[datensicherheit.de, 27.07.2017] Am 25. Juli 2017 hat der Deutschland sicher im Netz e.V. (DsiN) nach eigenen Angaben das Gewerbliche Schulzentrum Balingen als erste Partnerschule im Bildungsprogramm „Bottom-Up: Berufsschüler für IT-Sicherheit“ ausgezeichnet. Nach der erfolgreichen Erprobung soll das DsiN-Bildungsangebot zum Schuljahr 2017/2018 mit Förderung des Bundesministeriums für Wirtschaft und Energie (BMWi) im Rahmen der „Initiative IT-Sicherheit für die Wirtschaft“ bundesweit weiter verbreitet werden.

Schutz vor Cyber-Angriffen in kleineren Betrieben

Mit diesem Bildungsangebot reagiert DsiN demnach auf das steigende Bedürfnis nach IT-Sicherheit und Schutz vor Cyber-Angriffen gerade in kleineren Betrieben. „Bottom-Up“ soll Lehrkräfte an berufsbildenden Schulen zur Vermittlung grundlegender IT-Sicherheitsfragen im Betrieb befähigen. Aktuelle Studien wie der „DsiN-Sicherheitsmonitor Mittelstand“ zeigten, dass nur knapp ein Viertel der Geschäftsführungen ihre Belegschaft regelmäßig zu IT-Sicherheitsfragen schule. Dem stehe gegenüber, dass Mitarbeiter von Unternehmen das häufigste Angriffsziel von Cyber-Kriminellen seien.
„Wir freuen uns, dass das Gewerbliche Schulzentrum in Balingen als erste ,DsiN-Partnerschule’ ausgezeichnet wird. Das auf Auszubildende ausgerichtete Konzept leistet einen wichtigen Beitrag, das betriebliche Know-how zu Fragen der IT-Sicherheit zu verbessern. Davon profitieren die Handwerksbetriebe in der Region“, erläutert Rainer Neth, Stellvertretender Hauptgeschäftsführer der Handwerkskammer Reutlingen.

Bildungsangebot „Bottom-Up“ zum Schuljahr 2017/2018 erweitert

Mit der bundesweiten Verbreitung werde das Bildungsangebot „Bottom-Up“ zum Schuljahr 2017/2018 erweitert: Die Schulungsmodule umfassten neben Basiswissen nun auch Sicherheitsaspekte für Betriebsgründer und Betriebsleiter. Von Anforderungen des Datenschutzes bis zu technisch-organisatorischen Maßnahmen für die IT-Sicherheit wie auch Mitarbeiterschulungen würden praktische Sicherheitsfragen behandelt.
Für die Verankerung in der Ausbildung von Berufsschulen sehe das Angebot zusätzliche Leitfäden für die internen Lehrkräftefortbildungen vor. Berufsschulen hätten die Möglichkeit, sich als „DsiN-Partnerschule“ für kostenfreie Lehrerseminare sowie Lehrkräftefortbildungen zu bewerben.

Weitere Informationen zum Thema:

DsiN Deutschland sicher im Netz
BOTTOM-UP: Berufsschüler für IT-Sicherheit

Bundesministerium für Wirtschaft und Energie
„IT-Sicherheit IN DER WIRTSCHAFT“

The post Berufsschulen werden aktiv: Schutz des Mittelstands vor Cyber-Angriffen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 26.07.2017] Die italienische Großbank UniCredit wurde laut Medienberichten Opfer eines Hacker-Angriffs. Cyber-Kriminelle erhielten demnach über einen Dienstleister Zugang zu Daten im Zusammenhang mit Krediten. Circa 400.000 Kunden könnten betroffen sein – möglicherweise wurden persönliche Angaben sowie Kontonummern gestohlen. Nach Meinung von Vectra Networks zeigt der erneut erfolgreiche Datendiebstahl, dass Organisationen wie eine Großbank ihre Daten überaus aufmerksam schützen müssen, wenn sie externen Dienstleistern Zugriffsrechte einräumen – ab 2018, wenn die EU-DSGVO in Kraft tritt, drohen Unternehmen äußerst hohe Geldbußen bei solchen Vorfällen.

Verantwortung für Datensicherheit bleibt stets beim Unternehmen

„Der Hacker-Angriff auf die UniCredit Bank verdeutlicht einmal mehr, dass Unternehmen sehr vorsichtig sein müssen, wenn sie Externen Zugriff auf sensible Kundendaten ermöglichen. Dies gilt vor allem, wenn Außenstehende mit wichtigen Aufgaben der Wertschöpfungskette betraut werden“, erläutert Gérard Bauer, „VP EMEA“ bei Vectra Networks.
Um Kosten zu reduzieren, setzen viele Unternehmen vermehrt auf Outsourcing und übertragen wichtige Funktionen an externe Dienstleister und Vertragspartner. Aber dennoch hätten diese Unternehmen auch dann weiterhin die Verantwortung, den Schutz persönlicher Daten zu gewährleisten – egal ob diese Daten intern oder extern verarbeitet bzw. bearbeitet werden. Datenmanagement und Sicherheitsrichtlinien seien unverzichtbar, um in der Lage zu sein, den Zugang Dritter zu sensiblen Daten zu kontrollieren, zu verwalten und auszuwerten.

Automatisierte Überwachung und Auswertung des Datenverkehrs im Netzwerk!

Da UniCredit nun schon zwei Mal in zehn Monaten erfolgreich angegriffen worden sei, sollte die Bank ihre internen Sicherheitsvorkehrungen als auch die ihrer Lieferkette sehr genau unter die Lupe nehmen. Das Unternehmen müsse Maßnahmen treffen, um die neuen Arten von Bedrohungen zu verstehen und diesen wirksam zu begegnen.
Es sei heute unverzichtbar, die Arbeit der Sicherheitsbeauftragten, verborgene Bedrohungen aufspüren und den Datenverkehr im Netzwerk überwachen müssen, mit einem hohen Maß an Automatisierung zu unterstützen. So könnten Informationen und Identitäten von Kunden geschützt werden – was schließlich auch für die wirtschaftlichen Interessen des Unternehmens unverzichtbar sei.
Eine solche automatisierte Überwachung und Auswertung des Datenverkehrs im Netzwerk könne durch Künstliche Intelligenz (KI) bestmöglich realisiert werden. So sei es dann auch möglich, schnell und präzise gefährliche Vorgänge zu enttarnen und zu reagieren.
Außerdem sollte den Unternehmen klar sein, dass nach Inkrafttreten der EU-DSGVO im Mai 2018 „drastische Geldstrafen bei derartigen Verfehlungen“ drohten, die sich keine Organisation leisten könne. Zu guter Letzt sei es auch im Interesse eines jeden Unternehmens, das Vertrauen seiner Kunden wiederherzustellen und zu stärken, bevor der Ruf dauerhaft beschädigt wird.

The post Anmerkungen zum Cyber-Angriff auf 400.000 Kunden der UniCredit-Großbank appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 26.07.2017] Laut einer Mitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) hat der Europäische Gerichtshof (EuGH) mit seinem heutigen Gutachten vom 26. Juli 2017 „die Linie seiner datenschutzfreundlichen Urteile“ fortgesetzt: Das geplante Fluggastdaten-Abkommen zwischen Kanada und der EU verstößt demnach in weiten Teilen gegen die Grundrechte des Datenschutzes, der Achtung des Privatlebens und der Familie sowie der Nichtdiskriminierung.

Ausrichtung auf das absolut Notwendige gefordert

Grundsätzlich werde zwar die „Zulässigkeit der Verarbeitung sämtlicher Fluggastdaten zum Zweck der Gewährleistung der Öffentlichen Sicherheit im Rahmen der Bekämpfung der grenzüberschreitenden schweren Kriminalität und terroristischer Straftaten“ durch den EuGH anerkannt. Er fordere jedoch in einem dreistufigen Modell eine enge Ausrichtung auf das absolut Notwendige.
Insbesondere habe er moniert, dass auf der Stufe der Übermittlung von sensiblen Passagierdaten an Kanada die hohen Hürden der Bestimmtheit sowie der Erforderlichkeit eingehalten werden müssten. Dies beziehe sich insbesondere auf sensible Daten, etwa über die rassische oder ethnische Herkunft, religiöse Überzeugungen oder das Sexualleben einer Person. Angesichts des hohen Stellenwerts des Grundrechts der Nichtdiskriminierung und der Gefahr der Stigmatisierung durch eine missbräuchliche Verarbeitung dieser Daten reiche die Gewährleistung der Öffentlichen Sicherheit im Rahmen der Bekämpfung der grenzüberschreitenden schweren Kriminalität und terroristischer Straftaten als Rechtfertigungsgrund nicht aus.

Klare Regeln für Weiterverwendung der PNR-Daten!

Auf der nächsten Stufe knüpft der EuGH laut HmbBfDI eine Weiterverwendung der PNR-Daten (Passenger Name Record) nach Einreise des Passagiers in das kanadische Hoheitsgebiet an klare rechtsstaatliche Voraussetzungen. So müssten neue sachliche Umstände vorliegen und es bedürfe grundsätzlich einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.
In diesem Zusammenhang bezieht dich der EuGH offensichtlich auf seine Rechtsprechung im „Safe Harbor“-Urteil, wonach im Empfängerland ein angemessenes Datenschutzniveau zur Absicherung der Datenschutzrechte bestehen müsse.
Die dritte Stufe betrifft die Speicherung der Daten nach Ausreise des Fluggastes. Hierzu fordert der EuGH die Begrenzung der Speicherdauer – die bisher vorgesehene fünfjährige Speicherfrist der PNR-Daten sehe er als unzulässig an, wenn nach Ausreise des Passagiers keine objektiven Anhaltspunkte dafür bestehen, dass von ihm eine besondere Gefahr des Terrorismus oder der
grenzüberschreitenden schweren Kriminalität ausgeht.

Grundsatz der Verhältnismäßigkeit betont

Im Übrigen mache der EuGH insbesondere Vorgaben für eine Weitergabe der PNR-Daten durch Kanada an ein Nicht-EU-Land, für die Begrenzung der Verwendung von Datenbanken, für die individuelle Information der Fluggäste über die verwendeten PNR-Daten und über die Kontrolle der Einhaltung und Regeln durch eine unabhängige Kontrollstelle.
„Mit seinem heutigen Gutachten zieht der EuGH eine klare rechtsstaatliche Rote Linie für mögliche Maßnahmen zur Bekämpfung von Terrorismus und grenzüberschreitender schwerer Kriminalität. Gerade dort, wo anlasslos die Daten von Bürgern gespeichert und verarbeitet werden, gilt es, dem Bestimmtheitsgebot besonders Rechnung zu tragen und den Grundsatz der Verhältnismäßigkeit zum Schutz der informationellen Selbstbestimmung als zentralen Maßstab anzulegen“, betont Johannes Caspar, HmbBfDI. Es bleibe zu hoffen, so Caspar, dass die ständige Rechtsprechung des EuGH Anstoß zu einem „abgewogeneren Ausgleich zwischen Kontrollmaßnahmen des Staates und dem Schutz von digitalen Grundrechten insbesondere im Licht des Schutzes vor Diskriminierungen“ gebe. Erlassene Maßnahmen nicht nur von EU-Organen, sondern auch des nationalen Gesetzgebers zum Schutz der Inneren Sicherheit müssten die Grundrechte beachten. Dies gelte auch in Zeiten vermehrter terroristischer Aktivitäten.

The post Fluggastdaten-Abkommen Kanada-EU gestoppt appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 25.07.2017] Zu den wohl wichtigsten Zukunftsthemen der umfassenden Digitalisierung und Vernetzung zählen sicher „Big Data“ und „eHealth“. Welche Entwicklungen in den nächsten Jahren in diesem Feld zu erwarten sind, soll der Sammelband „Big Data im Gesundheitswesen“ der Stiftung Datenschutz darstellen. Die zentrale Fragestellung sei dabei: Tragen digitale Gesundheitsangebote zur Steigerung der Lebensqualität bei oder führen sie zum Autonomieverlust des Bürgers und zwingen ihn zur Selbstoptimierung? In diesem zweiten Band der von der Stiftung Datenschutz herausgegebenen Reihe „DatenDebatten“ diskutieren renommierte Autoren kontrovers. Der Bundesminister für Gesundheit, Hermann Gröhe, hat ein Geleitwort verfasst. Das im Erich Schmidt Verlag Berlin erschienene Werk ist laut Stiftung Datenschutz nun im Handel erhältlich.

Gesundheitswesen berührt das Leben jedes Menschen unmittelbar

Im zweiten Band der Reihe „DatenDebatten“ beschreiben 13 Beiträge von Autoren wie Peter Schaar, Klaus Müller oder Thilo Weichert ihre Sicht auf die Chancen und Risiken der Digitalisierung des Gesundheitswesens.
„Das Gesundheitswesen berührt das Leben jedes Menschen unmittelbar. Dementsprechend hoch sind auch die Erwartungen, die mit dem Einsatz digitaler Technologien in der Medizin verbunden sind. Dazu haben wir Experten unterschiedlicher fachlicher Professionen und inhaltlicher Strömungen zu Wort kommen lassen“, erläutert Stiftungsvorstand und Herausgeber Frederick Richter.

Fluch und Segen zugleich: Digital verfügbare Gesundheitsdaten

Digital verfügbare Gesundheitsdaten und deren potenzielle Vernetzung ermöglichen neue Behandlungsmethoden und bergen eine große Chance für die medizinische Forschung. Die Autoren fragen in ihren Aufsätzen gleichermaßen nach den Möglichkeiten und Grenzen sowie nach den Kosten dieser „sozialen Revolution“, wie sie im Band benannt wird.

Selbstoptimierung, Medienkompetenz und Datenschutz…

So kritisiert etwa Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands, dass sich die meisten digitalen Angebote eher an gesunde Menschen richteten und die Selbstoptimierung unterstützten, als kranken Menschen zu helfen. Diesen Zustand gelte es durch zusätzliche Angebote zu verbessern.
Bezüglich der Unterstützung durch Apps, die gleichermaßen zur Selbstoptimierung wie zur Selbstausbeutung führen könnten, hält der Philosoph Björn Haferkamp von der Universität Bremen ein Plädoyer für mehr Medienkompetenz: Wie bei allen Technologien komme es beim Tracking demnach darauf an, dass Anwender die Fähigkeit zu einem ausgewogenen, reflektierten, balancierten Umgang lernen, aber auch darauf, dass Technik und Technikpolitik ihnen diese Freiheitsspielräume überhaupt ermöglichen.
Die Auswirkungen auf den Datenschutz betrachtet Peter Schaar: Der ehemalige Bundesdatenschutzbeauftragte beschreibt die besondere Bedeutung des Vertrauensverhältnisses zwischen Arzt und Patient und setzt sich außerdem mit dem Schutz personenbezogener Daten in der Telematikinfrastruktur auseinander. Abschließend hält er fest: Der Datenschutz bleibe, wenn man die Akzeptanz für eine leistungsfähige „eHealth“-Infrastruktur garantieren möchte, ein nicht zu vernachlässigender Faktor…

Weitere Informatione zum Thema:

Big Data im Gesundheitswesen: Chancen nutzen, Patientenrechte wahren
Hrsg. Stiftung Datenschutz, Band 2 der Reihe „DatenDebatten“

The post Stiftung Datenschutz gibt Band 2 der Reihe DatenDebatten heraus appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 25.07.2017] Der Verbraucherzentrale Bundesverband e.V. (vzbv) hat nach eigenen Angaben die Revisionsverhandlung gegen die Kreissparkasse Groß-Gerau vor dem Bundesgerichtshof (BGH) gewonnen. Allerdings ist die Reaktion des vzbv ambivalent, denn die Richter hätten zwar verboten, für jede SMS-TAN Gebühren zu erheben, ein generelles Verbot sei jedoch ausgeblieben.

Mangelnde Preistransparenz bei Online-Überweisung befürchtet

Kreditinstitute dürfen demnach beim Online-Banking künftig nicht mehr für jede SMS-TAN Gebühren verlangen, so die Entscheidung des BGH nach einer Klage des vzbv gegen die Kreissparkasse Groß-Gerau. Der BGH habe jedoch kein generelles Verbot für SMS-TAN-Gebühren ausgesprochen.
„Das Ergebnis ist ernüchternd“, sagt Klaus Müller, Vorstand des vzbv. „Das Urteil könnte bedeuten, dass Verbraucherinnen und Verbraucher selbst für einen so einfachen Vorgang wie eine Online-Überweisung keine Preistransparenz mehr haben“, warnt Müller.
Der vzbv hatte nach eigenen Angaben vorgetragen, dass Entgelte dann unzulässig seien, wenn sie mit anderen Gebühren bereits abgegolten sind. Dies habe auch der bisherigen Rechtsprechung des BGH entsprochen.

***Verbrauchern sollten gut vergleichbare Entgeltstrukturen bei Konten geboten werden!***
Im vorliegenden Falle habe sich der BGH aber nur zu einem Verbot der konkreten Klausel durchringen können. Danach dürfe die Kreissparkasse also nicht mehr für jede SMS-TAN Gebühren verlangen. „Leider verbietet der BGH Gebühren für SMS-TAN jedoch nicht grundsätzlich“, erläutert Müller.
Bei der Preisgestaltung herrsche noch immer „Wildwuchs“, so Müller. Verbraucher müssten vermutlich auch weiterhin nach Kosten suchen, wenn sie Kontomodelle vergleichen. Müller: „Transparenz sieht anders aus.“
Der Gesetzgeber verlange eigentlich, dass Verbraucher gut vergleichbare Entgeltstrukturen bei Konten vorfinden. Davon sei man in der Praxis leider noch weit entfernt. Die aktuelle Entscheidung des Bundesgerichtshofs (Urteil vom 13.06.2017, Az.: XI ZR 260/15) basiere auf Vorgaben aus dem Zahlungsdienstrecht. Über diese Vorgaben werde man auf politischer Ebene noch einmal nachdenken müssen.

The post Intransparenz beim Online-Banking: Verbraucherzentrale kritisiert Gebühren-Wildwuchs appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 21.07.2017] Laut einer aktuellen Studie des Verbands Bitkom wurde jedes zweite Unternehmen in Deutschland innerhalb der letzten zwei Jahre Opfer von Cyber-Angriffen. Als nationale
Cyber-Sicherheitsbehörde begrüßt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigenen Angaben diese Erhebung und appelliert an deutsche Unternehmer, Informationssicherheit mit höchster Priorität zu behandeln.

IT-Sicherheit muss Chefsache sein

„Die hohe Zahl der betroffenen Unternehmen zeigt deutlich, dass wir auf dem Gebiet der Cyber-Sicherheit in Deutschland noch Nachholbedarf haben. Zwar sind die großen Konzerne und insbesondere die Betreiber Kritischer Infrastrukturen in der Regel gut aufgestellt, viele kleine und mittlere Unternehmen aber nehmen die Bedrohung nicht ernst genug“, warnt BSI-Präsident Arne Schönbohm. Informationssicherheit sei die Voraussetzung einer erfolgreichen Digitalisierung. Schönbohm: „Deshalb muss IT-Sicherheit Chefsache sein!“

Hohes Schadenspotenzial für die Wirtschaft durch Cyber-Angriffe

Zahlreiche aktuelle Beispiele zeigten das Schadenspotenzial für die Wirtschaft durch Cyber-Angriffe auf:
So hätten mit „WannaCry“ und „NotPeya“ in jüngster Vergangenheit zwei große Cyber-Angriffe erheblichen volkswirtschaftlichen Schaden verursacht. In einigen Unternehmen sei es zu massiven und langanhaltenden Einschränkungen der Produktion oder geschäftskritischer Prozesse gekommen.
Das BSI habe zudem wiederholt vor dem sogenannten „CEO-Fraud“ gewarnt, bei dem die Angreifer durch mit hohem Aufwand gefälschte Dokumente Überweisungen von beträchtlichen Geldbeträgen veranlasst hätten.
„In Einzelfällen ist durch dieses Vorgehen Schaden in Millionenhöhe entstanden. In kleineren Firmen können womöglich aber auch einige zehntausend Euro die Existenz gefährden“, so Schönbohm.

Appell: Schwerwiegende IT-Sicherheitsvorfälle melden!

Das BSI fordert daher alle betroffenen Unternehmen auch dazu auf, schwerwiegende IT-Sicherheitsvorfälle – gegebenenfalls auch anonym – zu melden. Das BSI bietet mit dem Nationalen IT-Lagezentrum und auch mit der Allianz für Cyber-Sicherheit Anlaufstellen für betroffene Unternehmen. „Diese Informationen vervollständigen das Lagebild und geben wertvolle Hinweise, wie man sich vor speziellen Angriffskampagnen schützen kann. Aus Fehlern lernt man, aber nicht jeden Fehler muss man selbst machen“, unterstreicht Schönbohm.
Das BSI und die Allianz für Cybersicherheit bieten zudem umfangreiche Hilfeleistung und Unterstützungsmaßnahmen für Unternehmen, die sich präventiv gegen Cyber-Angriffe schützen wollen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Meldestelle: 5 Minuten für Cyber-Sicherheit in Deutschland

The post Cyber-Angriffe: In Deutschland jedes zweite Unternehmen betroffen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Unternehmensvermögen und Reputation sind gleichermaßen bedroht

Ein Gastbeitrag von Hatem Naguib, Senior Vice President und General Manager Security Business, Barracuda Networks

[datensicherheit.de, 20.07.2017] In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunkur hat. Gezielte Langzeitangriffe, sogenannte  Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen.

Phishing und Ransomware sind die erfolgreichsten Angriffsmethiden

Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.

Bild: Barracuda NetworksHatem Naguib, Senior Vice President und General Manager Security Business

Hatem Naguib: „Phishing und Ransomware sind die erfolgreichsten Angriffsmethiden“

Die jüngsten Ransomware-Angriffe stellen eine noch größere Bedrohung dar: Statt einfach nur Geld zu nehmen und danach die Opfer in Ruhe zu lassen, werden bei einigen Vorgehensweisen die Daten, ohne Möglichkeit der Wiederherstellung, zerstört und nicht einfach nur verschlüsselt. Was kommt als Nächstes? Womöglich eine neue Taktik unter Nutzung sogenannter „Protectionware“, bei der das Opfer gezwungen wird, regelmäßig zu zahlen, damit seine Daten weiterhin verfügbar bleiben?

Die Auswirkungen dieser Angriffe sind weitreichend. Nicht nur die Unternehmensvermögen sind in Gefahr, sondern auch der gute Ruf, die Rentabilität und nicht zuletzt Arbeitsplätze. Die Auswirkungen können verheerend sein, vor allem für kleine Unternehmen, die vielleicht nicht über die Möglichkeiten verfügen, sich schnell davon zu erholen. Neben den finanziellen Einbußen zieht der Angriff weitere Folgen für das Unternehmen nach sich.

Aufgrund der Aktualität von Ransomware-Gefahren, haben wir etwas tiefer gegraben. Im Mai dieses Jahres führten wir eine Umfrage mit dem Schwerpunkt Ransomware durch, um mehr über die Hauptsorgen sowie über den Umfang der Bedrohung insbesondere im mittelständischen Markt herauszufinden. Die Umfrage ist Teil eines globalen Berichts, der die Ergebnisse von weltweit 1.300 Interviews mit IT-Verantwortlichen von Unternehmen mit einer Größe von 1 – 10.000 Mitarbeitern analysierte. Der höchste Prozentsatz der Antworten (18,1 Prozent) stammte von Unternehmen mit 101 – 250 Beschäftigten.

Eine überwältigende Mehrheit von 92 Prozent der Teilnehmer machen sich Sorgen, ihr Unternehmen könne zur Zielscheibe von Ransomware werden. Diese Ängste scheinen berechtigt zu sein: Fast die Hälfte, nämlich 47 Prozent der Befragten waren selbst schon einmal von Ransomware betroffen. Von ihnen waren 59 Prozent nicht in der Lage, den Ursprung des Angriffs zu benennen. Leider ist das nichts Ungewöhnliches: Eine große Zahl von Unternehmen bemerkt häufig nicht einmal, dass überhaupt in das Netzwerk eingebrochen wurde, ganz zu schweigen davon, an welcher Stelle. Von den übrigen 41 Prozent jedoch nannten 76 Prozent E-Mail als Ursprung des Ransomware-Angriffs. E-Mail ist nach wie vor einer der meistgenutzten Services für die Geschäftskommunikation sowie einer der Bedrohungsvektoren, die am häufigsten anvisiert werden. Diese Resultate unterstreichen, wie wichtig mehrschichtige Sicherheit für E-Mail ist – an der Schnittstelle sowie für die interne Nachrichtenübermittlung. Zudem weisen sie auf die Bedeutung einer der am häufigsten übersehenen Bereiche hin: Die Aufklärung von Mitarbeitern, die unter Umständen das schwächste Glied sind, wenn es um den Schutz vor Bedrohungen wie Ransomware geht.

Für alle, die Software-as-a-Service-Anwendungen (SaaS) einsetzen, waren die Ergebnisse besonders interessant, da sie sich auf die integrierten Sicherheitsfunktionen dieser Anwendungen beziehen. So haben etwa 70 Prozent der Befragten nicht das Gefühl, dass Microsoft Office 365 ihren Anforderungen an den Schutz vor Ransomware gerecht wird, was die Bedeutung von Sicherheitslösungen von Drittanbietern unterstreicht. Um genau zu sein, setzen fast 60 Prozent der Teilnehmer externe Lösungen als Ergänzung nativer Sicherheitsfunktionen ein. Dies lässt darauf schließen, dass Unternehmen sich nur dann geschützt fühlen, wenn sie die Anwendung in Verbindung mit Sicherheitslösungen nutzen.

Wie können Unternehmen sich vor diesen Risiken schützen? Hier sind einige Tipps dazu:

1. Niemand ist zu unbedeutend, um zur Zielscheibe zu werden: Ein verbreiteter Irrtum kleiner und mittlerer Unternehmen ist es, zu denken, sie seien zu klein, um ein attraktives Angriffsziel darzustellen, und sich daher auf der sicheren Seite zu wähnen. In Wirklichkeit sind diese Unternehmen anfälliger für Attacken, da davon ausgegangen wird, dass sie über weniger Mitarbeiter, Technik und Ressourcen für den Kampf gegen zielgerichtete Angriffe verfügen.
2. Alles sichern: Die digitale Transformation bietet Unternehmen erhebliche Möglichkeiten mit Blick auf die Produktivität sowie Kosteneinsparungen. Doch sie sorgt auch für eine Vergrößerung der Angriffsfläche und öffnet die Tür für ausgefeiltere und zielgerichtete Attacken. Moderne fortschrittliche Angriffe nutzen typischerweise verschiedene Vektoren aus: Wie unsere Untersuchungen zeigen, ist E-Mail nach wie vor ein Schwerpunkt für Angreifer, die Ransomware einsetzen. Die beste Verteidigung ist eine Großoffensive, d. h. Unternehmen müssen den Ansatz verfolgen, „alles zu sichern“, um sich vor modernen Attacken zu schützen. Um dies zu tun und smartere Arten von Schadsoftware wie Ransomware abzuwehren, benötigen Unternehmen Advanced Threat Protection über alle Bedrohungsvektoren hinweg. Das bedeutet, dass jede ATP-fähige Lösung, die von den anderen Lösungen zusammengetragenen Informationen verwenden kann, so dass die Verarbeitung schneller und besser skalierbar ist. Eine Netzwerk-Firewall allein ist nicht genug, genauso wie eine E-Mail-Sicherheitsschnittstelle allein nicht ausreicht. Unternehmen, die die Vorteile von virtualisierten und Cloud-Netzwerken nutzen möchten, müssen sicherstellen, dass sie dort die gleichen Sicherheits- und Zugriffsbeschränkungen einsetzen wie in ihrer lokalen Infrastruktur.
3. Konsequente Umsetzung, Überwachung und Aufklärung: Das Verhalten der Benutzer ist möglicherweise die größte Schwachstelle, und es ist unvermeidlich, dass irgendwann jemand einen Link anklickt. Trotzdem ist Aufklärung ein entscheidender Bestandteil einer zuverlässigen Strategie für Datensicherheit, denn Angreifer versuchen immer häufiger, sich im Rahmen von gezielten Phishing- und Spear-Phishing-Kampagnen „menschliche Netzwerke“ zunutze zu machen.
4. Unterbrechungen nach einem Angriff möglichst kurz halten: Für den Fall, dass alle Stricke reißen, braucht es einen Plan für die schnelle Wiederherstellung der Daten. In Bezug auf Ransomware ist es in der Regel am besten, einen umfassenden Sicherungs- und Wiederherstellungsplan zu entwickeln sowie zu implementieren, der es erlaubt, alle verschlüsselten Daten mit minimalem Aufwand wiederzuerlangen.

Es ist wichtig, sich bewusst zu machen, dass man auch dann, wenn man schon einmal betroffen war, nicht gegen zukünftige Angriffe immun ist. Stattdessen sehen manche Angreifer in den betroffenen Unternehmen womöglich ein leichtes Ziel und planen daher eine Attacke mit noch schwerwiegenderen Folgen. Es ist demzufolge nie zu spät, aber unabdingbar, die Sicherheitsstrategie zum Schutz der Unternehmensdaten wiederholt zu prüfen.

The post Ransomware: Die Seuche des 21. Jahrhunderts appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 19.07.2017] Die NürnbergMesse gibt im Vorfeld der „it-sa 2017“ bekannt, dass sich in diesem Jahr erstmals drei Länder mit eigenen Gemeinschaftsständen vom 10. bis 12. Oktober 2017 im Messezentrum Nürnberg präsentieren: Französische, israelische und tschechische Anbieter werden die Kompetenz der jeweiligen IT-Sicherheitsindustrie in der Halle 9 bzw. 10 demonstrieren.

Internet kennt keine nationalen Grenzen

Das Internet kennt keine nationalen Grenzen und die immer engmaschigere Vernetzung von Geräten eröffnet Cyber-Kriminellen neue Angriffsflächen. Auf der „it-sa“ können sich IT-Sicherheitsexperten deshalb informieren, wie sie Unternehmen und Institutionen besser vor digitaler Spionage und Sabotage schützen können.
Dafür stehen Fachbesuchern der europaweit größten IT-Sicherheitsmesse nun drei Ländergemeinschaftsstände offen: „In diesem Jahr präsentieren sich gleich drei Nationen mit eigenen Länderpavillons – Frankreich, Israel und die Tschechische Republik. Das unterstreicht die Rolle der ,it-sa‘ als Dialogplattform für Experten, die sich über Grenzen hinweg gemeinsam für mehr IT-Sicherheit engagieren“, betont Frank Venjakob, „Executive Director it-sa“ der NürnbergMesse.

Frankreich bereits zum zweiten Mal dabei

Frankreich wird sich nach 2016 zum zweiten Mal mit einem Gemeinschaftsstand an der „it-sa“ beteiligen.
Messebesucher sollen dort Angebote aus den Bereichen „Privileged Access Management“ und E-Mail-Verschlüsselung sowie „VPN Clients“, Tools für „Software Security“ und Netzwerksicherheit vorgeführt werden.
Ihre Teilnahme am französischen Gemeinschaftsstand in Halle 10 haben laut NürnbergMesse die Firmen Gatewatcher, Idnomic, TheGreenBow, Quarkslab und Wallix bereits bestätigt. Mit weiteren sei zu rechnen, so die mit der Organisation betraute Agentur für Wirtschaftsförderung, Business France.

Israel: Größerer Gemeinschaftsstand der „Start-up“-Nation

Israel ist bekannt für eine innovationsfördernde Start-up-Kultur und Wiege namhafter Akteure auf dem IT-Sicherheitsmarkt. Auf einem vom Israel Export Institute organisierten Stand zeigen Start-ups und aufstrebende Firmen in Halle 9 ihr gebündeltes Know-how.
Der gemeinsame Auftritt bereichert die „it-sa“ ebenfalls zum zweiten Mal nach 2016 – und verzeichnet schon heute eine größere Beteiligung. Aktuell sind nach Angaben der NürnbergMesse die folgenden Unternehmen angemeldet: Bufferzone Security, Coronet, Cronus Cyber Technologies, Cyber SecBI, cyber sixgill, CybeReady Learning Solutions, Cytegic, empow cyber security, GuardiCore, Illusive Networks, Inpedio, Reblaze Technologies, Safe-T Data, Sasa – Software Cooperative Agricultural Society, Scadafence, Secdo und Securely.

Tschechien erstmals vertreten

Die Tschechische Republik wird in Halle 10 Flagge zeigen: Czech Trade, die Handelsförderungsagentur des Ministeriums für Industrie und Handel, organisiert den dritten internationalen Gemeinschaftsstand der „it-sa 2017“.
Bisher sind laut NürnbergMesse als Aussteller der Gemeinschaftsfläche die Firmen Datasys, GreyCortex, Novicom und ThreatMark sowie das Network Security Monitoring Cluster gemeldet, ein Zusammenschluss tschechischer Organisationen und Unternehmen im Bereich der Netzwerk- und Informationssicherheit.

Abbildung: NürnbergMesse GmbH

Branchentreff „it-sa“ diesmal in den Hallen 9 und 10

Weitere Informationen zum Thema:

it-sa – Branchenhighlight der IT-Security
Trends & Innovationen der IT-Securitybranche | 10. – 12. Oktober 2017, Messezentrum Nürnberg

The post it-sa 2017: Messezentrum Nürnberg meldet zunehmende Auslandsbeteiligung appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 19.07.2017] Der Verbraucherzentrale Bundesverband e.V. (vzbv) weist in einer aktuellen Mitteilung darauf hin, dass die DB Vertrieb GmbH bei Flugreisebuchungen über die Reiseplattform „start.de“ die „Sofortüberweisung“ nicht als einzige kostenlose Bezahlmethode anbieten darf. Dies habe der Bundesgerichtshof (BGH) nach einer vzbv-Klage gegen dieses Praxis entschieden.

Sensible Daten an externen Dienstleister übermittelt

„Das Urteil stärkt die Rechte von Verbraucherinnen und Verbrauchern beim Bezahlen im Internet. Die einzige kostenlose Bezahlmöglichkeit darf Verbraucher nicht zwingen, gegen das Verbot ihrer Bank zu verstoßen, sensible Daten an einen externen Dienstleister zu übermitteln“, betont Kerstin Hoppe, Rechtsreferentin beim vzbv. Mit diesem Gratisangebot habe „start.de“ Verbraucher in ein „Haftungsrisiko“ gedrängt.

Kontodaten abgefragt

Die Reiseplattform hatte demnach das Bezahlen mit Kreditkarte nur gegen ein zusätzliches Entgelt angeboten: In dem Fall, der Anlass für die Klage des vzbv gewesen sei, 12,90 Euro – bei einem Reisepreis von 120,06 Euro.
Allerdings habe man auch kostenlos per „Sofortüberweisung“ bezahlen können. Hierzu habe sich ein Dialogfenster geöffnet – eingegeben werden sollten die Kontodaten inklusive PIN und TAN. Damit habe der Anbieter, die Sofort AG, dann unter anderem den Kontostand und den Disporahmen geprüft und ermittelt, ob der Kunde andere Konten hatte.

Eingabe von PIN und TAN auf Website eines Dritten untersagt

Der BGH habe diese Praxis der DB Vertrieb GmbH nun für unzulässig erklärt. Damit habe das Gericht die Auffassung des vzbv bestätigt, wonach die einzige kostenlose Zahlungsart Verbraucher nicht dazu zwingen dürfe, mit einem nicht beteiligten Dritten in vertragliche Beziehungen zu treten und diesem hochsensible Finanzdaten zu übermitteln – zumal dies gegen die vertragliche Vereinbarung mit ihrer Bank verstoße.
Den AGB zufolge hätten Verbraucher davon ausgehen müssen, dass ihnen die Eingabe von PIN und TAN auf der Website eines Dritten untersagt sei. Das Geschäftsmodell „Sofortüberweisung“ könne zwar weiter betrieben werden, den Kunden müssten jedoch weitere kostenlose Zahlungsmöglichkeiten angeboten werden.

Berufungsurteil des OLG Frankfurt aufgehoben

Mit seinem Urteil habe der BGH das Berufungsurteil des OLG Frankfurt aufgehoben und die Berufung gegen das stattgebende Urteil des Landgerichts Frankfurt am Main zurückgewiesen: Bundesgerichtshof, Urteil vom 18. Juli 2017, KZR 39/16.
Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 10.07.2015
„Sofortüberweisung“ als einziges kostenfreies Zahlungsmittel unzumutbar

The post Sofortüberweisung: Bundesgerichtshof bestätigt Auffassung der Verbraucherzentrale appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 18.07.2017] Um Unternehmen vor Hackerangriffen wie dem Trojaner „WannaCry“ zu schützen, ist es wichtig, die Methoden der Angreifer zu kennen. IUNO, das Nationale Referenzprojekt zur IT-Sicherheit in Industrie 4.0, hat deshalb ein industrielles Honeynet zum Schutz von Produktionsnetzwerken entwickelt. Damit wird es möglich, den Stand der Technik von Angriffen zu erfassen und passende Gegenmaßnahmen für Sicherheitslücken im Produktionssystem abzuleiten. Im Juli 2016 hat das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) zu diesem Zweck potentiellen Angreifern ein simuliertes Netzwerk zugänglich gemacht. Nach nur zwölf Monaten registrierte der IUNO-Projektpartner knapp zwölf Millionen Zugriffe aus über 200.000 verschiedenen Quellen.

Aus den beobachteten Verhaltensmustern der Hacker werden im nächsten Schritt Schutzmaßnahmen abgeleitet, die Unternehmen am Ende der Projektlaufzeit im Juli 2018 zur Verfügung stehen werden. Firmen werden damit in die Lage versetzt, Angriffe frühzeitig zu erkennen und proaktiv gegen Cyber-Kriminelle vorzugehen.

Anforderungen an Produktionsnetzwerken in der Industrie 4.0

Ein Honeynet besteht aus mehreren Honeypots. Das sind Computer-Ressourcen, die Hacker anlocken, um mehr Informationen über ihre Angriffsmuster zu erhalten. Beim Einsatz dieser Methode werden Schwachstellen in IT-Komponenten simuliert und in kontrollierter Art und Weise zugänglich gemacht. Aus den beobachteten Verhaltensmustern der Hacker werden dann geeignete Gegenmaßnahmen abgeleitet. Um komplexe Systeme wie ganze Produktionsnetzwerke zu simulieren, werden mehrere Honeypots zu einem Honeynet zusammengeschlossen – ein gängiges Verfahren im Bereich der Office-IT.

Für IUNO wurde ein eigenes Honeynet entwickelt, das speziell auf die Anforderungen von automatisierten Produktionsnetzwerken ausgerichtet ist. Die Methode ermöglicht die Sammlung und Auswertung wichtiger, den Unternehmen bislang unbekannter Daten. Dadurch erhalten Firmen mehr Informationen über die Angriffs- und Schutzmethoden, ohne das reale Produktionsnetzwerk zu gefährden. So können Schwachstellen aufgezeigt und Sicherheitslücken entsprechend geschlossen werden. Zudem sind Honeynets ein wichtiger Indikator dafür, ob bereits in ein bestehendes Netzwerk eingedrungen wurde.

Wichtige Rückschlüsse auf Angreifer möglich

Das Iuno-Honeynet kann zusätzlich Aussagen über die Intention des Angreifers treffen. Dazu wird dem Hacker ein vollständiges (eingebettetes) Betriebssystem mit typischer Funktionalität zur Verfügung gestellt. Jeder Schritt des Kriminellen wird detailiert dokumentiert und analysiert. Die so gewonnenen Erkenntnisse unterstützen die Attribuierung des Angriffs und helfen, seine Infrastruktur und Angriffswerkzeuge zu identifizieren. Ein weiterer Forschungsaspekt sind die Innentäter. Diese werden in entsprechenden Studien und Berichten einhellig als gefährliche und durchaus prävalente Form eines Angreifers gesehen. Dieser Angreifertyp hat zumeist direkten Zugriff auf das Unternehmensnetzwerk und ist damit durch herkömmliche Sicherheitsmaßnahmen oft nicht zu stoppen. Honeypots innerhalb des Netzwerks können einen wesentlichen Beitrag dazu leisten, Angriffe aus den inneren Teilen des Netzwerkes aufzudecken.

Ein weiterer Vorteil gegenüber herkömmlicher Angriffserkennung liegt in der geringen Menge der anfallenden Daten. Dennoch verfügen Honeypots über eine hohe Aussagekraft. Trotzdem müssen die Daten durch geeignete Verfahren analysiert und aufbereitet werden. Die Visualisierung und Veranschaulichung der Erkenntnisse spielt dabei eine große Rolle. Auch die dazu notwendigen Methoden werden in IUNO erforscht.

Über IUNO

In IUNO, dem Nationalen Referenzprojekt zur IT-Sicherheit in Industrie 4.0, werden Bedrohungen und Risiken für die intelligente Fabrik identifiziert, Schutzmaßnahmen entwickelt und exemplarisch in vier Anwendungsfällen umgesetzt. Ziel ist es, möglichst allgemein verwendbare Lösungen für Herausforderungen der IT-Sicherheit im industriellen Anwendungsfeld zu entwickeln, um diese Unternehmen an die Hand zu geben. Die getesteten und übertragbaren IT-Sicherheitslösungen werden dann in einem Werkzeugkasten zusammengefasst und können als „Blaupause“ für die sichere Industrie 4.0 herangezogen werden. Besonders kleine und mittelständische Unternehmen, die sich bislang aus nicht abschätzbaren wirtschaftlichen Risiken gegen eine Digitalisierung der Produktion entschieden haben, können dadurch die Chancen des digitalen Wandels für sich nutzen. Das Referenzprojekt wird mit einem Gesamtvolumen von 33 Millionen Euro vom Bundesministerium für Bildung und Forschung (BMBF) gefördert und läuft bis Ende Juni 2018.

Weitere Informationen zum Thema:

IUNO
Nationales Referenzprojekt zur IT-Sicherheit in der Industrie 4.0

The post IUNO-Honeynet: Zwölf Millionen Netzzugriffe innerhalb eines Jahres appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.