[datensicherheit.de, 19.11.2018] Black Friday und Cyber Monday – für Online-Shopper sind diese Aktionstage besonders reizvoll, weil viele Händler wieder mit großen Rabatten locken. Bei aller vorweihnachtlichen Liebe zur großen Schnäppchenjagd sollte dabei die Sicherheit der Nutzerdaten nicht vergessen werden. Allzu schnell werden sonst Kreditkartendaten gestohlen, hinterlegte Zahlungsinformationen missbraucht oder wichtige Log-In-Daten per Phishing entwendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine aktuelle Spam-Welle mit Bezug zu den Aktionstagen registriert und weist daher auf die Bedeutung der Zwei-Faktor-Authentisierung hin, die den Verbraucherinnen und Verbrauchern zusätzlichen Schutz bieten kann.

„Auch beim Online-Shopping müssen wir uns darauf verlassen können, dass unsere Kontodaten und andere persönliche Informationen sicher sind. Die Zwei-Faktor-Authentisierung erhöht die Sicherheit der Kundendaten deutlich, bei der Anmeldung ebenso wie beim Bezahlvorgang per Online-Banking, Online-Bezahldienst oder Kreditkarte. Wann immer es um sensible Daten geht, sind Online-Diensteanbieter aufgerufen, nutzerfreundliche und sichere Verfahren anzubieten.Verbraucherinnen und Verbraucher sollten gleichermaßen auf den Einsatz eines solchen Verfahrens bestehen. Als die nationale Cyber-Sicherheitsbehörde nimmt das BSI den digitalen Verbraucherschutz ernst und sorgt etwa mit dem elektronischen Personalausweis oder durch die Entwicklung sogenannter FIDO-Token für mehr Cyber-Sicherheit in der Digitalisierung“, so BSI-Präsident Arne Schönbohm.

Mit der Zwei-Faktor-Authentisierung wird die Sicherheit von Log-in-Verfahren deutlich verbessert.Neben der Kombination aus Nutzernamen und Passwort wird mindestens ein weiterer Faktor eingesetzt, der die Identität des Nutzers gegenüber Online-Händlern, Banken oder auch Social-Media-Diensten eindeutig bestimmt. Diese Verfahren ergänzen den Faktor Wissen (Passwort) um die Faktoren Besitz (z.B. Chipkarte, TAN-Generator oder Zertifikat) oder Biometrie (z.B. Fingerabdruck, Iris-Scan oder Gesichtserkennung).

Weitere Informationen zum Thema:

BSI für Bürger (BSIFB)
Sicheres Einloggen leicht gemacht

datensicherheit.de, 16.11.2018
Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router

datensicherheit.de, 18.10.2016
Betrug beim Online-Handel: Hohe Umsätze und schwere Aufdeckung

The post Online-Shopping: Sicher einkaufen am Black Friday und Cyber Monday appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Mimecast veröffentlicht den neuesten Bericht des Gremiums

[datensicherheit.de, 16.11.2018] Mimecast Limited hat den jüngsten Bericht des Cyber Resilience Think Tanks veröffentlicht, der den Titel „Threat Intelligence: Far-fetched Idea or Must-have Security Tactic?“ trägt. Dem unabhängigen Cyber Resilience Think Tank gehören mehr als ein Dutzend führender Sicherheitsspezialisten an, die gemeinsam Unternehmen helfen wollen, die Herausforderungen im Bereich Cyber Resilience zu bewältigen.

Der von Mimecast gesponserte Bericht führt Erkenntnisse von IT-Experten aus aller Welt zusammen und bietet Empfehlungen und Taktiken aus erster Hand, mit denen sich die Herausforderungen im Bereich Threat Intelligence leichter bewältigen lassen. Dabei geht es auch um die Frage, wie Unternehmen jeder Größe verwertbare Threat Intelligence zu einer Priorität machen können. So meint ein führender Sicherheitsexperte: „Gute, verwertbare Threat Intelligence kann Ihnen helfen zu erkennen, wer hinter einem Angriff steckt, welche Werkzeuge und Taktiken die Angreifer verwenden und worauf sie aus sind – also das Wer, Was und Warum.“

Ohne Threat Intelligence, die in die gesamte Cyber-Resilience-Strategie integriert wird, kann ein Unternehmen anfällig für Phishing-Angriffe, Malware-Attacken und noch Schlimmeres sein. Vor kurzem traf der Cyber Resilience Think Tank zusammen, um die Frage zu erörtern, warum Threat Intelligence für Unternehmen jeder Größe ein unverzichtbares und erreichbares Sicherheitselement ist – unabhängig vom verfügbaren Budget.

Dazu Malcolm Harkins, Chief Security and Trust Officer bei Cylance und Mitglied des Cyber Resilience Think Tanks: „Die Sicherheitsbranche muss aus dem ständigen Reaktionsmodus herauskommen. Ich will den Schaden für mein Unternehmen minimieren – also will ich Prävention. Die Threat Intelligence habe ich immer aus einer breiten Perspektive betrachtet: Welche Open-Source-Quellen stehen mir zur Verfügung? Welche von Menschen gewonnenen Erkenntnisse? Welche Informationen aus signalerfassender Aufklärung? Ich will das alles, weil alles wichtig ist.“

Der Bericht liefert Erkenntnisse des Think Thanks zu einer Reihe grundlegender Fragen: wie sich Datenüberflutung vermeiden lässt; wie Unternehmen intern bereits vorhandene Informationen nutzen können, zum Beispiel frühere Berichte über Datenschutzverletzungen und Schwachstellen;  und was bei der Implementierung dieser kritischen Sicherheitsfunktion unerlässlich ist. Darüber hinaus werden noch weitere Themen angesprochen:

• Warum Threat Intelligence nicht nur für eine kleine Minderheit interessant ist
• Wie sich offene APIs und bekannte Bedrohungsmuster nutzen lassen
• Wie man den Nutzen von Threat Intelligence auch mit einem kleinen (oder gar keinem) Budget nachweisen kann und
• Warum Threat Intelligence zumeist ausgelagert wird – und weshalb das auch ganz in Ordnung ist.

Maurice Stebilia, CISO bei HARMAN und Mitglied des Cyber Resilience Think Tanks, erklärt: „Ich habe eine Reihe von Cyber-Security-Partnern, die für mich Informationen sammeln. Ihre Tools schützen die Cloud, das Netzwerk, den Endpunkt, und sie integrieren diese Informationen in ihre Produkte. Wenn es also eine Schwachstelle gibt, dann wird diese blockiert und erfasst. Und ich bekomme einen Alarm.“

Bild: Mimecast

Marc French, Chief Trust Officer bei Mimecast

Für Marc French, Chief Trust Officer bei Mimecast und Mitglied des Cyber Resilience Think Tanks, bedeutet wahre Threat Intelligence, dass Informationen praktisch umgesetzt werden.

Die Mitglieder des Cyber Resilience Think Tanks treffen vierteljährlich zusammen, um Sicherheitspraktikern und deren Teams wertvolle, aus eigener Erfahrung gewonnene Erkenntnisse bereitzustellen.

Weitere Informationen zum Thema:

Mimecast
Threat Intelligence: Far-fetched Idea or Must-have Security Tactic?

datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht

datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht

datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig

The post Internationaler Cyber Resilience Think Tank: Hohe Priorität für Threat Intelligence appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 16.11.2018] Mit zunehmender Digitalisierung hält das Internet der Dinge Einzug in immer mehr Privathaushalte in Deutschland. Zentraler Bestandteil des heimischen Netzwerks aus PC, Smartphone, Smart-TV, Smart-Home-Geräten wie Rolladensteuerung oder WLAN-fähigem Kühlschrank ist der Router, der sowohl das Tor zum Internet als auch Management-Plattform für das Heimnetzwerk ist.

Über den Router laufen alle Informationen und Daten, die im heimischen Netzwerk und/oder über das Internet ausgetauscht werden. Wer Zugriff auf den Router hat, der hat oftmals auch Zugriff auf die privaten Daten. Um einen Zugriff unbefugter Dritter zu verhindern, sollte der Router also angemessen abgesichert sein. Vor dem Hintergrund seiner Zuständigkeit für den Digitalen Verbraucherschutz hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) daher nun die Technische Richtlinie „Secure Broadband Router“ (TR-03148) veröffentlicht.

Die Technische Richtlinie richtet sich vor allem an die Hersteller von Breitband-Routern und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, die für Router im Endkundenbereich umgesetzt sein sollten. Ziel der TR ist es damit auch, die Sicherheitseigenschaften für Verbraucherinnen und Verbraucher transparent zu machen. Dies können Hersteller durch eine geeignete Kennzeichnung am Gerät unterstützen. Somit ist die Veröffentlichung der TR Router ein wichtiger Schritt in Richtung eines IT-Sicherheitskennzeichens, wie es die Bundesregierung in der Cyber-Sicherheitsstrategie von 2016 und im Koalitionsvertrag vorgesehen hat. Das BSI wird auch für weitere Geräte des Internets der Dinge und des Smart Homes Mindestanforderungen an deren IT-Sicherheit formulieren.

„Mit jedem neuen Smartphone, Laptop oder smarten Haushaltsgerät wird nicht nur das Internet der Dinge ein Stückchen größer, sondern auch die verfügbare Angriffsfläche. Das smarte Zuhause steht längst im Fokus von Internet-Kriminellen, die täglich neue Methoden und Angriffsmittel entwickeln, um ins Heimnetz einzudringen, Daten zu stehlen oder Web-Transaktionen zu manipulieren. Im Sinne des Digitalen Verbraucherschutzes ermöglichen wir mit der Technischen Richtlinie für Router einen besseren Schutz des Heimnetzwerks, damit die Anwender die Vorteile der Digitalisierung und des smarten Zuhauses genießen können. Wir appellieren an die Hersteller, dieses Angebot anzunehmen und per ‚Security by Design‘ ein Mindestmaß an Sicherheit in die Router einzubauen”, erklärt BSI-Präsident Arne Schönbohm.

Die Technische Richtlinie ist das Ergebnis einer intensiven und konstruktiven Diskussion mit Herstellern, Telekommunikationsanbietern und Verbänden sowie Vertretern von Behörden und Zivilgesellschaft. Als Schnittstelle zwischen dem öffentlichen Internet und dem privaten Netzwerk kommt den Routern eine besondere Rolle zu. Sie sind nicht nur Schutzschild für Angriffe gegen Komponenten innerhalb des privaten Netzes, sondern auch ein potentielles Einfallstor für Cyber-Angriffe. So gab es etwa im November 2016 einen breit angelegten Cyber-Angriff, der auch Router eines deutschen Telekommunikationsanbieters betraf und dazu führte, dass rund 900.000 Router ausfielen und die Besitzer teils über mehrere Tage nicht telefonieren oder das Internet nutzen konnten. Darüber hinaus wurde durch eine im Mai 2018 vom American Consumer Institute (ACI) veröffentlichte Studie deutlich, dass auf vielen Routern auch seit langem bekannte Sicherheitslücken vorhanden sind und bis dahin nicht geschlossen wurden.

Transparenz für den Anwender

Mit der Technischen Richtlinie hat das BSI eine Grundlage geschaffen, um Router widerstandsfähiger zu machen und besser gegen Angriffe zu schützen. Die Technische Richtlinie konkretisiert schon jetzt in der Praxis erprobte Sicherheitsanforderungen an die Schnittstellen und Funktionalitäten des Routers über dessen gesamte Betriebszeit. So wird etwa die Fähigkeit gefordert, dass Updates auf dem Router eingespielt werden können und für den Verbraucher klar zu erkennen ist, wie lange der Router mit (sicherheitsrelevanten) Updates versorgt wird. Zur Einhaltung der Technischen  Richtlinie ist der Hersteller angehalten, schwere Sicherheitslücken durch die Bereitstellung eines entsprechenden Updates zu schließen oder aber die Pflege des Routers transparent aufzukündigen. Hierdurch wird Angreifern die systematische Ausnutzung von Sicherheitslücken in Routern zumindest erschwert, wenn nicht sogar verhindert.

Weitere Anforderungen der TR betreffen eine Minimierung der auf dem Gerät ausgeführten Dienste für die vom Nutzer ausgewählten Funktionalitäten, eine zwingend auf dem Router zu implementierende Firewall sowie Anforderungen an initiale Passworte und Verschlüsselung. So werden etwa Anforderungen an die für den Zugriff auf die Konfigurationsoberfläche des Routers notwendige Authentisierung definiert. Zudem adressiert das BSI in der TR auch das von vielen Routern  angebotene WiFi, um einen unbemerkten und unberechtigten Zugriff auf das private Netzwerk zu verhindern.

Weitere Informationen zum Thema

BSI
BSI TR-03148 Sichere Breitband Router

datensicherheit.de, 07.11.2018
Neuer BSI-Lagebericht 2018: E-Mail-Sicherheit in der Praxis weiterhin vernachlässigt

datensicherheit.de, 11.10.2018
BSI: Lagebericht zur IT-Sicherheit in Deutschland 2018 veröffentlicht

The post Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 14.11.2018] Zu den aktuell im Rahmen der Digitalklausur der Bundesregierung diskutierten Papieren zu Künstlicher Intelligenz (KI) und einer digitalen Umsetzungsstrategie äußert sich eco-Geschäftsführer Alexander Rabe wie folgt:

„Sowohl KI-Strategie, als auch die Umsetzungsstrategie werfen durchaus richtige Schlaglichter auf aktuelle Herausforderungen im Kontext der digitalen Transformation. Aber letztlich enthalten beide Papiere zunächst nur Sammlungen sinnvoller Initiativen und Einzelmaßnahmen. Es fehlt die Vision dahinter und der rote Faden einer gestaltenden Digitalpolitik mit einem klaren Zielbild. Digitalpolitik bleibt somit eine Großbaustelle und man hat leider nicht den Eindruck, dass die Bundesregierung vorhat, hier die Rolle des Architekten oder zumindest eines Bauleiters zu übernehmen. Wir sehen Stückwerk, statt strategischem Gestaltungswillen.

Besonders kritisch bleibt anzumerken:

Es fehlt nach wie vor ein ganzheitliches Verständnis der entscheidenden Faktoren und Zusammenhänge des Ökosystems Digitalisierung. Besonders deutlich wird dies am Beispiel der digitalen Infrastrukturen –  diese gleichzusetzen mit Breitband ist zu wenig. Digitale Infrastrukturen sind mehr als schnelle Netze und 5G. Künstliche Intelligenz basiert ja wesentlich auf großen Datenmengen, die in Echtzeit verfügbar sein müssen und über bandbreitenintensive Anwendungen verarbeitet werden. Dies geschieht idealerweise in hocheffizienten, leistungsstarken und sicheren Rechenzentren. Diese werden allerdings in Umsetzungsstrategie und KI-Strategie nicht mal erwähnt. Deutschland hat keinen einzigen Hyperscaler für diese Anforderungen und laut EU Kommission werden nur 4% der weltweit verfügbaren Daten in Europa gehostet, denkbar schlechte Voraussetzungen für KI Made in Germany.

 Letztlich fehlt ein digitales Narrativ in der Bundesregierung, mit einer klaren Vision für ein Digitales Deutschland 2030.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.11.2018
eco: Konsequente Strategie für digitale Bildung und Weiterbildung nötig

datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert

datensicherheit.de, 02.10.2018
E-Evidence-Verordnung: eco fordert die Wahrung von Sicherheitsstandards beim Datenaustausch

The post Digitalpolitik: eco-Geschäftsführer Rabe für mehr strategische Weitsicht appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 13.11.2018] Die zunehmende Komplexität von IT-Infrastrukturen, Backup und Disaster Recovery lässt den C-Level und IT-Entscheider in den USA, Großbritannien und Deutschland an ihrer Fähigkeit zu Datensicherung und Wiederherstellung zweifeln. Das ist eines der Ergebnisse der im Auftrag von Arcserve, LLC, einem langjährigen Anbieter von Lösungen für Datenschutz, im September 2018 durchgeführten Studie (Arcserve-May-Hill-Strategies-Studie).

Insgesamt sieben Ergebnisse lassen sich aus den Antworten von insgesamt 759 (in Deutschland 255) befragten Entscheidern in C-Level und IT-Management der verschiedensten Unternehmen ablesen:

1. Zu wenige Vertrauen in Backup-Pläne und Datenrettungskompetenz
   Laut den Ergebnissen verfügen 89% der Befragten (in Deutschland: 84%) über einen Disaster-Recovery-Plan. Alarmierend ist aber, dass 74% (D:75%) nicht absolut darauf vertrauen, unternehmenskritische Daten ohne Betriebsausfälle wiederherzustellen. Nur 26% (D:24%) sind sich dessen sehr sicher, 19% (D:13%) nur recht zuversichtlich („somewhat confident“).
2. Backup wird immer komplexer
   64% (D:69%) der befragten IT-Entscheider teilen die Meinung, dass in den letzten fünf Jahren der Schutz unternehmenskritischer Daten komplizierter bzw. nicht einfacher geworden ist – allen Anstrengungen, Kosten und Komplexität zu reduzieren, zum Trotz.
   Das liegt nicht nur am Ressourcenmangel, sondern auch an der gestiegenen Komplexität der Backup-Infrastrukturen. 51% (D:44%) der Befragten sehen in der notwendigen Zeit und Fähigkeit, das Backup zu verwalten, den Grund, ebenfalls 51% (D:43%) die hohen Kosten für den Erwerb und den Support einer Backuplösung. 47% (D:45%) machen zusätzliche oder separate Backuplösungen für die Komplexität verantwortlich, 45% (D:46%) vor allem die Vervielfachung verlangter Wiederherstellungspunkte anstelle eines täglichen Backups.
   Die Komplexität wächst in der Einschätzung von Arcserve auch durch die notwendige Sicherung von Daten, Anwendungen und Systemen in multi-generationalen IT-Infrastrukturen: Die Spannbreite dieser Systeme reicht dabei heutzutage von Nicht-x86-Systemen über x86-Systeme bis hin zu Software-as-a-Service (SaaS) oder Infrastructure-as-a-Service (IaaS). Nicht umsonst steht für die deutschen Befragten die Modernisierung von Legacy-Strukturen für die nächsten zwölf Monate mit 20 % an der Spitze der Prioritätenliste.
3. Null Toleranz beim Datenverlust
   Zugleich sinkt aber auch die Toleranz für Datenverlust. 93 Prozent (D:94%) der Teilnehmer, erklärten, dass ihr Unternehmen allerhöchstens minimale Datenverluste bei ihrer unternehmenskritischsten Anwendungen hinnehmen könne – wenn überhaupt. Fast jeder zweite – 49 %, D:46% – erklärte, ihnen bliebe weniger als eine Stunde, um solche Informationen wiederherzustellen, bevor der Umsatz beeinträchtigt wird.
4. RPO und RTO sind gleich wichtig
   IT-Berater sind sich uneinig darüber, ob es bei der Wiederherstellung von Daten und Anwendungen auf die Wiederherstellungsgeschwindigkeit oder auf möglichst geringen Datenverlust ankommt. Bezeichnenderweise ist für jeden vierten (D:27%) der Antwortenden der Recovery Time Objective – also die Zeit, die vom Eintritt des Schadens bis zur vollständigen Wiederherstellung des Systems höchstens vergehen darf – wichtiger. Sie wollen also möglichst schnell wieder online zu sein, egal wie viele Daten verloren gehen. Für 22% (D:28%) ist das Recovery Point Objective – also der Zeitraum, der zwischen Datensicherungen liegen darf, um den Normalbetrieb nach dem Absturz eines Systems aufrecht zu erhalten – und damit ein möglichst geringerer Datenverlust entscheidend. Für die Mehrheit ist beides (53%, in D:45%) gleich wichtig. Beide Ziele zu vereinbaren, ist außer für große Unternehmen nicht zu verwirklichen. Cloud-Lösungen mögen hier Abhilfe schaffen. Denn mit Cloud-basierten Backup- und Disaster-Recovery-as-a-Service-Lösungen lassen sich sowohl RTOs und RPOs im Minutenbereich verwirklichen. Die Abwägung der Kosten eines Datenverlustes und der Auswirkungen von Ausfallzeiten bleibt in jedem Fall eine der schwierigsten Fragen für die Unternehmen.
5. Die Cloud ist wichtig aber nicht alle Clouds sind gleich
   Die Cloud erobert sich zunehmend ihren Platz in Backup und Datensicherheit. Auch wenn der deutsche Markt noch vorsichtiger ist. Während in den USA 55% Daten in einer privaten Cloud für völlig sicher („completely secure“) halten, sind in Großbritannien nur 45 % und in Deutschland nur 31% dieser Meinung. Die Public Cloud wird noch unsicherer eingeschätzt (US: 23%, UK:20%, D:19%). In Deutschland liegt weiterhin die lokale Speicherung (Festplatten SSD, NAS, Thumb/Flash Drive, SAN, SDS) an der Spitze mit 35% (US: 43%, UK: 40%). Das bedeutet aber auch, dass die Akzeptanz der privaten Cloud hierzulande nicht viel geringer ist, als die der lokalen Speichermedien und zudem höher als die Sicherung in Hypervisoren – nur 19% der in Deutschland Befragten (US: 29%, UK: 27%) halten letztere für sicher.
   Die Skepsis gegenüber der öffentlichen Cloud speist sich sicher aus prominenten Data-Leakage-Fällen. Vielleicht liegt dies aber auch daran, dass die meisten größeren Public-Cloud-Anbieter keine Service Level Agreements über 99,99% anbieten. Das bedeute im Ernstfall, dass eine Stunde Ausfallzeit pro Jahr und damit Verluste von rund 500.000 Dollar bei einem Unternehmen mit einem Umsatz von einer Milliarde Dollar möglich sind, ohne dass gegen ein SLA verstoßen wird.
   Mehrere Ergebnisse belegen die Relevanz der Cloud auch im deutschen Markt:
   • 74% (D:68%) nutzen bereits die private Cloud, 40 % (D: 39%) eine Public Cloud.
   • 32% aller Befragten, 29% in Deutschland, haben den Cloud-Backup für einige Daten eingerichtet. 25% (in D:27%) planen dessen Einrichtung, um einige Daten zu sichern, 20% (in D aber nur 16%), um die meisten Daten zu sichern.
   • Für 48% der deutschen Entscheider wurde die Implementierung einer Cloud-Plattform für Backup und Disaster Recovery im letzten Jahr wichtiger, für 50% die Entwicklung einer Private/Public/Hybrid Cloud-Strategie. Diese Punkte sind auch Top-Prioritäten für das nächste Jahr und liegen auf Rang Drei mit 17% bzw. auf Rang Zwei mit 19%. Eine höhere Priorität genießt nur die Modernisierung von Legacy-Infrastrukturen und -Anwendungen (20% in Deutschland).
   • D2D2C ist für 36% der Befragten die wichtigste Backup-Technologie. In Deutschland erklärten dies nur 29% der Befragten. Damit liegt der Wert aber dennoch an oberster Stelle noch vor D2D2D (21%), D2C (16%), D2D2T (15%), D2D (14%) und D2T (4%).
6. Ransomware für viele immer noch eine Security-Aufgabe
   58% der Befragten (52% in D) waren besorgt über Ransomware-Berichte. Diese Sorge ist auch berechtigt, wenn man bedenkt, dass es zum Ende des Jahres 2019 laut Einschätzung der Experten von Cybersecurity Ventures alle 14 Sekunden zu einer Verschlüsselungsattacke kommen wird. Dennoch gibt es immer noch ein falsches Schubladendenken, wenn es um die Abwehr solcher Angriffe geht: Für 68% (in D: 59%) ist Ransomware eine Aufgabe der IT-Sicherheit, für 25% (D:31%) eine Aufgabe der Datenwiederherstellung. Dabei sind Datensicherheit und IT-Sicherheit nur zwei Seiten derselben Medaille „Datenschutz“ und können nur gemeinsam für Datensicherheit sorgen. Nicht umsonst raten auch IT-Security-Experten wiederholt an erster Stelle zu aktuellen Backups. Wenn unverschlüsselte Informationen aus einem Backup mit vertretbaren RTOs und RPOs jederzeit wiederhergestellt werden können, laufen Erpressungsversuche ins Leere.
7. Künstliche Intelligenz im Backup von Interesse
   IT-Entscheider haben auch hohe Erwartungen an die Unterstützung von Datensicherheit durch künstliche Intelligenz. 87% der Befragten (D:83%) halten es für sehr wahrscheinlich oder in gewissem Grade wahrscheinlich, dass sie sich mit dem Einsatz von künstlicher Intelligenz in Backup und Disaster Recovery beschäftigen werden. Argumente für einen sicheren oder wahrscheinlichen Einsatz künstlicher Intelligenz wären demnach:
   • eine proaktive Replikation von Daten in die Cloud, bevor es zur Downtime oder zum Disaster kommt (71%, D: 72%),
   • die Sichtbarkeit der gesamten Backup-IT-Infrastruktur (70%, D:67%),
   • die intelligente priorisierte Wiederherstellung der am häufigsten abgefragten, für das Funktionieren mehrerer Anwendungen wichtigen oder kritischen Daten (74%, D: 73%), sowie
   • das Entwerfen und Testen verschiedener Disaster- und Recovery-Szenarien (69%, D: 71%).

Zur Studie:

Im September 2018 wurden insgesamt 759 Studenten, davon 255 Entscheidungsträger und IT-Manager aus Deutschland, 253 aus den USA und 251 aus Großbritannien befragt. Gewichtete Studie nach Branche und Verantwortlichkeit.

The post Studie: Backup und Datenwiederherstellung zunehmend komplexer appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 10.11.2018] Am kommenden Montag, den 12. November laden die Bundesministerien für Arbeit und Soziales sowie für Bildung und Forschung Vertreter der Sozialpartner und Länder zur Auftaktsitzung für die „Nationale Weiterbildungsstrategie“ ein. Die CDU plant eine KI- gesteuerte Weiterbildungsplattform Namens „Milla“. Bereits am Dienstag haben die Minister/innen Peter Altmaier, Franziska Giffey, Hubertus Heil, Anja Karliczek und Horst Seehofer gemeinsam eine Fachkräftestrategie vorgestellt. Die Themen Fachkräftesicherung, New Work und (Weiter-)Bildung in der digitalen Arbeitswelt stehen ganz oben auf der politischen Agenda und bestimmten auch die Debatten beim „New Work Check“, zudem eco-Verband der Internetwirtschaft in dieser Woche eingeladen hatte: „Um die Digitalbranche und das allgemeine Wirtschaftswachstum Deutschlands nachhaltig zu fördern, müssen wir zwingend schon heute die Weichen für die Zukunft stellen: Die besten und klügsten Köpfe für uns zu gewinnen und auch in Deutschland zu halten, ist dafür eine Grundvoraussetzung. Dazu braucht es eine konsequente nationale Strategie für digitale Bildung und Weiterbildung“, so Oliver Süme, eco Vorstandsvorsitzender.

Weiterbildungsstrategie: 85,4% der Deutschen erkennen Bedarf digitaler Weiterbildung

Die deutsche Bevölkerung hat die Dringlichkeit der digitalen Weiterbildung erkannt: Laut einer aktuellen repräsentativen Umfrage, die eco beim Meinungsforschungsinstitut Civey beauftragt hat, sind 85,4 Prozent aller Befragten der Meinung, dass sich Beschäftigte in einer zunehmend digitalisierten Arbeitswelt deutlich mehr (46%) oder eher mehr (39,4%) fortbilden müssen als heute.

„Die zentrale Antwort für die Bewältigung des digitalen Strukturwandels in der Arbeitswelt und die Basis für künftiges Fachkräftewissen ist die neue Konzeption von Weiterbildung.“, meint Björn Böhning, Staatssekretär im Bundesministerium für Arbeit und Soziales. Ein wesentlicher Baustein für die Nationale Weiterbildungsstrategie ist das Qualifizierungschancengesetz des Bundesministeriums für Arbeit und Soziales, so Böhning: „Beschäftigte, die vom Strukturwandel durch die Digitalisierung betroffen sind, können künftig bei der Weiterbildung besser gefördert werden. Für die Bundesregierung ist dies ein wichtiger aber auch nur ein erster konkreter Schritt zur Etablierung einer neuen Weiterbildungskultur und aktiven Gestaltung der neuen Arbeitswelt.“

Digitale Chancen: 49,5% der Deutschen meinen, die Vereinbarkeit von Familie & Beruf wird leichter

Die Digitalisierung der Arbeitswelt bringt neben großen Herausforderungen, aber auch neue innovative Chancen, die es zu nutzen gilt. Auf diese digitalen Chancen verwies Dorothee Bär, Beauftragte der Bundesregierung für Digitalisierung, im Rahmen des eco New Work Checks: „Die digitale Revolution ist im Kern eine soziale. Das schließt auch ganz neue Chancen für Teilhabe ein: Geografische Distanzen und Präsenz vor Ort sind keine Faktoren mehr. Das eröffnet erhebliche Potenziale etwa für ländliche Regionen, für Menschen mit Familie oder für ältere Menschen, die weniger mobil sind. Das ist eine große Chance für gleichwertigere Lebensverhältnisse.”

Auch die deutsche Bevölkerung erkennt die positiven Effekte der digitalen Arbeitswelt an: So gaben 49,5% der Befragten bei der repräsentativen eco-Umfrage an, dass nach ihrer Meinung, die Vereinbarkeit von Familie und Beruf durch die Digitalisierung eher erleichtert (39%) oder sogar deutlich erleichtert wird (10,5%).

Quelle:

Alle Daten sind von Civey GmbH bereitgestellt. An der Befragung zur digitalen Weiterbildung zwischen dem 17.-22. Oktober nahmen 12.622 Personen teil. An der Umfrage zur Vereinbarkeit von Familie und Beruf zwischen dem 20.06. und dem 05.11.2018 nahmen 65.120 Personen teil. Die Ergebnisse wurden gewichtet und sind repräsentativ für die deutsche Bevölkerung (Alter 18+). Weitere Umfrageergebnisse auf Nachfrage.

Weitere Informationen zum Thema:

datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert

datensicherheit.de, 02.10.2018
E-Evidence-Verordnung: eco fordert die Wahrung von Sicherheitsstandards beim Datenaustausch

The post eco: Konsequente Strategie für digitale Bildung und Weiterbildung nötig appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Rückblick auf den Standempfang der „it-sa 2018“ mit Ehrengast Werner Theiner

[datensicherheit.de, 09.11.2018] Die Verfügbarkeit von schnellen Vernetzungsmöglichkeiten und die Sensibilisierung der Entscheiderebene in den Unternehmen und bei den Behörden sind elementare Voraussetzung für die erfolgreiche Digitale Transformation – und treten bisher doch noch zu oft in der öffentlichen Darstellung und Diskussion zurück. Wo Mittelstandsunternehmen, sogenannte KMU, aber keinen Breitbandanschluss ans Internet haben, wird es auch keine Industrie 4.0 geben können. Diese Problematik und konkrete Lösungsansätze rückte „datensicherheit.de“ zusammen mit dem Cluster Industrie 4.0 beim gemeinsamen Messeempfang während der „it-sa 2018“ in Nürnberg in den Fokus. Ehrengast war diesmal Werner Theiner, Geschäftsstellenleiter Süd, eco – Verband der deutschen Internetwirtschaft e.V.

Mittelstandsentscheider adäquat adressieren!

Auf dem Messeempfang des Clusters Industrie 4.0 am Stand von „datensicherheit.de“ am 10. Oktober 2018 stellte Werner Theiner die Initiative Digital vor und verkündete die regionale Zusammenarbeit mit dem Cluster Industrie 4.0.
Er führte aus, dass es nach seiner Erfahrung schwierig sei, Mittelständler zu Veranstaltungen in Metropolen wie Berlin oder München zu bewegen, bei denen Schlagwörter wie z.B. „disruptive Geschäftsmodelle“ im Mittelpunkt stehen und leicht Unverständnis hervorrufen können. Häufig seien KMU-Chefs auch der Ansicht, dass das Thema Digitale Transformation den Mittelstand ja gar nicht betreffe und eher etwas für die „Großen“ sei.

Foto: Dirk Pinnow

Carsten J. Pinnow (r.) begrüßt die Gäste zum Standempfang auf der „it-sa 2018“

Chancen der Digitalisierung und konkrete praktische Lösungen

Hier setzt nun die Idee der Initiative Digital an, welche sich mit den Zielen des Clusters Industrie 4.0, den Mittestand zu stärken, deckt: Geplant sind auf KMU fokussierte, für Entscheider interessante Veranstaltungen in den Regionen, welche mit „Hausverstand“ (Süddeutsch/Österreichisch für „gesunder Menschenverstand“) praxisnah die Chancen der Digitalisierung aufzeigen und konkrete praktische Lösungen präsentieren sollen.
Dazu werden Bürgermeister und Landräte in den Regionen angesprochen und um Stellung einer geeigneten Räumlichkeit mit kleinem Catering gebeten.

Foto: Dirk Pinnow

Ehrengast Werner Theiner fordert „Hausverstand“ bei der gezielten Ansprache der KMU und Gemeinden

Unternehmen „fit für die Digitalisierung“ machen!

Die Initiative Digital möchte im Zusammenschluss mit namhaften Unternehmen, Organisationen und Verbänden Landkreise und Gemeinden in Deutschland bei ihrem Anliegen unterstützen, Unternehmen „fit für die Digitalisierung“ zu machen. Hierfür steht den mittelständischen Unternehmen ein Team aus anerkannten Fachexperten kostenfrei als Sparringspartner und Ratgeber zur Verfügung.
In Kooperation mit anderen Initiativen soll das Projekt „GemERZ“ umgesetzt werden. Dieses baut – in enger Absprache mit den jeweiligen Landräten und Bürgermeistern – eine Infrastruktur aus lokalen Rechenzentren auf und versorgt die Regionen bei Bedarf entsprechend mit schneller Glasfaseranbindung.

Unternehmen und Gemeinden ertüchtigen!

Im gleichen Maße wie die Initiative Digital Unternehmen in Deutschland „digital-fit“ machen möchte, soll das „GemERZ“-Projekt Gemeinden und Regionen „smart-fit“ machen: Die Digitale Transformation setzt indes niedrige Latenzzeiten bei zunehmenden Datendurchsätzen voraus und erfordert deshalb die Errichtung lokaler Rechenzentren.
„GemERZ“ möchte nach eigenen Angaben in enger Zusammenarbeit mit den Betreibern, Bauträgern und Ausstattern von Rechenzentren, sowie den Landräten und Bürgermeistern ein Anforderungsprofil erstellen und das lokale Rechenzentrum von der Finanzierung bis zum Betrieb begleiten.

Niederschwellige Einstiegsvoraussetzungen für die Gemeinden

„GemERZ“ benötigt am betreffenden Ort Grund und Boden, der erworben und bebaut werden kann, und die Zusage von jeweils mindestens drei dort ansässigen mittelständischen Unternehmen sowie der städtischen Einrichtungen, Daten und IT-Services mindestens zehn Jahre vor Ort zu hosten.
Demnach wäre z.B. ein Standort in der räumlichen Nähe eines Heizkraftwerkes gut geeignet – idealerweise mit der Möglichkeit der Abwärmenutzung zur Stromerzeugung (sogenannte Kraft-Wärme-Kopplung) bzw. der Zuführung von Abwärme in das Fernwärme-Netz o.ä. – „GemERZ“ fühlt sich dem Stichwort „Green Data“ verpflichtet.
Werner Theiner, ebenfalls Mitglied der „GemERZ“-Projektleitung, lud das Cluster Industrie 4.0 zur Mitwirkung an diesem ambitionierten und für die Industrie 4.0 grundlegenden Vorhaben ein. Auf dem gemeinsam mit dem VDI/VDE-Arbeitskreis Sicherheit am 30. Oktober 2018 zu Gast bei der Bundesanstalt für Materialforschung und -prüfung (BAM) in Berlin durchgeführten traditionellen „HerbstForum“ des Clusters Industrie 4.0 berichtete CI4-Gründungspartner Carsten Pinnow über Werner Theiners Ansprache.

Foto: Robert Pinnow

„CI4-HerbstForum“ am 30.10.2018: Carsten J. Pinnow (l.) berichtet über den Standempfang auf der „it-sa“ – Dirk Pinnow (r.) trägt sein persönliches Fazit der Messe vor

Weitere Informationen zum Thema:

INITIATIVE DIGITAL, 28.08.2018
Ein Rechenzentrum für jede Gemeinde / Datacenter Day 2018 stellt die „Initiative Digital“ vor

The post Die Digitale Transformation kann kommen: Keine Ausreden mehr auf dem Lande appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Kommentar von Netwrix zum Hack bei der Großbank HSBC

[datensicherheit.de, 09.11.2018] Am 6. November gab die Großbank HSBC zu, dass unbefugte Dritte auf einige Kundenkonten zugegriffen haben. Laut der offiziellen Angaben beschränkt sich der Vorfall auf den US-Betrieb beschränkte, sollte allerdings dennoch sehr ernst genommen werden. Die gestohlenen Daten umfassen persönliche und finanzielle Informationen wie Namen, E-Mail-Adressen, Telefonnummern, Kontonummern, Transaktionsverläufe und weitere sensible Informationen.

Bild: Netwrix

Gerald Lung, Country Manager DACH bei Netwrix kommentiert: „Der unbefugte Zugriff auf kritische Systeme und Daten ist ein Problem, mit dem Unternehmen vertraut sind, aber viele von ihnen haben immer noch Schwierigkeiten, sich dagegen zu schützen. Der Zugriff durch Dritte kann eine vorsätzliche böswillige Aktivität sein, die darauf abzielt, wertvolle Vermögenswerte zu stehlen. Manchmal ist es allerdings auch ein Mitarbeiter, der versehentlich Dateien liest oder ändert, auf die er keinen Zugriff haben sollte.“

„Um das Risiko eines unbefugten Zugriffs zu minimieren, müssen die Organisationen einen Überblick über die gesamte IT-Umgebung haben, insbesondere über ihre sensiblen Daten, das heißt, wo diese gespeichert werden und wer auf sie zugreifen kann. Außerdem müssen sie die Zugriffsrechte in ihrem Unternehmen regelmäßig überprüfen und sicherstellen, dass die Mitarbeiter nur begrenzten Zugriff auf kritische Systeme und Daten haben“, erklärt Lung abschließend.

Weitere Informationen zum Thema:

Silicon UK
HSBC Confirms Data Breach Of US Customers

datensicherheit.de, 11.10.2018
Netwrix-Studie: 73 Prozent der deutschen Unternehmen scheitern daran Sicherheitsvorfälle effektiv zu entdecken

datensicherheit.de, 25.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt

The post Datensichtbarkeit: Nachholbedarf beim Unterbinden unbefugter Zugriffe appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

84 Prozent glauben, dass Wahldaten manipulierbar sind, wenn sie von lokalen Wahllokalen zu zentralen Sammelpunkten übermittelt werden

Venafi gibt die Ergebnisse einer Studie zur Sicherheit der Wahlinfrastruktur in Deutschland bekannt. Die Studie schließt die Antworten von 305 deutschen Sicherheitsexperten ein, die in ihren Unternehmen für die Verschlüsselung von Daten verantwortlich sind.

Laut der Studie sind 86 Prozent der Sicherheitsexperten besorgt darüber, dass Cyberangriffe auf Wahldaten oder -Infrastruktur erfolgen könnten. Darüber hinaus glauben 84 Prozent, dass Cyberkriminelle mit ihren Attacken wahrscheinlich auf Wahldaten abzielen, wenn diese von den lokalen Wahllokalen an zentrale Sammelstellen übertragen werden.

Foto: Venafi

Kevin Bocek, VP Security Strategy and Threat Intelligence, Venafi

„Deutsche Sicherheitsexperten verstehen die Risiken von freien und korrekt ablaufenden Wahlen“, sagt Kevin Bocek, Chief Cyber Security Strategist bei Venafi. „Im vergangenen Jahr hat sich gezeigt, dass die Software der deutschen Wahlinfrastruktur leicht gehackt werden kann, was zu einer möglichen Manipulation an der Übertragung der Ergebnisse führen kann. Die Angreifer wollen Zweifel an der Demokratie unter den Wählern erzeugen. Deshalb konzentrieren sie sich auf Abstimmungsergebnisse, um Unsicherheit über den demokratischen Ablauf unseren Wahlen zu verursachen.“

Weitere Ergebnisse der Studie sind:

• 94 Prozent glauben, dass Wahlsysteme, einschließlich Wahlautomaten, Software und Backend-Systeme, als kritische Infrastruktur betrachtet werden sollten.
• Auf die Frage, welche Teile ihrer Wahlinfrastruktur am anfälligsten für Cyberangriffe sind:61 Prozent sagen, dass es Wahlautomaten sind, die Wahldaten sammeln.
  • 60 Prozent sagen, dass es die Backend-Systeme sind, die die Wahldaten sammeln.
  • 71 Prozent sagen, dass es die Kommunikation zwischen den Back-End-Wahlsystemen ist.
  • 57 Prozent glauben, dass der potenzielle Schaden durch Cyberangriffe auf Wahlsysteme gravierender ist, als der potenzielle Schaden durch eine Wahlmanipulation, die auf Social Media abzielt.

Kevin Bocek fasst die Ergebnisse zusammen: „Es ist keine Überraschung, dass fast alle deutschen Sicherheitsexperten der Meinung sind, dass die Wahlinfrastruktur angegriffen werden kann. Letztendlich sind die Backend-Systeme, die Wahldaten übertragen, aggregieren, tabellieren, validieren und speichern, genauso anfällig für Cyberangriffe wie Wahlautomaten.“

Weitere Informationen zum Thema:

Venafi
Venafi German Security Survey – Election Protection

datensicherheit.de, 19.09.2018
Heartbleed: OpenSSL-Schwachstelle wird immer noch ausgenutzt

datensicherheit.de, 09.08.2018
WhatsApp-Sicherheitsvorfall untergräbt das Vertrauen im Internet

The post Venafi-Studie: 86 Prozent der deutschen Sicherheitsexperten halten Wahldaten für gefährdet appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 08.11.2018] Sicherheitsforscher von Check Point® Software Technologies Ltd. und DJI geben Details über eine potenzielle Schwachstelle bekannt, die sich auf die Infrastruktur von DJI hätte auswirken können.

In einem Bericht, der in Übereinstimmung mit dem Bug Bounty-Programm des DJI vorgelegt wird, skizziert der Blog Check Point Research einen Prozess, bei dem ein Angreifer möglicherweise Zugang zum Konto eines Benutzers durch eine Schwachstelle erhalten hätte. Diese Sicherheitslücke wurde im Rahmen des Benutzeridentifikationsprozesses innerhalb des DJI Forums gefunden. Dabei handelt es sich um ein von DJI gesponsertes Online-Forum. Die Sicherheitsforscher von Check Point haben entdeckt, dass die Plattformen von DJI einen bestimmten Token verwendeten, um registrierte Benutzer über verschiedene Aspekte des Gebrauchs des Forums hinweg zu identifizieren. Diese Maßnahme macht den Identifikationsprozess zu einem bevorzugten Ziel für Hacker, die nach Möglichkeiten suchen, auf die Konten der Nutzer zuzugreifen.

Private Nutzer, die ihre Flugaufzeichnungen, einschließlich Fotos, Videos und Flugprotokolle, mit den Cloud-Servern von DJI synchronisiert, und Unternehmen, die die DJI FlightHub-Software verwendet haben, die eine Live-Kamera, Audio- und Kartenansicht enthält, hätten gehackt und die Informationen kopiert werden können. Diese Schwachstelle wurde inzwischen gepatcht, und es gibt keine Hinweise darauf, dass sie jemals ausgenutzt wurde.

„Wir begrüßen die Expertise, die Check Points Sicherheitsforscher durch die verantwortungsbewusste Offenlegung einer potenziell kritischen Schwachstelle bewiesen haben“, sagt Mario Rebello, Vice President und Country Manager Nordamerika bei DJI. „Das ist genau der Grund, warum DJI das interne Bug Bounty-Programm ins Leben gerufen hat. Alle Technologieunternehmen verstehen, dass die Verbesserung der Cybersicherheit ein kontinuierlicher Prozess ist, der nie endet. Der Schutz der Informationen unserer Benutzer hat für DJI höchste Priorität – und wir verpflichten uns zu einer kontinuierlichen Zusammenarbeit mit verantwortlichen Sicherheitsforschern wie Check Point.“

„Angesichts der Popularität von DJI-Drohnen ist es wichtig, dass potenziell kritische Schwachstellen wie diese schnell und effektiv behoben werden, und wir begrüßen es, dass DJI genau das getan hat“, sagt Oded Vanunu, Head of Products Vulnerability Research bei Check Point. „Nach dieser Entdeckung ist es für Unternehmen wichtig zu verstehen, dass sensible Informationen über alle Geräte und Plattformen hinweg verwendet werden können, vor allem wenn sie dann auch noch auf einer Cloud-Plattform bereitgestellt werden und jedem schutzlos ausgesetzt sind, der sich darauf Zugriff verschafft. Darüber hinaus kann es für Unternehmen zu einer Beeinträchtigung der eigenen globalen Infrastruktur führen, wenn sich Angreifer aufgrund der Informationen aus der dortigen Infrastruktur Zugriff darauf verschaffen.“

Die DJI-Ingenieure haben den von Check Point vorgelegten Bericht überprüft und ihn in Übereinstimmung mit der Bug Bounty Policy als hohes Risiko mit geringer Erkennungswahrscheinlichkeit eingestuft. Dies ist auf eine Reihe von Voraussetzungen zurückzuführen, die erfüllt sein müssen, bevor ein potenzieller Angreifer sie nutzen kann. DJI-Kunden sollten immer die aktuellste Version der DJI GO oder GO 4 Pilot-Apps verwenden.

Check Point und DJI empfehlen allen Nutzern, beim digitalen Informationsaustausch wachsam zu bleiben. Nutzer sollten stets vorsichtig sein, wenn sie mit anderen Parteien online zusammenarbeiten und Informationen auf Cloud-Plattformen hochladen. Sie sollten die Rechtmäßigkeit von Links in E-Mails und Nachrichten in Frage stellen, die sie in Benutzerforen und Websites erhalten.

Weitere Informationen zum Thema:

Check Point Research Blog
DJI Drone Vulnerability

datensicherheit.de, 22.08.2018
Cybersicherheit: Erfolgsfaktoren für Bug Bounty-Programme

datensicherheit.de, 18.07.2018
GlanceLove: Check Point veröffentlicht Details zu Android-Malware

datensicherheit.de, 12.06.2018
IT-Sicherheitsbranche: Grund für Personalmangel ist häufig die falsche Technologie

datensicherheit.de, 20.04.2018
97 Prozent der Organisationen nicht auf Cyber-Angriffe der Gen V vorbereite

The post Sicherheitsforscher finden Schwachstellen bei marktführender Drohnenplattform appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.