen zu vermeiden.
   • Das Sichern von Data-in-Motion (38 %) und von Data-at-Rest (39 %) hatte bei den Ausgaben nur eine niedrige Priorität, obwohl diese zu den effektivsten Maßnahmen gezählt wurden.
   • Umgekehrt wurden Analyse- und Korrelations-Tools (64 %) und Sicherheitsmaßnahmen für Endpunkte und mobile Geräte (63 %) als am wenigsten effektiv, aber von hoher Priorität bei den Ausgaben bewertet (jeweils 50 %).
2. Gefühlte Komplexität behindert Datensicherheit am meisten
   • In Deutschland wie auch in den meisten anderen Regionen ist die gefühlte Komplexität weiterhin eines der größten Hindernisse für die Umsetzung von Datensicherheit (50 %), verglichen mit 45 % in ganz Europa.
   • Hybride, dezentrale Systeme sind beliebt, haben aber auch zu Problemen bei der Bereitstellung umfassender Datensicherheit geführt.
   • Compliance stellt weiterhin einen starken Anreiz für deutsche Unternehmen dar, in IT-Sicherheit zu investieren. 64 % bewerten Compliance entweder als „sehr“ oder „extrem“ effektiv bei der Vermeidung von Datenschutzverletzungen, das sind mehr als im europäischen Durchschnitt (60 %).
   • Nach der gefühlten Komplexität bereiten die Performance (36 %) und fehlendes Budget (35 %) den deutschen Befragten die meisten Sorgen, wenn auch mit deutlichem Abstand.
3. IoT
   In diesem Jahr wurden die Teilnehmer der Umfrage erstmals nach den beliebtesten eingesetzten IoT-Geräten gefragt:
   • In Deutschland, dem wahrscheinlich größten Industrie- und Produktionsland Europas, sind die Geräte zur Überwachung des Strom- bzw. Energieverbrauchs mit 40 % am beliebtesten gefolgt von persönlichen beziehungsweise tragbaren Geräten mit 33 % und Produktionsgeräten an dritter Stelle mit 30 %.
   • Die Hauptsorge bezüglich IoT-Sicherheit waren in Europa Angriffe auf IoT-Geräte mit 26 %, an zweiter Stelle folgen der Verlust oder Diebstahl von IoT-Geräten, das Fehlen qualifizierten Personals, Datenschutzverletzungen und der Schutz der von IoT-Geräten generierten Daten, alle mit 24 %.
   • Verschlüsselung wird in Deutschland (50 %) und im Vereinigten Königreich (48 %) bevorzugt, gefolgt von Malware-Schutzprogrammen (46 %).
   • Verschlüsselung bzw. Tokenisierung ist auch in Europa insgesamt (48 %) die erste Wahl, wenn es um Sicherheitskontrollen für IoT geht.
4. Cloud Computing
   Die meisten Unternehmen verfolgen eine Multi-Cloud-Strategie mit mehreren IaaS-Anbietern und sehr hohen SaaS-Nutzungsraten. Da Europäer in großem Maße in die Cloud wechseln und Multi-Cloud-Strategien verfolgen, speichern sie folglich große Mengen sensibler Daten in der Cloud.
   • In Deutschland allerdings mit der geringsten Prozentzahl unter den Befragten, nämlich 68 % (im Vergleich zu 77 % in Europa und 88 % beim Spitzenreiter Schweden).
   • In Deutschland neigen die Befragten allgemein weniger dazu, sensible Daten mittels neuer oder aufkommender Technologien zu speichern als im Rest von Europa. Das gilt für alle Kategorien außer Big Data, da liegen die Deutschen vorne, gemeinsam mit Schweden.
   • Fast ein Drittel (32 %) der Befragten in Deutschland nannte Verschlüsselung als das bevorzugte Mittel zur Einhaltung der lokalen Gesetze zur Datensouveränität, im Vergleich zu 44 % in Europa.
   • Verschlüsselung mit lokaler Schlüsselsteuerung war die erste Wahl zur Sicherung der Public Cloud (43 %), dicht gefolgt von Verschlüsselung mit Steuerung beim Serviceanbieter (42 %).

Weitere Informationen zum Thema:

THALES
Thales Data Threat Report 2018 – Europa-Ausgabe

The post Thales Data Threat Report 2018: Europa-Ausgabe vorgestellt appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 21.06.2018] Das Videospiel „Fortnite“ ist derzeit insbesondere bei Jugendlichen sehr beliebt. Eine Version für das Android-Betriebssystem ist von den Entwicklern für diesen Sommer angekündigt. Kriminelle Betrüger machen sich die Ungeduld der Fans zunutze und verbreiten gefälschte Apps. Hierzu finden sich auch vermeintliche Anleitung über die Installation für Android auf beliebten Videoportalen wie Youtube. Die Videos haben jüngere Gamer als Zielgruppe, die dadurch am Ende nutzlose Apps auf ihren Geräten installieren, die zum Beispiel in teure Abo-Fallen locken oder Schadprogramme beinhalten. Eine Drittanbietersperre und aufmerksame Eltern können die Gefahr für Jugendliche, den Betrügern in die Falle zu tappen, bereits stark verringern. G DATA klärt über die Maschen der Kriminellen auf und gibt Eltern und Gamern Tipps wie sie sich schützen können.

Videospiel Fortnite:Battle Royale

Fortnite, genauer eigentlich Fortnite:Battle Royale, ist ein Videospiel, welches derzeit für PC, Mac, Konsolen und iOS erhältlich ist. Laut Angaben des Entwicklers verzeichnet das Spiel derzeit 125 Millionen angemeldete Nutzer und adressiert eine relativ junge Zielgruppe, die Retail Version trägt das Siegel “USK ab 12 Jahren”. Wie groß der Erfolg ist, zeigt die Veröffentlichung der iOS-Version. Allein in den ersten drei Wochen hat Fortnite Einnahmen von mehr als 15 Millionen Dollar erzielt. Das sind höhere Erlöse als zum Beispiel bei Pokemon Go einbrachte. Derzeit verdient der Entwickler auf dem iPhone und iPad mit Fortnite täglich rund 1 Millionen US-Dollar.

Der beliebte Modus bei Fortnite ist schnell erklärt: Insgesamt 100 Spieler treten in diesem Third-Person-Shooter auf einer kleinen Karte gegeneinander an. Das Ziel ist simpel: Wer als letztes überlebt, hat gewonnen.

Die Entwickler des Spiels haben eine Android-Version von Fortnite für den Sommer 2018 angekündigt. Da das Spiel für iOS bereits seit längerem erhältlich ist, wächst natürlich auch die Ungeduld bei Android-Nutzern. Das Problem der Entwickler ist jedoch die Diversität von Android. Es gibt viele Geräte, die das Betriebssystem in verschiedenen Versionen nutzen. Eine komplexe App muss daher auf allen Android-Devices gleichermaßen funktionieren, sonst ist der Unmut der Spieler vorprogrammiert. G DATA hat in der Vergangenheit mehrfach auf dieses Dilemma hingewiesen, da es auch für die IT-Sicherheit gefährlich ist. Diese Neugierde und Ungeduld, wann endlich Fortnite für Android erscheint, machen sich Kriminelle zu nutze.

Abo- und Schadcode-Fallen

Dutzende Videos bei Portalen wie Youtube bieten vermeintliche Anleitungen für die Installation von Fortnite auf Android-Geräten. Stündlich kommen immer neue Clips hinzu. Diese Betrugs-Videos richten sich vom Stil auf Aufbau her an Minderjährige. Am Ende installieren diese nicht funktionsfähige Apps auf ihren Geräten, die statt für Spielspaß lediglich für Schaden und Frust sorgen. Wir haben hier vier beliebte Betrugs-Maschen festgestellt:

• Masche 1: Gefälschte Seiten geben sich als die originale des Spieleentwicklers aus und bieten eine angebliche Fortnite-App an. Auf diesen Webseiten sollen Anwender ihre Handynummer angeben. Im Kleingedruckt steht, dass die Spieler gerade ein SMS Abo für drei bis sieben Euro die Woche abschließen. Bei einem Beispiel wurden sogar drei Abos gleichzeitig abgeschlossen.
• Masche 2: Gefährlich ist die Masche bei der ein Schadprogramm über eine manipulierte App in das System gelangt. Dieser „Remote Access Trojaner“ (kurz: RAT) gibt den Cyberkriminellen vollen Zugriff auf das Gerät. So können sensible Daten gestohlen oder weitere Schadprogramme nachinstallierten werden.
• Masche 3: Eine andere Betrugsmasche sind „Fake-Apps“, die es auf die Zugangsdaten der Spieler zu Fortnite abgesehen haben.
• Masche 4: Andere Entwickler versuchen durch eine Alternativ-App mit einem annäherndgleich klingenden Namen von der Begeisterung für Fortnite zu profitieren.

G DATA Sicherheitslösungen schützen nach Angaben des Herstellers Kunden vor dem Schadprogramm und blockieren die Phishing-Seiten.

G DATA Tipps:

1. Apps nur aus offiziellen Quellen herunterladen: Google prüft hochgeladene Anwendungen im eigenen Store auf Schadcode. Verdächtige oder schädliche Anwendungen werden meist sehr schnell aus dem Play Store entfernt. Auf Plattformen allerdings, die nicht unter der Kontrolle von Google oder den Smartphone-Herstellern stehen und bei denen keine Filterung stattfindet, ist das Risiko, an eine bösartige App zu geraten, meist wesentlich höher.
2. Drittanbietersperre einrichten: Eine sogenannte Drittanbietersperre kann beim Mobilfunkanbieter eingerichtet werden. Damit wird es unmöglich, teure Abos abzuschließen. Anbieter haben hierfür unterschiedliche Bezeichnungen, wie etwa „Mehrwertdienste“. Die Provider sind gesetzlich dazu verpflichtet, eine solche Sperre auf Bitten des Mobilfunknutzers einzurichten.
3. Sicherheitslösung installieren: Nutzer sollten auf ihrem Android-Smartphone zusätzlich eine Sicherheitslösung installieren, wie G DATA Mobile Internet Security. Diese ist erst kürzlich wieder zum Sieger bei AV-Test gekürt worden.
4. Eltern sollten ihre Kinder unterstützen: Eltern sollten offen für die Erfahrungen und Interessen ihrer Kinder im Netz sein. So sollten Mütter und Väter sich die Anwendungen zeigen lassen und über die gemachten Erfahrungen der Sprösslinge mit den Onlinemedien sprechen. Eltern sollten die möglichen Gefahren im Internet  kennen, damit sie auch ihre Kinder dafür sensibilisieren können. Weitere Tipps für Eltern zum Thema Kostenfalle bei Spiele-Apps gibt es auch auf der G DATA Webseite.

Weitere Informationen zum Thema:

G DATA Security Blog, 21.06.2018
Gamer aufgepasst: Falsche Fortnite-App für Android im Umlauf

datensicherheit.de, 16.11.2017
Android: Bedrohungslage durch Malware-Attacken verschärft sich

The post Warnung an Gamer vor falscher Fortnite-App für Android appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 21.06.2018] Check Point® Software Technologies Ltd. hat eine Phishing-Kampagne im Rahmen der Fußballweltmeisterschaft in Russland enttarnt. Hier versuchen Cyberkriminelle, ihre potenziellen Opfer dazu zu verleiten, Spiel- und Ergebnispläne herunterzuladen und mit einer Malware zu infizieren.

Öffnen die Opfer den Anhang der E-Mail, wird die Malware DownloaderGuide installiert – ein bekannter Downloader für PUPs (potentially unwanted programs), der sehr häufig als Installationsprogramm für Anwendungen wie Toolbars, Adware oder Systemoptimierer verwendet wird. Check Point-Forscher haben herausgefunden, dass die Malware über neun verschiedene ausführbare Dateien verfügt, die alle per E-Mail mit dem Betreff „World_Cup_2018_Schedule_and_Scoresheet_V1.86_CB-DL-Manager“ versandt wurden. Der Cyberangriff wurde erstmals am 30. Mai 2018 entdeckt und erreichte am 5. Juni den Höhepunkt. Zu Beginn der WM entwickelte die Attacke allerdings eine neue Dynamik.

„Ereignisse, die ein großes öffentliches Interesse erregen, gelten bei Cyberkriminellen als eine einmalige Chance, neue Kampagnen zu starten“, sagte Maya Horowitz, Threat Intelligence Group Manager von Check Point. „Bei so viel Vorfreude und Wirbel um die Weltmeisterschaft setzen Cyberkriminelle darauf, dass Mitarbeiter beim Öffnen unerwünschter E-Mails und Anhänge weniger aufmerksam sind. Es ist daher äußerst wichtig, dass Unternehmen entsprechende Maßnahmen ergreifen und ihre Mitarbeiter an die bewährten Sicherheitsverfahren erinnern. So soll verhindert werden, dass diese Angriffe erfolgreich durchgeführt werden. Darüber hinaus sollten Unternehmen auch Vorkehrungen treffen, damit Phishing-Kampagnen überhaupt nicht in den Posteingang gelangen. Dazu könnte die Einführung einer mehrschichtigen Cybersicherheitsstrategie gehören, die sowohl vor Cyberangriffen etablierter Malware-Familien als auch vor neuen Bedrohungen schützt. Solch eine Strategie verhindert die Verbreitung im Netzwerk, trotz Erfolg des ersten Angriffs.“

Da das Unternehmen während der WM eine Reihe weiterer Online-Betrügereien und Phishing-Angriffe erwartet, wurde folgende Anleitung herausgegeben. Diese soll als Orientierung dienen, wie man sich während der Fußballweltmeisterschaft 2018 vor Cyberbedrohungen schützen kann:

• Halten Sie Ihre Software auf dem neuesten Stand: Sorgen Sie dafür, dass auf Ihrem PC oder mobilen Gerät die aktuellen Versionen des Betriebssystems, der Sicherheitssoftware, der Apps und des Web-Browsers laufen. Dies ist ein wirksamer Schutz vor Malware, Viren und anderen Online-Bedrohungen.
• Vermeiden Sie gefälschte Webseiten: Bei früheren öffentlichen Großereignissen haben Cyberkriminelle gefälschte Webseiten und Domains erstellt – von Merchandising über Nachrichten bis hin zum Live-Streaming. Diese erscheinen im offiziellen Design, werden aber dazu genutzt, beim Besuch Malware zu verbreiten oder sensible Informationen der Opfer zu erlangen.
• Vorsicht vor E-Mails von unbekannten Absendern: Cyberkriminelle werden während des Turniers wahrscheinlich viele Phishing-Emails versenden, in denen sie eine Reihe von kostenlosen Angeboten machen oder die Teilnahme an Verlosungen von Eintrittskarten für Fußballspiele anbieten. Das könnte mithilfe von Hyperlinks oder Anhängen erfolgen, die dann entweder Malware herunterladen oder versuchen, persönlichen Daten zu stehlen. Am besten vermeiden Sie das Öffnen von E-Mails oder Anhängen von unbekannten Absendern.
• Vorsicht vor öffentlichen Wi-Fi-Hotspots: Die WM-Spiele finden über den Tag verteilt statt und nicht jeder hat die Möglichkeit alle live zu verfolgen. Deshalb werden viele Fans in Versuchung kommen, öffentliche Wi-Fi-Hotspots zu nutzen, um die Partien beispielsweise über das Smartphone zu verfolgen. Unsichere Hotspots sind jedoch Ziele, die Hacker leicht kompromittieren und so persönliche Daten wie E-Mails und Passwörter abgreifen oder Malware auf Mobilgeräten einschleusen können.

Weitere Informationen zum Thema;

datensicherheit.de, 12.06.2018
IT-Sicherheitsbranche: Grund für Personalmangel ist häufig die falsche Technologie

datensicherheit.de, 20.04.2018
97 Prozent der Organisationen nicht auf Cyber-Angriffe der Gen V vorbereite

datensicherheit.de, 22.03.2017
Check Point meldet Umbruch bei Malware-Bedrohungen in Deutschland

The post Fußball-WM: Gelegenheit für Phishingattacken appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 20.06.2018] ESET, europäischer IT-Security-Hersteller, warnt vor der mobilen Malware HeroRat. Sie nutzt das Protokoll des beliebten Messengers Telegram, um Kontrolle über Android-Smartphones zu erlangen und sie fernzusteuern. Der gefährliche Schädling ist Teil einer ganzen Familie von Android RATs (Remote Administration Tools), die ESET Sicherheitsforscher bereits im August 2017 entdeckt hatten.

Im März dieses Jahres wurde der Quellcode kostenlos in verschiedenen Telegram-Hacking-Kanälen verfügbar gemacht. Daraus entwickelten sich dann parallel Hunderte Varianten der Malware, die sich nun in freier Wildbahn im Umlauf befinden.
Trotz des frei verfügbaren Quellcodes unterscheidet sich die Variante HeroRat signifikant von den anderen und ist daher besonders bedrohlich. In Hackerkreisen hat die Malware bereits eine zweifelhafte Berühmtheit erlangt und wird in einem eigenen Hacking-Kanal zu Telegram angeboten. HeroRat ist je nach Funktionalität in drei Preismodellen erhältlich und verfügt über einen Video-Support-Kanal. Es ist unklar, ob diese Variante aus dem durchgesickerten Quellcode erstellt wurde, oder ob es sich hierbei sogar um das „Original“ handelt, dessen Quellcode durchgesickert ist.

Funktionsweise des RAT

Angreifer animieren die Opfer das RAT herunterzuladen, indem sie es unter verschiedenen attraktiv klingenden Schein-Apps, über App Stores von Drittanbietern, Social Media und Messaging Apps verbreiten. „Wir haben die Malware als Apps gesehen, die kostenlose Bitcoins, kostenlose Internetverbindungen und zusätzliche Anhänger in sozialen Medien versprechen“, erläutert Lukas Stefanko, Malware Forscher bei ESET. Auf Google Play sei die Malware noch nicht aktiv.

Der Schädling läuft auf allen Android-Versionen. Bevor er aktiv werden kann, müssen Nutzer jedoch von der App benötigten Berechtigungen akzeptieren. Nachdem die Malware auf dem Gerät des Opfers installiert und gestartet wurde, erscheint ein Popup. Es behauptet, dass die Anwendung auf dem Gerät nicht ausgeführt werden kann und daher deinstalliert wird. „In den von uns analysierten Varianten erscheint vermeintliche Deinstallationsmeldung je nach Spracheinstellung des Zielgerätes in Englisch oder Persisch“, so Stefanko. Nachdem die Deinstallation scheinbar abgeschlossen ist, verschwindet das Symbol der Anwendung. Auf der Seite des Angreifers wird jedoch genau zu diesem Zeitpunkt das befallene Smartphone als neues Opfergerät registriert.

Nachdem der Angreifer Zugriff auf das Gerät des Opfers erhalten hat, nutzt er die Bot-Funktionalität von Telegram. So kann er das befallene Gerät selbst steuern und nahezu beliebig manipulieren. Denn die Malware verfügt über eine breite Palette von Spionage- und Datei-Filterfunktionen. Dazu zählen neben dem Abfangen von Textnachrichten und Kontakten das Senden von Textnachrichten und Anrufen, Audio- und Bildschirmaufzeichnungen, das Abrufen der Geräteposition und die Steuerung der Geräteeinstellungen. Das Opfer bemerkt davon nichts. Die Übertragung von Befehlen an die kompromittierten Geräte und die Übermittlung von sensiblen Daten an die Hacker werden vollständig über das Telegrammprotokoll abgedeckt. Diese Tarnung verhindert geschickt, dass die Malware aufgrund des Datenverkehrs zu bekannten Upload-Servern entdeckt wird.

Sicherheit für Android-Nutzer

Mit dem kürzlich kostenlos zur Verfügung gestellten Quellcode der Malware konnten bereits neue Mutationen entwickelt und weltweit eingesetzt werden. Da die Verteilungsmethode und die Form der Tarnung dieser Malware von Fall zu Fall variiert, reicht es nicht aus, wenn mobile Anwender das Gerät auf das Vorhandensein bestimmter Anwendungen überprüfen, um festzustellen, ob Ihr Gerät kompromittiert wurde. Um eine Gefährdung auszuschließen, empfiehlt sich der Scan mit einer zuverlässigen mobilen Sicherheitslösung. ESET-Lösungen erkennen und blockieren nach Angaben des Herstellers diese Bedrohung als Android/Spy.Agent.AMS und Android/Agent.AQO.

Um nicht Opfer von Android-Malware zu werden, sollten Nutzer Apps ausschließlich aus vertrauenswürdigen Quellen wie dem offiziellen Google Play-Store herunterladen. Vor dem Download von Apps empfiehlt sich ein Blick in die Benutzerbewertungen. Nicht zuletzt sollten Anwender darauf achten, welche Berechtigungen sie den Apps vor und nach der Installation gewähren.

Weitere Informationen zum Thema:

Welivesecurity
Ausführlicher Blogbeitrag

The post HeroRat: Android-Smartphones als digitale Wanzen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Der SANS 2018 Endpoint Protection and Response Survey zeigt steigendes Interesse an Automatisierung in der Cybersicherheit, aber dennoch werden Sicherheitsfunktionen der nächsten Generation zu selten implementiert

[datensicherheit.de, 20.06.2018] Das SANS Institute, ein weltweit agierender Anbieter für Cybersicherheitstrainings, hat die Ergebnisse seines SANS Endpoint Security Survey 2018 bekanntgegeben. Ein Ergebnis ist, dass die Automatisierung der Endpoint Detection- und Response Prozesse die höchste Priorität für IT-Experten hat, die versuchen, umsetzbare Kontrollen um ihre Endpunkte herum einzuführen.

Für die Studie wurden weltweit IT-Experten befragt, wie sie die Endgerätesicherheit in ihren Unternehmen organisieren. Dabei bezieht sich der Terminus Endgeräte auf alle Geräte, die mit Netzwerken wie Desktop-Computern, Firmen- Laptops, Netzwerkgeräten, Cloud-basierten Systemen und IoT-Geräten verbunden sind.

Bild: SANS Institute

Lee Neely, SANS Analyst

„Die Vielfalt und Menge der Endpunkte in modernen Unternehmen erfordert steigende Automatisierungs- und Prognosefähigkeiten“, sagt Studienautor und SANS-Analyst Lee Neely. „Unternehmen kaufen zwar Lösungen, um den aufkommenden Cyberbedrohungen immer einen Schritt voraus zu sein, aber sie scheinen bei der Implementierung der wichtigsten neu erworbenen Funktionen zum Schutz und zur Überwachung des Endpunkts hinterherzuhinken.“

Erhebnisse der Befragung

42 Prozent der befragten IT-Experten gaben an, dass ihre Endpunkte bereits von Sicherheitsvorfällen betroffen waren. 82 Prozent dieser Teilnehmergruppe gaben an, dass die Sicherheitsvorfälle ihre Desktop-PCs betrafen, während 69 Prozent Unternehmenslaptops und 42 Prozent die Beteiligung von Laptops im Besitz von Mitarbeitern (42 Prozent) angaben, die im Allgemeinen nicht gut mit Sicherheitsprogrammen geschützt werden. Die wichtigsten Angriffsvektoren für diese Endpunkte waren Web Drive-by (63 Prozent), Social Engineering/Phishing (53 Prozent) und Ransomware (50 Prozent).

Während sich die Befragten jedoch auf die Sicherheitsfunktionen verlassen, die bereits im Einsatz sind, sind diese Technologien oft nicht vollständig implementiert. Beispielsweise haben 50 Prozent der Befragten einen Virenschutz der nächsten Generation erworben, aber 37 Prozent haben die Funktionen der Lösung nicht implementiert. Darüber hinaus verfügen 49 Prozent über Funktionen zur Erkennung von Malware-freien Angriffen, die bei 38 Prozent der Befragten nicht aktiv im Einsatz sind. In einigen Fällen scheint es, dass die befragten Unternehmen zwar in der Lage sind, die neuen Technologien zu beschaffen, ihnen aber die Ressourcen fehlten, um sie dann gezielt einzusetzen.

Lücken bei der Umsetzung von Sicherheitsmaßnahmen

Diese Lücke in der Umsetzung weist auf unvollständige IT-Strategien, ein Defizit in der Unternehmensführung oder ein Versagen der Tools und Prozesse im Projektmanagement hin. Mit 84 Prozent der Vorfälle, die mehr als einen Endpunkt betrafen, haben die Befragten ein starkes Interesse daran, die Sichtbarkeit, Erkennung und Reaktion durch automatisierte, integrierte Technologien zum Schutz, zur Erkennung und Reaktion auf Endpunkte zu verbessern.

Die Automatisierung und Integration von Workloads über den gesamten Erkennungs- und Reaktionszyklus hinweg ist entscheidend, weil ständig Endpunkte jeder Art angegriffen werden. Neely kommt zu dem Schluss, dass eine steigende Automatisierung im Security Operations Center (SOC) es ermöglichen würde, mit endpunktbezogenen Bedrohungen Schritt zu halten und gleichzeitig ein von den Befragten genanntes Hauptproblem anzugehen, nämlich den Mangel an Personal und Ressourcen für die Verwaltung und Überwachung ihrer zahlreichen endpunktbezogenen Toolsets.

Weitere Informationen:

SANS Institut
SANS Endpoint Security Survey 2018

The post SANS-Studie: Automatisierte Endpoint Protection hat höchste Priorität für IT-Experten appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 19.06.2018] Die FASAG (Federal Aviation Security Association of Germany – Bundesverband für Luftsicherheit e.V.) fordert in einer aktuellen Stellungnahme, „Luftsicherheit aus einer Hand“ zu anzubieten und hierzu einen ständigen Bund-Länder-Ausschuss zu etablieren. Diese Einrichtung soll demnach zur verbindlichen Klärung aller grundsätzlichen Fragen für alle Beteiligten sorgen. Dieser Ausschuss solle darüber hinaus in der Lage sein, die NQS (Nationale Qualitätskontrolle für Luftsicherheit) für die Aufsicht der dann verbindlich festgelegten Rahmenbedingungen zu beauftragen.

Einheitliche Standards und Vorgaben!

„Mit dem Flickenteppich von unterschiedlichen Vorschriften, Zuständigkeiten und Entscheidungen muss endlich Schluss sein“, fordert der FASAG-Vorstandsvorsitzende, Prof. Elmar Giemulla.
Es müsse jetzt dafür gesorgt werden, dass in allen Bereichen der Luftsicherheit in Deutschland einheitliche Standards und Vorgaben gelten und umgesetzt werden, betont Giemulla.

Über 30 Luftsicherheitsbehörden…

Die in der letzten Legislaturperiode erfolgte Revision des Luftsicherheitsgesetzes hat nach Auffassung von FASAG „nicht zu einer ernsthaften Verbesserung der gesetzlichen Grundlagen in Hinsicht auf eine Vereinheitlichung geführt“.
Nach wie vor seien über 30 Luftsicherheitsbehörden damit beschäftigt, die Standards zu kontrollieren, was einen negativen, potenziell sogar gefährlichen Einfluss auf die Luftsicherheit habe.

Unterschiedliche Schulungs- und Prüfungsansätze bei der Ausbildung

Aus vielen, der FASAG vorliegenden Fällen werde ersichtlich, dass die verschiedenen Luftsicherheitsbehörden, Landesluftsicherheitsbehörden und Bundesbehörden wie das Luftfahrt-Bundesamt und die Bundespolizei in wichtigen Detailfragen zu unterschiedlichen Bewertungen kämen.
Als Beispiel wurde demnach genannt, dass nicht einmal der Begriff der „Sicherheitskontrolle“ zehn Jahre nach der Veröffentlichung der EG-Grundverordnung national einheitlich definiert sei.
Darüber hinaus könne man täglich unterschiedliche Schulungs- und Prüfungsansätze bei der Ausbildung von Kontrollpersonal erleben, wobei die Passagiere im Süden Deutschlands anders als im Norden kontrolliert würden.

Überfällige Vereinheitlichung aller Maßnahmen im Bereich der Luftsicherheit

Laut Giemulla appelliert die FASAG in diesem Zusammenhang eindringlich an den Bundesinnenminister, sich seiner Verantwortung für die Luftsicherheit bewusst zu werden. Denn die Aufgabe Luftsicherheit werde, soweit sie nicht vom Bund selbst ausgeübt werde, von den Ländern im Auftrag des Bundes wahrgenommen.
Der Bundesinnenminister sollte deshalb nicht nur seine Weisungs- und Koordinierungsbefugnisse aktiv wahrnehmen, sondern er müsse auch die dringend anzupassenden, bzw. neu zu erstellenden Rechtsvorschriften wie die Luftsicherheitsschulungsverordnung, das Fortbildungs- und Ausbilderkonzept und die einheitliche Prüfungsordnung für Luftsicherheitskräfte aktiv vorantreiben. Die Voraussetzungen dafür lägen seit dem Änderungsgesetz des Luftsicherheitsgesetzes (LuftSiG) vor.
Das von FASAG angestrebte Bund-Länder-Gremium würde – ohne die Notwendigkeit einer Rechtsänderung – eine Plattform schaffen, „um endlich die lange überfällige Vereinheitlichung aller Maßnahmen im Bereich der Luftsicherheit zu gewährleisten“.

Weitere Informationen zum Thema:

FEDERAL AVIATION SECURITY ASSOCIATION OF GERMANY –
BUNDESVERAND FÜR LUFTSICHERHEIT E.V.

LBA, 23.04.2008
Verordnung (EG) Nr. 300/2008

Bundesministerium der Justiz und für Verbraucherschutz
Luftsicherheitsgesetz (LuftSiG)

The post Luftsicherheit in Deutschland: Einheitliche Standards und Vorgaben gefordert appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 29.06.2018] Laut einer Studie von Tenable™ haben Cyber-Kriminelle durchschnittlich sieben Tage Zeit, um eine Schwachstelle auszunutzen. In dieser Zeit könnten sie ihre Opfer angreifen, potenziell sensible Daten abschöpfen, Lösegeldangriffe starten und erheblichen finanziellen Schaden anrichten. Erst danach untersuchten Unternehmen dann ihre Netzwerke auf Schwachstellen und beurteilten die Gefährdung.

Sicherheitsteams hinken Cyber-Kriminellen hinterher

Das Tenable-Research-Team hat demnach herausgefunden, dass Cyber-Kriminelle durchschnittlich sechs Tage benötigen, um eine Schwachstelle auszunutzen, sobald ein entsprechender Exploit verfügbar ist. Sicherheitsteams bewerteten jedoch im Schnitt nur alle 13 Tage neue Schwachstellen im IT-Unternehmensnetzwerk. Diese Bewertung sei der erste, entscheidende Schritt, um die gesamte „Cyber Exposure“ in modernen Computing-Umgebungen zu bestimmen – dieser Begriff beschreibt laut Tenable™ dabei die gesamte IT-Angriffsfläche eines Unternehmens und konzentriert sich darauf, wie Verantwortliche Schwachstellen identifizieren und reduzieren können.
Die zeitliche Diskrepanz bedeute, dass Cyber-Kriminelle ihre Opfer nach Belieben angreifen könnten, während Sicherheitsteams mit Blick auf die echte Bedrohungslage im Dunkeln tappten.

Hochdynamische Risiken – ständig sich ändernde Bedrohung

Die Digitale Transformation habe die Anzahl und Art neuer Technologien und Computing-Plattformen – von Cloud über IoT bis hin zu Operational Technology (OT) – stark erhöht und die IT-Angriffsfläche vergrößert. Diese veränderte IT-Angriffsfläche führe fast unweigerlich zu einer regelrechten Schwachstellen-Flut.
Dennoch passten viele Unternehmen den Umgang mit ihrer „Cyber Exposure“ nicht an die neuen Gegebenheiten an und führten ihre Programme nach wie vor in festen Zyklen durch, zum Beispiel alle sechs Wochen. Die heutigen dynamischen Computing-Plattformen erforderten allerdings einen neuen Ansatz für Cyber-Security:
Verzögerungen seien so von Anfang ein Problem für die Cyber-Sicherheit, auch weil Sicherheits- und IT-Teams in „organisatorischen Silos“ arbeiteten. Davon profitierten die Angreifer, denn viele „Chief Information Security Officers“ (CISOs) hätten Mühe, sich einen Überblick über die sich ständig ändernde Bedrohungslandschaft zu verschaffen. Zusätzlich hätten sie Probleme, Cyber-Risiken aktiv und auf Grundlage priorisierter Geschäftsrisiken zu verwalten.

Unternehmen benötigen hohes Maß an „Cyber-Hygiene“

„Unsere Ergebnisse zeigen die Herausforderungen, mit denen Unternehmen von heute konfrontiert sind. Cyber-Kriminelle und Sicherheitsteams liefern sich ein Wettrennen, wer schneller ist, wenn eine neue Sicherheitslücke entdeckt wird. Doch CISOs sind häufig durch veraltete Prozesse und Tools im Nachteil. Sie müssen aber führen, damit Organisationen Cyber-Risiken genau wie andere Geschäftsrisiken aktiv messen und verwalten können“, erläutert Tom Parsons, „Senior Director of Product Management“ bei Tenable.
In einer digitalen, von der Cloud, Geschäftsanwendungen und DevOps-Zyklen (Prozessverbesserung) angetriebenen Wirtschaft sei es unerlässlich, dass Unternehmen eine gute „Cyber-Hygiene“ erzielten. Dies beginne damit, dass die Verantwortlichen jederzeit ganzheitliche und aktuelle Einblicke in ihre Systeme haben. Parsons: „Das ist ein entscheidender Schritt, um die ,Cyber Exposure‘ zu reduzieren und den Angreifern ihre Vorteile zu nehmen.“

Realzeit-Einblicke erforderlich, um Cyber-Kriminelle zu überholen

Die aktuellen Studienergebnisse zeigen laut Tenable™:

• Dass bei 76 Prozent der analysierten Schwachstellen der Angreifer im Vorteil war. Wenn der Verteidiger im Vorteil war, dann nicht wegen eigener Aktivitäten, sondern weil die Angreifer nicht direkt auf den Exploit zugreifen konnten.
• Angreifer hatten sieben Tage Zeit, eine Schwachstelle auszunutzen, bevor das Unternehmen sie überhaupt identifizierte.
• Für 34 Prozent der analysierten Schwachstellen war ein Exploit am selben Tag verfügbar, an dem die Schwachstelle aufgedeckt wurde. Das bedeutet, dass Angreifer von Anfang an das Tempo vorgeben.
• 24 Prozent der analysierten Schwachstellen werden zielgerichtet von Malware, Ransomware oder verfügbaren Exploit-Kits ausgenutzt.
• Start-Stop- und zyklische Sicherheitsmodelle sind in Zeiten kontinuierlicher Schwachstellen und Exploits nicht länger ausreichend. Angriffe und Bedrohungen entwickeln sich in rasantem Tempo und können jedes Unternehmen treffen. Ein effektives „Cyber Exposure Management“ hilft mit einem neuen Ansatz für Schwachstellen-Management die Security an die neuen IT-Umgebungen anzupassen: Er beruht auf kontinuierlicher Integration und Bereitstellung („Continuous Integration“ und „Continuous Delivery“, CI/CD) und ist mit modernem Computing konsistent.
• Die Cyber-Exposure-Lücke kann nicht allein durch Sicherheitsteams verringert werden, sondern erfordert eine bessere Abstimmung mit den operativen Geschäftseinheiten. Dies bedeutet, dass Sicherheits- und IT-Teams einen gemeinsamen Einblick in die Systeme und Ressourcen des Unternehmens erhalten und kontinuierlich nach Schwachstellen suchen, diese auf Basis der Geschäftsrisiken priorisieren und beheben.

Die Studie zeige, wie wichtig es ist, die „Cyber Exposure“ über die gesamte moderne Angriffsfläche hinweg aktiv und ganzheitlich zu analysieren und zu messen. Realzeit-Einblicke seien nicht nur ein grundlegendes Element der „Cyber-Hygiene“, sondern auch die einzige Möglichkeit für Unternehmen, bei den meisten Schwachstellen einen Vorsprung zu erarbeiten.

Weitere Informationen zum Thema:

tenable
DIE CYBERANGREIFER LIEGEN IN FÜHRUNG? SO GEWINNEN SIE DEN WETTLAUF.

tenable, 24.05.2018
Quantifying the Attacker’s First-Mover Advantage

The post Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Ein Experten-Gespräch über die richtige Beleuchtung von Arbeitsstätten und Implikationen für die betriebliche Sicherheit und Produktivität

[datensicherheit.de, 17.06.2018] Über die Wechselwirkung von künstlicher Beleuchtung mit Gesundheit und Sicherheit in Betrieben sprach Dirk Pinnow, u.a. Herausgeber datensicherheit.de (ds) und Leiter des VDI/VDE-Arbeitskreises Sicherheit, am 14. Juni 2018 mit Günther Gdanietz, Geschäftsführer der BERLINER LICHTWERKSTATT. Gdanietz ist TÜV-zertifizierter Sachkundiger für die Bewertung von bestehenden Beleuchtungsanlagen und Lichtplaner. Sein Motto: „Licht ist unsere Leidenschaft – Licht ist Leben!“

Die Diskrepanz zwischen Anspruch und Wirklichkeit auch bei der Beleuchtung

Arbeitgeber sowie Betreiber von Gebäuden und Produktionsstätten sind verpflichtet, Unfall- und Gesundheitsgefahren in Folge mangelnder oder unzureichender Beleuchtung zu begegnen. Eigentlich müsste jedes derartige Unternehmen eine aktuelle Dokumentation der Beleuchtungsanlagen vorhalten und für die regelmäßige Wartung und Überprüfung durch sachkundige Fachkräfte sorgen.
Wen wundert es da aber angesichts der Erfahrungen aus der Alltagspraxis beim vermeintlich trivialen Beispiel Beleuchtung, wenn Betriebe sich auch mit Notfall- und Wiederanlaufplänen für ihre Rechentechnik schwer tun? Wie soll es erst einmal werden, wenn im Kontext der Industrie 4.0 und des „Internets der Dinge und Dienste“ alles mit allem verknüpft werden soll?
Über Analogien und Lehren aus dem Umgang mit Sicherheitsrisiken in Betrieben handelt folgendes Gespräch (Auszug).

Unbehagen am Arbeitsplatz als Sicherheitsrisiko

ds: Herr Gdanietz, in der Vorbereitung auf unser heutiges Gespräch fühlte ich mich hier in unserem Redaktionsbüro – in relativer Nähe zur TU Berlin – an mein damaliges nicht-technisches Prüfungsfach ‚Arbeitsmedizin und Arbeitssicherheit‘ erinnert: Damals wurde mir anhand von Videos aus Beständen der Berufsgenossenschaften sehr drastisch vor Augen geführt, welche Komplexität das Zusammenspiel der Arbeitsplatzbedingungen im Kontext der betrieblichen Sicherheit hat.
Seitdem sind ja nun einige Jahre ins Land gegangen und ich würde gerne von Ihnen heute erfahren, warum Sie mit einem geradezu ,missionarischen Eifer“ unterwegs sind, um Überzeugungsarbeit vor allem für eine bessere Beleuchtung an Arbeitsplätzen in Betrieben, Behörden und Bildungseinrichtungen zu verrichten!

Foto: Dirk Pinnow

„Beleuchtungs-Missionar“ Gdanietz demonstriert mit seinem Leuchtenkoffer die unterschiedliche Qualität von LED-Leuchtröhren: von der extrem flimmernden Billigvariante mit ungleicher Ausleuchtung und noch relativ hoher Leistungsaufnahme über eine Mittelklasse-Variante bis zur Hightech-Lösung aus dem Fachhandel mit höherem Anschaffungspraxis, aber höherer Lichtqualität und Lebensdauer sowie absehbarer Amortisation

Gdanietz: Während heute immer mehr Gelder in die Digitalisierung fließen, wird die traditionelle Betriebsausstattung leider oft ,auf Verschleiß‘ gefahren: Laut ZVEI [1] gelten über 75 Prozent der Beleuchtungsanlagen als stark veraltet und sanierungsbedürftig. Die Folgen: Menschen sind tagtäglich falschen Lichtfarben, Lichtflimmern und der Abnahme der Beleuchtungsintensität sowie -gleichmäßigkeit ausgesetzt…

ds: Da kommt mir gleich ein Großraumbüro vergangener Dekaden in den Sinn – mit summenden, flackernden und defekten Leuchtstoffröhren – und es stellt sich bei mir sofort ein gewissen Unbehagen ein. Motiviert arbeiten geht wohl anders?

Gdanietz: Die Beschäftigten ermüden unter solchen Umständen zwangsläufig sehr schnell – aber es droht nicht allein eine Konzentrationsschwäche, die mit reichlich Kaffee bekämpft werden könnte, es kann im Extremfall zu Krankheiten und Unfällen kommen. Fragen Sie Arbeitsmediziner: Zwischen schlechter Beleuchtung und Fehlzeiten besteht ein Zusammenhang!

ds: Mangelnde Motivation, Ermüdung und Fehlzeiten sind jetzt nicht gerade das, was im Zuge der Digitalen Transformation mit ihrer durchgehenden Digitalisierung und Vernetzung gebraucht wird.
Erforderlich sind doch wohl gesunde, hochmotivierte und -konzentrierte Mitarbeiter, die von sich aus ein hohes Maß an Sicherheit bei der Bedienung von Produktionseinrichtungen, aber auch IuK-Systemen [2] erzielen können!

Gdanietz: Menschen sind von der Evolution her nicht für Kunstlicht geschaffen: Wir sind das natürliche Sonnenlicht gewöhnt, haben also bisher keine Kompensationsmöglichkeit für Flimmerlicht entwickelt. Wenn ein Mensch flimmerndem Licht ausgesetzt wird, egal ob er es bewusst oder nur unbewusst wahrnehmen kann, wird sein Körper unter Stress gesetzt. Es werden körpereigene Ressourcen für eine versuchte Anpassung aufgewendet, die im Grunde nie gelingen kann!

ds: Das erinnert mich an eine fatale Wiederholungsschleife in einem Strukturdiagramm, aus der es fast keinen Ausstieg gibt, weil das Abbruchkriterium nie oder in der Realität selten erreicht wird: Während der Arbeitszeit gibt es dann also gar kein Entkommen… Kein Wunder, wenn die Belegschaft unter solchen Bedingungen die Pausen, den Feierabend und das Wochenende herbeisehnen und vielleicht sogar in eine Krankheit ,flüchten‘ müssen, um einer solchen Tortur zu entkommen.

Fahren auf Verschleiß: Das Spiel mit dem Feuer

Gdanietz: Ich setze mal noch was drauf, weil Sie ja so gerne nach Auswirkungen auf die betriebliche Sicherheit fragen: Betriebliche Beleuchtungsanlagen sind eben oft technisch stark veraltet, was nicht nur zu den eben diskutierten Folgen für die Gesundheit und Motivation führt. Es gibt leider bisher kaum eine regelmäßige Überprüfung durch Sachverständige – also selten bis nie…
Alte Leuchtmittel aber setzen einen hohen Anteil der aufgenommenen Energie in Wärme um – stellen Sie sich mal vor, was das mit den Bauteilen macht, die oft aus Kunststoff hergestellt sind: Die Vorschaltgeräte leiden, die Kabel und Kondensatoren! Oft lassen sich dann auch noch abisolierte, brüchige, verschmorte oder sogar durchgeschmorte Kabel entdecken – da droht nicht nur der Ausfall der Beleuchtung, sondern es sind Kurzschlüsse zu befürchten und eine erhöhte Brandgefahr.

ds: Wenn in einem so ausgestatteten Büro auch die regelmäßige Backup-Erstellung auf die leichte Schulter genommen wird, vielleicht gar nicht stattfindet bzw. die Datenträger auch direkt am Ort aufbewahrt werden…
Also, Herr Gdanietz, wir brauchen das jetzt wohl nicht weiter zu vertiefen – unser Web-Magazin ist ja voll von Darstellungen der Gefahren für die betriebliche Kontinuität im IT-Kontext. Wir möchten unsere Leser ja nicht nur mit den Gefahren der betrieblichen Existenz konfrontieren, sondern auch Anregungen geben, was sich konkret verbessern lässt – haben Sie auch eine gute Nachricht abseits eines puren Werbe-Slogans?

Planbare Amortisation moderner Beleuchtung

Gdanietz: Eigentlich hätte ich jetzt gerne gesagt: ,Das Geld hängt an der Decke!‘ Nun: Ich bin überzeugt, dass die Auswahl geeigneter Lichtquellen maßgeblich die Sicherheit, Behaglichkeit und Produktivität am Arbeitsplatz beeinflusst und auch dem Grundsatz des nachhaltigen Wirtschaftens folgt. Wissenschaftliche Studien haben gezeigt, dass zum Beispiel die Auswahl der richtigen Lichtfarben die Leistungsfähigkeit bis zu 20 Prozent steigern kann – und die Fehlerquoten auf die Hälfte gesenkt werden kann.
Wie vorhin schon gesagt: Dabei sollten aus den genannten Gründen tageslichtähnliche Lichtfarben bevorzugt werden – Experten sprechen von Licht mit einer Farbtemperatur von 5.500 bis 6.500 Kelvin [3]. Und es ist heute durchaus möglich, möglichst flimmerfreie Lichtquellen zu verwenden.
Um es auf den Punkt zu bringen: Eine biologisch wirksame Beleuchtung kann Lebensqualität und Leistungsfähigkeit deutlich steigern – und sie zahlt sich innerhalb überschaubarer Zeiträume aus! Energieeffiziente Beleuchtungsanlagen können nach Untersuchungen der Beuth Hochschule für Technik Berlin Betriebskosten um bis zu 70 Prozent reduzieren…

ds: Da kommt mit gleich das Pareto-Prinzip, die 80-20-Regel, in den Sinn…

Foto: Dirk Pinnow

Empfehlung: Preis und Leistung vergleichen! Rechts eine handelsübliche relativ günstige, für den betrieblichen Dauerbetrieb eher ungeeignete LED-Glühlampe, links ein nur im Fachhandel erhältliches Highttech-LED-Leuchtmittel, das auch als Notbeleuchtung einsetzbar ist (dann mit Gleichspannung betrieben, daher mit „DC“-Symbol gekennzeichnet)

Gdanietz: Tatsächlich konnte unter Praxisbedingungen sogar vereinzelt eine 80-prozentige Kostenreduzierung nachgewiesen werden! Aber ganz realistisch: Ich rechne bei meinen Angeboten mit Amortisationszeiten von oft weniger als zwei Jahren. Und wer gerade nicht das nötige Eigenkapital hat, kann auf verschiedene Finanzierungsinstrumente wie Leasing, Miete oder Lichtcontracting zurückgreifen, um eine schnelle Umsetzung zu ermöglichen.

Foto: Dirk Pinnow

Empfehlung: Auf professionelles Wärmemanagement achten! Rechts eine handelsübliche, relativ günstige LED-Leuchtröhre (überwiegend aus Kunststoff mit schlechter Wärmeabführung), links eine nur im Fachhandel erhältliche Highttech-LED-Leuchtröhre mit optimierter Wärmeabfuhr (die LEDs sind auf Aluminiumschiene gesteckt, auf Klebstoff wird verzichtet)

Mehr Sicherheit und Wirtschaftlichkeit: Biologisch wirksame Beleuchtung am Arbeitsplatz
ds: Unsere Plauderei nähert sich wohl doch noch einem versöhnlichen Ende… Möchten Sie Ihre Botschaft vielleicht – möglich kurz – zusammenfassen?

Gdanietz: Sie können dann ja gerne kürzen… Also: Wir halten uns überwiegend in Innenräumen mit Kunstlicht auf – uns geht der Bezug zum natürlichen Tag-Nacht-Rhythmus verloren. Stichwörter: Schichtbetrieb und Innenräume.
Und nun der Knackpunkt: Im Freien können wir selbst an bewölkten Tagen noch mehrere Tausend Lux [4] Beleuchtungsstärke messen. Und am Arbeitsplatz? Dort sind es oft nur 500 bis 700 Lux! Das ist dann durchaus normgerechte künstliche Beleuchtung, doch es fehlt die biologische Lichtwirkung.
An einem solchen Funzel-Arbeitsplatz würden Wissenschaftler noch von ,biologischer Dunkelheit‘ sprechen, denn die Weiterleitung von Lichtreizen auf dem sogenannten biologischen Pfad geschieht im Mittel erst so ab etwa 800 bis 1.000 Lux.
Wenn wir uns nun klarmachen, dass Licht wie kaum ein anderes Medium auf Geist und Psyche des Menschen einwirkt, ihm eine Schlüsselrolle in Bezug auf Wohlbefinden und Gesundheit der Mitarbeiter zukommt, kann doch jeder ordentliche Kaufmann die Folgen für die Produktivität und auch Sicherheit des eigenen Unternehmens erkennen.
Um nun noch die Kurve zu Ihrem Schwerpunkt zu schlagen: Die Beleuchtungsstärke am Arbeitsplatz beeinflusst die Geschwindigkeit und Genauigkeit der Erledigung einer ,Sehaufgabe‘ – also vor allem auch die heutige Computerarbeit. Zusammen mit der Helligkeitsverteilung bestimmt sie unsere Sehleistung.
Daher meine Empfehlung: Biologisch wirksame Beleuchtung am Arbeitsplatz macht sich bezahlt!

ds: Gibt es leicht zu merkende Kriterien für eine gute Beleuchtung?

Gdanietz: An einer Hand sogar – meine Checkliste zur Beleuchtungsqualität am Arbeitsplatz:

• angenehme Lichtfarben
• ausreichende Helligkeit
• gleichmäßige Ausleuchtung
• Flimmerfreiheit
• Farbwiedergabe

Wer es gerne länger mag: DIN EN 12464 ,Licht und Beleuchtung, Teil 1: Beleuchtung von Arbeitsstätten in Innenräumen‘ oder Arbeitsstättenrichtlinie ,ASR A3.4 Beleuchtung‘. Und dann gibt es noch die IEEE 1789 als neuen Standard zur Bewertung von flimmernden LEDs – nochmals: Auch Flimmern mit hoher Frequenz außerhalb der bewussten Wahrnehmung sollte nicht vernachlässigen werden, da nachteilige Auswirkungen auf den menschlichen Organismus nicht ausgeschlossen werden können!
Mein letzter offizieller Satz für heute: Bessere Beleuchtung schont die Gesundheit, steigert Produktivität, Qualität und Sicherheit – und reduziert direkte und indirekte Kosten…

Foto: Dirk Pinnow

Günther Gdanietz: Biologisch wirksame Beleuchtung am Arbeitsplatz macht sich bezahlt – Teststellungen sind möglich!

ds: Herr Gdanietz, ich danke Ihnen für das erhellende Gespräch!

Glossar:

[1] ZVEI: Zentralverband Elektrotechnik- und Elektronikindustrie
[2] IuK-Systeme: Informations- und Kommunikationssysteme (IT und Telefonie)
[3] Kelvin: Einheit (Abk. K) der thermodynamischen Temperatur und der Farbtemperatur
[4] Lux: Einheit der Beleuchtungsstärke (Lichtstrom, gemessen in Lumen, bezogen auf die beleuchtete Fläche in Quadratmetern)

Weitere Informationen zum Thema:

Günther Gdanietz auf YouTube, 05.08.2016
Flimmern T8 Röhre

Günther Gdanietz auf YouTube, 29.09.2016
Flimmerfreie LED Röhre Premium Qualität

The post Die im Dunklen sind nicht sicher: Ein Impuls für mehr Sicherheit und Nachhaltigkeit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 16.06.2018] Auch wenn offizielle Statistiken in Deutschland akut keinen flächendeckenden Fachkräftemangel bestätigen könnten, so offenbarten doch diverses Branchen nachweislich ein großes Defizit an Experten: Nach Erkenntnissen des Instituts der deutschen Wirtschaft (IW) fehlen aktuell fast 315.000 Arbeitskräfte in den sogenannten MINT-Berufen (Mathematik, Informatik, Naturwissenschaften und Technik): Im aktuellen „MINT-Frühjahrsreport“ berichten BDA, BDI und Gesamtmetall demnach, dass der Mangel 2017 um 13 Prozent zugenommen hat. Gesucht würden demnach vor allem IT-Kräfte. Da diese Lücke in absehbarer Zeit durch Hoch- und Berufsschulen nicht geschlossen werden könne, empfiehlt Vectra nach eigener Aussage „die verstärkte Nutzung von Systemen künstlicher Intelligenz, welche die vorhandenen Fachkräfte bei ihrer Arbeit unterstützen und entlasten“.

KI als Lösungsansatz für zentrale Probleme der digitalisierten Wirtschaft

„Der Mangel an IT-Experten ist heute schon offenkundig und wird mittelfristig noch dramatischer. Die in fünf Jahren erwartete Lücke von 350.000 Fachleuten für IT-Sicherheit in Europa ist ein weiterer Beleg“, betont Gérard Bauer, „Vice President EMEA“ bei Vectra. „Neue Wege und ein Umdenken“ seien deshalb das Gebot der Stunde.
Mit wachsenden Datenströmen wachse ebenso die Zahl der verdächtigen Vorgänge in den Netzwerken der Unternehmen, die kontrolliert werden müssten. Auch wenn in Öffentlichkeit die Skepsis gegenüber Künstlicher Intelligenz (KI) noch groß sei, so liege darin der Schlüssel für die „Lösung eines der zentralen Probleme unserer zunehmend digitalisierten Wirtschaft“.

Automatisiertes Bedrohungsmanagement erforderlich!

Automatisiertes Bedrohungsmanagement, das auf maschinellem Lernen, KI und „Data Science“ basiere, sei in der Lage, permanent die Vorgänge im Netzwerk zu überwachen. Es könne zudem Realzeitanalysen durchführen und darauf aufbauend die etwaigen Risiken laufender Cyber-Attacken bewerten sowie diese nach ihrer Gefährlichkeit priorisieren.
Bauer: „Da dieser automatisierte Prozess pausenlos läuft, erhalten die IT-Sicherheitsexperten im Ernstfall unverzüglich Meldung über eine Bedrohung, können ihre Kapazitäten bündeln und sich auf die konkrete Bekämpfung der entdeckten Gefahren konzentrieren anstatt ihre Zeit mit dem Monitoren des Netzwerkes zu verschwenden.“

IT-Sicherheit eng mit Personalfragen verknüpft

Auch die Datenschutz-Grundverordnung (EU-DSGVO) und die EU-weite NIS-Direktive (Directive on Security of Network and Information Systems) erhöhten den Druck auf die Unternehmen. Beide Regelungen verlangten eine massive Verbesserung der Qualität der IT-Sicherheit. Vielerorts sei diese noch sehr eng mit Personalfragen verbunden.
„Wir sind weit davon entfernt IT-Sicherheitsfachleute durch Künstliche Intelligenz zu ersetzen. Die finale Entscheidung, wie gegen einen Angriff vorgegangen wird, wird auch zukünftig beim Menschen liegen. Ohne Unterstützung durch Künstliche Intelligenz aber werden die Experten, von denen es schon heute zu wenige gibt, zunehmend überfordert sein“, erläutert Bauer. Man müsse deshalb Antworten auf die Fragen liefern, wie der Mensch durch die Maschine am besten entlastet wird und wie man den Fachkräftemangel im IT-Bereich reduzieren kann.

Weitere Informationen zum Thema:

iwd, 14.05.2018
MINT-Frühjahrsreport 2018: MINT-Lücke auf Rekordhoch

The post MINT: 300.000 fehlende Arbeitskräfte gefährden Datensicherheit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 16.06.2018] „Die Todesursache Nummer 1 in Deutschland ist der Datenschutz“, sagt Arkadiuzs Miernik, laut Michael Carl, „Managing Director Research & Consulting“ beim 2b AHEAD ThinkTank, einer der „profiliertesten Medizinexperten“ der aktuellen Studie zur Zukunft der Krankenversicherung. Carl: „Eine Aussage, die in Zeiten der DSGVO eine ganz neue Aktualität gewonnen hat.“ Die Studie steht zum kostenlosen Download bereit.

Datenschutz kann Denkblockade in einer ganzen Branche verursachen

„Ganz praktisch gesehen, sprechen wir hier über den kleinen, aber feinen Unterschied zwischen der elektronischen Gesundheitskarte und der Idee einer digitalen Patientenakte“, erläutert Carl.
Die eine strebe danach, das Gedankengut der DSGVO auch im Gesundheitssektor vollumfänglich umzusetzen; leitend sei dabei die Kontrolle der Daten, nicht deren Potenzial. Die andere versetze die Daten in die Lage, selbst die eigene Gesundheit zu schützen.
„In den vergangenen Wochen habe ich mit den Chefärzten und Aufsichtsgremien mehrerer Klinikgruppen gearbeitet, mit medizinischen Fachhändlern diskutiert; in dieser Woche kamen noch gut hundert Labormanager und Laborärzte sowie die politischen Vertretungen von Krankenkassen hinzu“, berichtet Carl. Auch in diesen Diskussionen habe das zentrale Begriffspaar der Gesundheitsentwicklung immer wieder im Vordergrund gestanden: Das Potenzial der Daten und unser Streben nach Kontrolle.

Der Patient? Guckt noch nicht mal in die Röhre!

Wir hätten mit dem neuen Datenschutzgesetz einen gesellschaftlichen Konsens festgeschrieben, der es „Heerscharen von Abmahnanwälten ermöglicht, kleine Unternehmen und Initiativen aufgrund von Formfehlern auf deren Webseiten mit seitenlangen Klageschriften zu überziehen“.
Auf der anderen Seite versagten wir es uns als Gesellschaft, aus Daten zu lernen, gerade dort, „wo es um Leben und Tod geht“ oder, um es etwas weniger martialisch zu sagen: „Wo wir danach streben, dass es uns morgen immer etwas bessergeht als heute.“
Carl kündigt an, sich auf dem „17. Wolfsburger Zukunftskongress“ des 2b AHEAD ThinkTank einen Chip unter die Haut setzen lassen. Er betrachte das nach eigener Aussage „als Statement, dass meine Daten mir gehören“. Er allein möchte darüber entscheide, mit wem er seine Daten teilen möchte: Mit seinem Ernährungsberater, mit seiner Krankenkasse oder mit dem Technologiekonzern seines Vertrauens. „Ob das nun im Einzelfall klug ist oder nicht: Es bleibt meine Entscheidung“, kommentiert Carl.

Datensouveränität als Basis eines längeren Lebens

„Wir als Zukunftsforscher halten es durchaus für ein realistisches Szenario, dass Unternehmen wie Apple, WeChat, Google und Amazon ihr Engagement auf dem deutschen Gesundheitsmarkt verstärken werden“, erläutert Carl. In diesem Szenario gebe es aus ihrer Perspektive zwei Möglichkeiten: „Entweder die Akteure des Gesundheitssystems machen sich anschlussfähig oder sie entwickeln eigene Lösungen, die eine datenbasierte Förderung der individuellen Gesundheit ermöglichen.“
Beide Wege führten letzten Endes zu einer Form einer digitalen Patientenakte – nämlich einer Möglichkeit, seine eigenen Gesundheitsdaten zu managen und einen oder mehrere Dienstleister seiner Wahl zu beauftragen, damit zu arbeiten.
Wem es gelingt, einen anderen Umgang mit Daten zu ermöglichen, der verschiebe die Kräfte in der Gesundheitsbranche grundlegend, so Carl: „Wenn Daten beginnen, Gesundheit zu schützen, führen sie zu einem langen Leben.“

Weitere Informationen zum Thema:

2bAHEAD, 14.06.2018
Was der Datenschutz mit langem Leben zu tun hat

2bAHEAD, 16.01.2018
Trendstudie: Die Zukunft der Krankenversicherungen

The post Medizinexperte warnt: Todesursache Nummer 1 in Deutschland ist der Datenschutz appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.