EPoS-Studie über Internetzugänge in Kolumbien – zu konkreten Maßnahmen zur Überwindung der Digitalen Kluft

[datensicherheit.de, 22.09.2023] Der 2018 eingerichtete Sonderforschungsbereich „Transregio 224 EpoS“ als Kooperation der Universitäten Bonn und Mannheim ist nach eigenen Angaben eine langfristig angelegte, von der Deutschen Forschungsgemeinschaft (DFG) geförderte Forschungseinrichtung: „EPoS befasst sich mit drei zentralen gesellschaftlichen Herausforderungen: Wie kann Chancengleichheit gefördert werden? Wie können Märkte angesichts der Internationalisierung und Digitalisierung der Wirtschaftstätigkeit reguliert werden? Und wie kann die Stabilität des Finanzsystems gesichert werden?“

Abbildung: EPoS

EPoS-Diskussionspapier „Internet (Power) to the People: How to Bridge the Digital Divide“

Förderung von Internet-Kompetenzen in sozial schwachen Stadtteilen führt zur Verdopplung der -zugänge

„Bis zum Jahr 2030 will die UNO weltweit allen Menschen den Zugang zum Internet ermöglichen. Heute sind allerdings noch rund drei Milliarden Menschen offline.“ Eine neue EPoS-Studie habe nun in Kolumbien konkrete Maßnahmen untersucht, die darauf abzielten, die Digitale Kluft zu überwinden.

Die Analyse zeige, „dass die Förderung von Internet-Kompetenzen in sozial schwachen Stadtteilen am besten funktioniert“. Die Zahl der Internetzugänge werde dadurch dort verdoppelt. Dieses Forschungsergebnis hat das „EPoS Economic Research Center“ der Universitäten Bonn und Mannheim in dem Diskussionspapier „Internet (Power) to the People: How to Bridge the Digital Divide“ veröffentlicht.

Instrumente zur Förderung der Internetnutzung wichtiger als Subventionen

„Instrumente zur Förderung der Internetnutzung, die nicht über den Preis wirken, sind für sozial schwache, weniger internetaffine Verbraucher wichtiger als Subventionen – das zeigt unsere Forschung“, erläutert die EPoS-Autorin Michelle Sovinsky. Für die Politik heiße dies: Die Digitale Kluft lasse sich am besten durch eine Kombination beider Maßnahmen überwinden – größere Auswahl an Internet-Tarifen und Vermittlung von Kenntnissen, um die Internet-Verbreitung zu erhöhen.

Dies gelte für die sozial benachteiligten Bevölkerungsteile und für Gegenden mit bislang sehr wenigen Internetzugängen. Eine solche Maßnahmenkombination sei zwar kurzfristig teurer, zahle sich aber langfristig aus. „Unsere Ergebnisse sind besonders für Entwicklungsländer relevant“, betont Sovinsky.

Internet-Breitbandanschluss für 75% der Weltbevölkerung bis 2025

Wer Zugang zum Internet hat, profitiere vom verbesserten Zugang zu Bildungsangeboten, wichtigen Gesundheitsinformationen und anderen Ressourcen. Daher hätten sich die UNESCO und die Internationale Fernmeldeunion zum Ziel gesetzt, 75 Prozent der Weltbevölkerung bis 2025 einen Breitbandanschluss zu ermöglichen.

Allerdings stünden politische Entscheidungsträger vor der Herausforderung, effektive Maßnahmen zu finden, um die Verbreitung des Internets voranzubringen. Bislang existierten kaum Untersuchungen zur Wirksamkeit solcher Maßnahmen in Entwicklungsländern.

Grad der Internetverbreitung in einem Stadtviertel gemessen

In dem neuen Diskussionspapier untersuchten die Ökonomen nach eigenen Angaben die Auswirkungen einer Preissubvention in Kolumbien, „die zwischen 2012 und 2015 zur Anwendung kam“. Die Subvention sei in Form einer Senkung der monatlichen Gebühren für Festnetz-Internet-Tarife mit einem Breitbandanschluss erfolgt.

Erstmals hätten die EPoS-Wissenschaftler den Grad der Internetverbreitung in einem Stadtviertel gemessen und diesen mit den Auswirkungen der Preissubvention sowie der Zunahme an Wahlmöglichkeiten für die Verbraucher verglichen.

Bezahlbarer Internetzugang als Basis der Bildung, Teilhabe und Wertschöpfung

„Unser Modell berücksichtigt den Einfluss, den die Entscheidung der Nachbarn auf die eigene Entscheidung hat, das Internet zu nutzen“, so Sovinsky. Offenbar gingen mehr Menschen online, „wenn sie die Vorteile in ihrem lokalen Umfeld sehen oder Empfehlungen aus ihrem sozialen Netzwerk erhalten“.

Der bezahlbare Zugang zu Informations- und Telekommunikationstechnologien habe für die Vereinten Nationen grundlegende Priorität und führe zu höherer Produktivität, besseren Bildungsergebnissen – und fördere die Wirtschaftstätigkeit.

Weiteren Informationen zum Thema:

UNIVERSITÄT BONN – EPoS – UNIVERSITÄT MANNHEIM, September 2023
Internet (Power) to the People: How to Bridge the Digital Divide

[datensicherheit.de, 22.09.2023] Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt zur Online-Diskussion zum Thema „Registermodernisierung, Steuer-Identifikationsnummer, Bund ID – Auf dem Weg zu einem Allgemeinen Personenkennzeichen?“ am 10. Oktober 2023 um 16 Uhr ein:

Persönliche Steueridentifikationsnummer soll zu einheitlichem Identifikationsmerkmal aufgewertet werden

Mit dem vom Bundestag beschlossenen Registermodernisierungsgesetz 2021 sollen demnach die mehr als 50 Register von Bund, Ländern und Kommunen vereinheitlicht werden. Dabei ist laut EAID beabsichtigt, die persönliche Steueridentifikationsnummer zu einem einheitlichen Identifikationsmerkmal aufzuwerten, um einen Abgleich der in den Registern gespeicherten Daten zu ermöglichen. Das Onlinezugangsgesetz sehe vor, dass die Bürger mit einer einheitlichen elektronischen Identität, der „Bund ID“, digitale Dienste von Bund, Ländern und Kommunen nutzen könnten.

„Die Online-Veranstaltung soll den Stand dieser Vorhaben beleuchten. Zudem soll diskutiert werden, ob damit ein allgemeines Personenkennzeichen (PKZ) durch die Hintertür eingeführt wird und wie die Vorhaben verfassungsrechtlich zu bewerten sind.“ Dabei solle auch über die Chancen und Potenziale alternativer Lösungen wie dem österreichischen System bereichsspezifischer Personenkennzeichen gesprochen werden.

Schaffung eines einheitlichen Rahmens für Online-Identifikation gegenüber Behörden wirft Fragen auf

„In den 1980er-Jahren hatte die damalige Bundesregierung angesichts der Rechtsprechung des Bundesverfassungsgerichts zum Datenschutz und zum Grundrecht auf Informationelle Selbstbestimmung die damals geplante Einführung eines Personenkennzeichens, mit dem verschiedenste Dateien des Bundes und der Länder verknüpft werden sollten, ad acta gelegt.“ Mit den aktuellen Planungen zur Verbesserung der Verknüpfbarkeit von Dateien und zur Schaffung eines einheitlichen Rahmens für die Online-Identifikation gegenüber Behörden würden die damals diskutierten Fragen wieder aktuell aufgeworfen werden.

„Registermodernisierung, Steuer-Identifikationsnummer, Bund ID –
Auf dem Weg zu einem Allgemeinen Personenkennzeichen?“
10. Oktober 2023, 16.00 bis 18.00 Uhr
Kostenfreie Online-Veranstaltung. Anmeldung per E-Mail unter Nennung des Namens und ggf. der Organisation an anmeldung [at] eaid-berlin [dot] de erforderlich.
Nach der Registrierung werden die Online-Zugangsdaten übermittelt.

Unter der Moderation von Peter Schaar und Annegrit Seyerlein-Klug (EAID) diskutieren

• Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit
• Ernst Bürger, Leiter der Abteilung „Digitale Verwaltung“ des Bundesministeriums des Innern und für Heimat
• Oliver Stutz, Geschäftsführer der Datenschutz Nord GmbH

Weiteren Informationen zum Veranstalter:

EAID
Der Verein

Web-Applikationen zur Verarbeitung persönlicher Informationen oft nicht ausreichend vor Angriffen geschützt

[datensicherheit.de, 21.09.2023] CyCognito rät zu konsequentem Risikomanagement – „als Basis zum Priorisieren und Beheben wichtiger Schwachstellen in der externen Cyber-Angriffsfläche“. Dieser Empfehlung liegen Erkenntnisse aus einer aktuellen Studie zugrunde: Demnach gehören Web-Anwendungen zu den „größten Sicherheitsrisiken der externen Cyber-Angriffsfläche von Unternehmen“ – und seien trotzdem „viel zu oft nicht ausreichend geschützt“. Dies sei ein zentrales Ergebnis des vorliegenden „State of External Exposure Management Report“. Laut CyCognito wurden im Rahmen dieser Studie zwischen Juni 2022 und Mai 2023 3,5 Millionen über das Internet erreichbare „Assets“ wie Zertifikate, Domänen, Web-Server, API-Endpunkte und Web-Apps auf Schwachstellen untersucht. „Dabei wiesen 70 Prozent eklatante Sicherheitslücken auf, und knapp drei Viertel der Anwendungen, die persönliche Informationen (PII) wie Klarnamen, Mail-Adresse, Kontodaten oder Passnummern verarbeiten, waren mindestens einer gefährlichen und öffentlich bekannten – aber vom Unternehmen bisher nicht behobenen – Schwachstelle ausgesetzt.“ Zehn Prozent dieser Apps hätten sogar eine für Angreifer leicht auszunutzende Lücke enthalten.

Abbildung: CyCognito

CyCognito rät zu regelmäßigen Überprüfung und Analyse betroffener Assets im Sinne eines konsequenten Risikomanagements…

Web-Apps machen 22% der typischen externen Cyber-Angriffsfläche aus

Von der äußeren Cyber-Angriffsfläche gehe für Unternehmen ein hohes Risiko aus. Um dieses effektiv zu minimieren, empfiehlt der CyCognito-Report, „neben regelmäßigen Überprüfungen die betroffenen ,Assets’ im Sinne eines konsequenten Risikomanagements im individuellen Kontext zu betrachten und entsprechend einzustufen, anstatt ausschließlich auf allgemeine Bewertungssysteme wie das ,Common Vulnerability Scoring System’ (CVSS) zu setzen.“ Denn nicht jede Sicherheitslücke berge für jedes Unternehmen die gleiche Gefahr.

Web-Apps machten 22 Prozent der typischen externen Cyber-Angriffsfläche aus und mindestens 30 Prozent von ihnen enthielten Sicherheitslücken. „Web-Applikationen werden oft zur Kommunikation mit Endkunden genutzt und stellen somit ein lohnendes Ziel für Cyber-Angriffe dar.“ Denn solche Apps arbeiteten häufig mit wertvollen personenbezogenen Daten und seien nicht nur anfällig für Fehlkonfigurationen, sondern auch für Zero-Day-Exploits.

Dass das von diesen Anwendungen ausgehende Risiko stark unterschätzt werde, zeigten die Zahlen des Reports: „Fast ein Drittel der untersuchten Web-Apps nutzen für die Kommunikation kein HTTPS-Protokoll, 70 Prozent wurden nicht von einer ,Web Application Firewall’ (WAF) geschützt, und 25 Prozent nutzten weder HTTPS noch eine WAF.“

56% der kritischen und hochsensiblen Schwachstellen über Web-Assets in Unterorganisationen

Die durch mit dem Internet verbundene „Assets“ entstehende äußere Cyber-Angriffsfläche von Unternehmen sei dynamisch und ständigen Änderungen unterworfen. Eine große Fluktuation aktiver und genutzter „Assets“ von etwa zehn Prozent im Monat erschwere es Unternehmen, einen Überblick zu behalten und die Bedrohungslage realistisch einzuschätzen.

„So ging ein Unternehmen von einem jährlichen Wachstum seiner äußeren Cyber-Angriffsfläche von drei Prozent aus, tatsächlich waren es 20 Prozent.“ Erschwert würden der Überblick und ein effektives Risikomanagement außerdem mit der Anzahl angegliederter Tochtergesellschaften:

„So fand eine frühere Studie von CyCognito heraus, dass 56 Prozent der kritischen und hochsensiblen Schwachstellen in der äußeren Angriffsfläche über ,Assets’ in Unterorganisationen entstehen.“

Individuellen Kontext beachten: Vor allem Web-Apps für Angreifer lohnendes Ziel

Um ein Risikomanagement der externen Cyber-Angriffsfläche auch unter komplexen Voraussetzungen möglichst effizient betreiben zu können, soll die Studie „CI(S)Os“ einige Empfehlungen an die Hand geben. So sollten Security-Teams nicht nur besonders gefährdete „Assets“ priorisieren, sondern untersuchen, welche bekannten Sicherheitslücken im unternehmenseigenen Kontext möglicherweise gar nicht so schwer wiegen – und die betroffenen „Assets“ entsprechend depriorisieren. Denn nicht immer seien die von offiziellen Standards wie CVSS bewerteten Schwachstellen für die eigene Organisation tatsächlich so gravierend, wie der offizielle Score vermuten lasse.

Der „State of External Exposure Management Report“ zeigt laut CyCognito: „Von den ,Assets’, die in einen Kontext gesetzt wurden, der unter anderem auch Verhaltensmuster von Angreifern berücksichtigt, konnten 35 Prozent trotz eines hohen CVSS-Scores als weniger kritisch eingestuft werden.“ Eine klare Priorisierung helfe Unternehmen, mit ihren begrenzten IT-Sicherheitsressourcen hauszuhalten und ihre individuell bedeutendsten Schwachstellen zuerst schließen zu können.

„Die externe Angriffsfläche eines Unternehmens verändert sich ständig, und diese Fluktuationen machen ein effektives Risikomanagement zu einer enormen Herausforderung“, betont Dr. Georg Hess, „Regional Sales Director“ bei CyCognito, in seiner Stellungnahme. Er warnt: „Vor allem Web-Apps sind für Angreifer ein lohnendes und oftmals einfach auszunutzendes Ziel.“ Um zu verhindern, dass sie zum Einfallstor werden können, sollten Organisationen neben regelmäßigen Tests auch eine individuelle, kontextbezogene Bewertung bekannter Schwachstellen für die eigenen IT-Systeme vornehmen – idealerweise unterstützt von einer zentralen Plattform, welche mit umfassenden Automatisierungskapazitäten Risiken aufdeckt und konsequent priorisiert.

Weitere Informationen zum Thema:

CYCOGNITO
Web Apps are Leaving PII Exposed
State of External Exposure Management Report

Auftaktveranstaltung am 5. Oktober 2023: Wie sammelt die ZLB digitales Kulturgut?

[datensicherheit.de, 21.09.2023] Die Zentral- und Landesbibliothek Berlin (ZLB) lädt zu einer Online-Gesprächsreihe ein, welche sich mit der Bewahrung des digitalen Kulturerbes befasst: Die Auftaktveranstaltung mit dem Titel „Wie sammelt die ZLB digitales Kulturgut?“ findet am 5. Oktober 2023 statt. Bis zum Jahresende 2023 stehen noch zwei weitere Online-Talkrunden auf dem Programm: „Who is missing?“ am 7. November und „Think with us! Partizipation in der Webarchivierung“ am 5. Dezember 2023, jeweils um 18 Uhr.

Abbildung: ZLB

Bewahrenswertes Digital-Vermögen: Kultur liegt zunehmend in digitaler Form vor und Digitales repräsentiert Kultur unserer Zeit!

Ab Herbst 2023 gesetzlicher Auftrag, digitale Publikationen aus Berlin zu sammeln und zu bewahren

Kultur liegt zunehmend auch in digitaler Form vor und Digitales repräsentiert die Kultur unserer Zeit: Dazu gehören u.a. Blogs, Webseiten, PDFs, E-Books, E-Journals, E-Papers… Die Formate und Inhalte digitaler Veröffentlichungen sind gewiss so vielfältig, wie die Menschen, welche sie benutzen.

Ab Herbst 2023 hat die sogenannte digitale Landesbibliothek den gesetzlichen Auftrag, digitale Publikationen aus Berlin zu sammeln und zu bewahren. Die Vorbereitungen dafür laufen demnach seit drei Jahren.

Einführung in aktuelle Arbeitsweise der digitalen Landesbibliothek

In diesem Zusammenhang stehen zahlreiche Fragen im Raum: „Aber wie kommt das E-Book in die digitale Landesbibliothek? Was wird ab Ende des Jahres gesammelt? Warum wird anderes (noch) nicht gesammelt? Wie funktioniert die Ablieferung digitaler Publikationen? Und wo und wie sind sie dann auffindbar?“

Im Rahmen der Online-Veranstaltung soll die aktuelle Arbeitsweise der digitalen Landesbibliothek vorgestellt werden, wie auch ihre Kooperationen mit der Deutschen Nationalbibliothek und das E-Pflicht-Portal zur Ablieferung.

Auftakt am 5. Oktober 2023: Wie die ZLB digitales Kulturgut sammelt

„#1 Wie sammelt die ZLB digitales Kulturgut?“
Donnerstag 05.10.2023, 16.00Uhr, online, in Deutsch
Anmeldung erforderlich per E-Mail an leonie [dot] rodrian [at] zlb [dot] de

„Im Anschluss beantworten wir Fragen und freuen uns über Rückmeldungen.“ Außerdem möchten die Organisatoren mit Interessierten in einem aktiven Format darüber diskutieren, wie digitale Kulturgutbewahrung in der Zukunft aussehen soll: „Welche Formate spielen in Ihrer und Eurer digitalen Praxis eine Rolle und müssen in 200 Jahren unbedingt noch zugänglich sein?“

Weitere Informationen zum Thema:

zlb
Digitales Kulturgut / Collect and Connect

Offenkundig ein Paradigmenwechsel laut einer unter leitenden Angestellten aus den Bereichen IT und IT Security durchgeführten Befragung

[datensicherheit.de, 20.09.2023] Laut aktuellen Erkenntnissen von Trend Micro möchte die Mehrheit der deutschen Unternehmen eigene Digitalisierungsprojekte mittels Modernisierung der IT-Sicherheit vorantreiben. Grundlage ist demnach eine vom Marktforschungsunternehmen Mindfacts im Auftrag von Trend Micro unter 300 leitenden Angestellten aus den Bereichen IT und IT Security durchgeführte Befragung – in Unternehmen mit mehr als 250 Mitarbeitern. Diese gehörten verschiedenen Branchen an: „Je 30 Prozent der Teilnehmer stammen aus dem Gesundheitswesen und aus Behörden.“ Die Umfrage habe im September und Oktober 2022 stattgefunden – auf Basis der Ergebnisse sei vom Brandenburgischen Institut für Gesellschaft und Sicherheit (BIGS) eine empirische Analyse durchgeführt worden: Es habe Zusammenhänge untersucht und unter anderem ermittelt, „welche Faktoren zu eher strategischen oder reaktiven Investitionen in IT-Sicherheit führen“.

Abbildung: TREND MICRO

Studie zur Cyber-Sicherheit: „IT-SECURITY ALS WEGBEREITER“

Umfrage zur Risikowahrnehmung, Investitionsverhalten und Rolle der IT-Sicherheit

„Cybersecurity gilt einer Mehrheit der deutschen Unternehmen nicht länger als Hindernis, sondern wird zunehmend als Wegbereiter für die Digitalisierung und Geschäftsentwicklung wahrgenommen.“ Für die zugrundeliegende Studie seien Führungskräfte aus der „IT“ und „IT-Security“ zu ihrer Risikowahrnehmung, ihrem Investitionsverhalten und der Rolle der IT-Sicherheit in ihren Geschäftsmodellen befragt worden. Auf Basis dieser Daten habe das BIGS in einer empirischen Analyse Zusammenhänge ermittelt.

Cyber-Angriffe seien heute das größte Geschäftsrisiko. „Sich vor ihnen zu schützen, ist daher eine ökonomische Notwendigkeit.“ Mehr als drei Viertel (76%) der deutschen Unternehmen mit über 250 Mitarbeitern erachte die IT-Sicherheit als „wichtig“ für die Wirtschaft. Doch dabei gehe es nicht mehr nur darum, Schaden zu vermeiden. Zunehmend werde IT Security als Chance für die Geschäftsentwicklung wahrgenommen: So wollten zwei Drittel der Befragten (66%) Digitalisierungsprojekte durch Modernisierung der IT-Sicherheit vorantreiben. 79 Prozent der strategisch in IT Security investierenden Unternehmen, hielten dies für „relevant“, um neue Geschäftsmodelle zu entwickeln.

„Die Studie zeigt, dass sich die Wahrnehmung der IT-Sicherheit in wesentlichen Bereichen geändert hat“, erläutert Dr. Tim Stuchtey, Geschäftsführender BIGS-Direktor. In der Vergangenheit habe sie häufig noch als Innovationsbremse gegolten. Mittlerweile habe die Mehrheit der befragten Unternehmen erkannt, „dass IT-Security vielmehr die Voraussetzung für die Digitale Transformation schafft“. Sie eröffne neue Geschäftsfelder und lasse sich gewinnbringend in das eigene Geschäftsmodell integrieren. Dr. Stuchtey betont: „Cybersecurity wird nicht länger als Verhinderer betrachtet, sondern ist zum ,Enabler’ geworden.“

Strategische Investitionen in IT-Sicherheit sinnvoll

Zunehmend setze sich das Bewusstsein durch, dass Investitionen in die IT-Sicherheit wirtschaftlich profitabel seien: 64 Prozent der befragten Unternehmen finden demnach, dass IT Security einen „Mehrwert für den Kunden“ bringt, und 59 Prozent nutzen nach eigenen Angaben ihr IT-Sicherheitskonzept bereits für Marketingzwecke. Auch bei Verbrauchern wachse das Bewusstsein für das Thema. Sie erwarteten daher von Unternehmen, „dass sie Kundendaten bestmöglich schützen“. Folglich könne eine gute IT-Security eine Marke stärken. Umgekehrt wirkten sich unzureichende Sicherheitsmaßnahmen negativ auf den Ruf eines Unternehmens aus. Häufig sei der durch den Reputationsverlust entstehende Schaden am Ende deutlich höher als die für Präventivmaßnahmen anfallenden Kosten.

Grundsätzlich seien die Investitionen in die Cyber-Sicherheit in fast allen Branchen in den vergangenen 24 Monaten gestiegen. Aber wie Unternehmen dabei vorgehen – eher strategisch oder eher reaktiv? – zeige die Studie: „Wer schon einmal von einem Cyber-Angriff betroffen war oder Schaden durch künftige Attacken befürchtet, investiert vorwiegend strategisch in Security.“ Das Gleiche treffe auf Unternehmen zu, die in der IT-Sicherheit einen Beitrag zur Wertschöpfungskette und einen Mehrwert für ihre Kunden sehen. Reaktiv investierten dagegen eher diejenigen ohne bisherige Erfahrung mit Cyber-Angriffen, welche noch über ein geringes Risikobewusstsein verfügten und IT Security als „weniger relevant“ für die Wirtschaft erachteten.

„Die Erfahrung der vergangenen Jahre zeigt, dass strategische Investitionen in die IT-Sicherheit notwendig sind – und sich auszahlen“, unterstreicht Hannes Steiner, „Vice President Germany“ bei Trend Micro. Er stellt klar: „Cyber-Sicherheit ist zur Chefsache geworden!“ Unternehmen stehen Steiner zufolge vor der Herausforderung, ihre sensiblen Daten und Systeme vor den Bedrohungen durch Cyber-Kriminalität zu schützen. Die Verantwortung liege dabei sowohl bei den IT- und Geschäftsentscheidern. Gemeinsam müssten sie sicherstellen, „dass umfassende Cyber-Sicherheitsmaßnahmen in das ,Ökosystem’ integriert werden, um das Vertrauen der Kunden und Partner zu gewährleisten und Geschäftskontinuität zu sichern“.

Weitere Informationen zum Thema:

TREND MICRO
Studie zur Cybersicherheit / IT-SECURITY ALS WEGBEREITER

Der BVSW Cyberherbst hat zum Ziel, Unternehmen, Behörden und Betreiber Kritischer Infrastrukturen gleichermaßen zu sensibilisieren

[datensicherheit.de, 20.09.2023] Am 6. Oktober 2023 startet der Bayerische Verband für Sicherheit in der Wirtschaft (BVSW) eine Informationskampagne zum Thema IT-Sicherheit: Demnach soll der „Cyberherbst 2023“ neue Angriffsmethoden sowie gesetzliche Rahmenbedingungen thematisieren und Möglichkeiten aufzeigen, wie Unternehmen sich besser schützen können.

Abbildung: BVSW e.V.

BVSW Cyberherbst: Start am 6. Oktober 2023

Auftakt zum diesjährigen BVSW Cyberherbst ein Business-Frühstück in Präsenz

Boris Bärmichl, BVSW-Vorstand „Digital“, erläutert: „Cyber-Kriminalität ist mittlerweile Teil der Organisierten Kriminalität und stellt eine ernsthafte Bedrohung für die Gesellschaft dar!“ Um das Bewusstsein für diese Herausforderung zu schärfen, möchte der BVSW demnach mit seinem „Cyberherbst“ Einblick in die aktuellsten Entwicklungen geben.

Der „Cyberherbst“ soll laut BVSW Unternehmen, Behörden und Betreiber Kritischer Infrastrukturen (KRITIS) gleichermaßen sensibilisieren – „denn ein fundiertes Informationsniveau ist die Basis für jede Verteidigungsstrategie“. Auftakt zum diesjährigen „Cyberherbst“ soll ein Business-Frühstück in Präsenz sein, „bei dem über die Ermittlung des individuellen Schutzbedarfs einer Organisation gesprochen wird“. Alle weiteren Informationsveranstaltungen fänden dann online statt, „so dass Interessenten bequem von überall aus teilnehmen können“.

BVSW Cyberherbst 2023 widmet einen Tag der OT

Ein Tag der Informationskampagne werde der sogenannten Operational Technology (OT) gewidmet – also solchen Systemen, welche die industrielle Infrastruktur überwachen und steuern. „Im Rahmen der Digitalisierung wurden sie zunehmend vernetzt und mit dem Internet verbunden, oft ohne die notwendigen Sicherungsmaßnahmen.“

Ein besorgniserregender Trend sei, dass Cyber-Kriminelle zunehmend OT-Systeme ins Visier nähmen, „die in Bereichen wie Energie, Transport, Fertigung und Wasserversorgung eingesetzt werden“. Auch die Europäische Union (EU) habe diese Entwicklung erkannt und deshalb die NIS2-Richtlinie auf den Weg gebracht, „die deutlich mehr Unternehmen den kritischen Diensten zuordnet, als das bisher der Fall war“. Was das für Unternehmen bedeutet, werde beim „Cyberherbst 2023“ thematisiert.

Auch Darknet und KI auf der Agenda des BVSW Cyberherbstes

Eine weitere Veranstaltung werde sich dem sogenannten Darknet widmen, „wo ein Großteil der Kommerzialisierung der Cyber-Kriminalität stattfindet“. Darin werde Schadsoftware angeboten, ebenso wie gestohlene Daten oder Passwörter. Diesen versteckten Teil des Internets im Auge zu behalten, könne sehr aufschlussreich sein und Hinweise auf potenzielle Angriffe geben.

Auch das Thema Künstliche Intelligenz (KI) stehe auf der Agenda. Wie jede technische Neuerung bringe auch KI nicht nur Vorteile mit sich: Sogenannte Chatbots wie „ChatGPT“ beispielsweise könnten eingesetzt werden, um authentische Phishing-Mails zu verfassen. Damit werde es zukünftig immer schwerer, eine schädliche E-Mail zu erkennen: „Grund genug, um auch diesem Thema einen Beitrag zu widmen!“

Weitere Informationen zum Thema:

BVSW
BVSW Cyberherbst: Aktuelle Bedrohungen kennen und abwehren

BVSW
IT & Digital

Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

[datensicherheit.de, 19.09.2023] Sogenannte Deepfakes – d.h. verblüffend authentisch wirkende Videos (und andere Medien), welche Menschen oder Szenen mittels Technologie imitieren – existieren bereits seit Jahren und werden zunehmend für diverse Anwendungszwecke eingesetzt. „So können z.B. mithilfe der Technik bereits verstorbene Künstler wie Salvador Dalí als Teil von interaktiven Ausstellungen wieder zum Leben erweckt werden“, berichtet Morgan Wright, „Chief Security Advisor“ bei SentinelOne. Eine proaktive Zusammenarbeit zwischen Technologieunternehmen, Regulierungsbehörden und der Gesellschaft sei unabdingbar, um dem Anstieg betrügerischer „Deepfakes“ begegnen zu können.

Foto: SentinelOne

Morgan Wright: Gesellschaft muss digitaler Bildung Vorrang einräumen!

Deepfake-Möglichkeiten der Bedrohungsakteure massiv zugenommen

„In der heutigen Zeit, wo viele Nationen mit globalen Unwägbarkeiten und politischer Instabilität zu kämpfen haben, geht es für Regierungen aber nicht um den Einsatz von KI zur Erzeugung von Spezialeffekten, futuristischer Kulissen oder dystopischen Zukunftsszenarien“, führt Wright aus.

Vielmehr bedeuteten die außergewöhnlichen Fortschritte in der Künstlichen Intelligenz (KI), dass die Möglichkeiten und Werkzeuge der Bedrohungsakteure nun massiv gewachsen seien.

Sie könnten beispielsweise Wahlwerbespots mit computergenerierten Fake-Bildern von Kandidaten produzieren, „die lebensecht erscheinen, um inkriminierende Fehldarstellungen dieser Kandidaten darzustellen“.

Auswirkungen von Deepfakes auf politische Prozesse

Eine Erzählung brauche ein fesselndes Element, um sie im Gedächtnis der Zielgruppe zu verankern. Bei Filmen gehe es um Unterhaltung und die Flucht vor der Realität – oft sei das in der Politik nicht viel anders.

Das fesselnde Element könne ein Bild, ein Audio-Clip oder ein Video sein. Die Fortschritte im Bereich KI hätten sowohl in der Unterhaltungsbranche als auch als Werkzeug für Täuschung ganz neue Möglichkeiten eröffnet. KI benötige große Datenmengen, um effektiv trainiert werden zu können und verlässliche sowie hochwertige Antworten zu liefern.

Wright erläutert: „Je mehr Inhalt, desto besser kann KI die angestrebten Ergebnisse erzielen. Für Bedrohungsakteure deren Ziel die Manipulation menschlichen Verhaltens und die Veränderung zuvor gesicherter Überzeugungen ist, stellt die Fülle von Audio-, Video- und Bilddateien in der politischen Sphäre einen erstklassigen Trainingsplatz dar.“

Falschinformationen: Deepfakes als sehr gefährliche und wirksame politische Waffe

„Die Geschichte hat uns gelehrt, dass Lügen oftmals leichter verbreitet werden als die Wahrheit und sehr schwer zu korrigieren sind“, warnt Wright. In unseren Köpfen gebe es eine direkte Verbindung der eigenen Wahrnehmung hin zu unserem Verständnis von Realität, und es falle uns sehr schwer, dieses anfänglich erzeugte Bild der Realität kritisch zu hinterfragen.

Dieses Phänomen habe ein erhebliches rechtliches und technisches Dilemma geschaffen: „Wie können wir sicher sein, dass ein Video kein ,Deepfake’ ist? Wie beweist man, dass etwas nicht passiert ist?“ Und die größere Frage, welche sich uns stelle: „Wie können wir definitiv beweisen, dass etwas gefälscht ist?“

Im Jahr 2023 habe KI sich in vielen Bereichen bereits weit über die grundlegende menschliche Fähigkeit hinaus entwickelt: Sie ermögliche es, täuschend echte Aufnahmen – ein Bild, ein Video oder eine Stimme – sehr schnell und unkompliziert zu fälschen. Es würden Situationen geschaffen, in denen die Wahrnehmung in den Köpfen der Menschen beeinflusst werden könne – durch gezielte Falschinformationen, „was eine sehr gefährliche und wirksame politische Waffe darstellt“.

Täuschung der Massen mit Deepfakes

„Deepfakes“ seien dadurch eine neue Art der „Weapons of Mass Deception“, also Waffen der Massentäuschung, geworden. Die größte Auswirkung von „Deepfake“-Videos sei nicht die Tatsache, „dass sie gefälscht sind“. Es seien die Nachwirkungen der Täuschung, welche auch lange nach der Entdeckung der Wahrheit in den Köpfen der Menschen bestehen blieben – ein äußerst mächtiges Werkzeug in den Händen von Bedrohungsakteuren.

Diese Art von Szenario und seine potenziellen Folgen habe bereits 1710 Jonathan Swift, der Autor von „Gullivers Reisen“, beleuchtet. In einem Artikel für „The Examiner“ bemerkte er demnach: „Wenn eine Lüge nur eine Stunde lang geglaubt wird, hat sie ihre Arbeit getan, und es besteht keine weitere Notwendigkeit dafür. Die Falschheit fliegt, und die Wahrheit kommt hinkend nach, so dass, wenn die Menschen wieder aufgeklärt werden, es zu spät ist; der Witz ist vorbei, und die Geschichte hat ihre Wirkung entfaltet.“

Eine große Chance für Sicherheitsteams in der Bekämpfung von durch KI optimierten „Deepfakes“, bestehe nun darin, selbst KI einzusetzen, „die darauf trainiert wurde, ,Deepfakes’ zu erkennen“. Aber auch andere Prozesse seien vonnöten: „Angesichts der Bedrohung durch ,Deepfakes’ muss die Gesellschaft der digitalen Bildung Vorrang einräumen, den Einzelnen in die Lage versetzen, zwischen echten und manipulierten Medien zu unterscheiden, in Technologien zur Erkennung von ,Deepfakes’ investieren und rechtliche Rahmenbedingungen schaffen, um böswillige Nutzung zu verhindern.“

Weitere Informationen zum Thema:

The Dalí Museum, 08.05.2019
Behind the Scenes: Dalí Lives

[datensicherheit.de, 19.09.2023] Die „Unit 42“, das Malware-Forschungsteam bei Palo Alto Networks, hat neue Erkenntnisse zur Cyber-Kriminellen-Gruppe „Muddled Libra“ veröffentlicht. Die Hacker stecken demnach offensichtlich hinter einem der „spektakulärsten Cyber-Angriffe in den USA“, welcher den Betrieb mehrerer Casinos und Hotels in Las Vegas zum Erliegen brachte. „Laut Medienberichten hatten die Mitglieder der Gruppe bereits im vergangenen Jahr auch andere große Unternehmen angegriffen, indem sie sich durch Gespräche Zugang zu Netzwerken verschafft hatten.“ Die Forscher der „Unit 42“ gehen nach eigenen Angaben davon aus, dass die Mitglieder von „Muddled Libra“ englische Muttersprachler sind, was es ihnen erleichtere, ihre Social-Engineering-Angriffe durchzuführen. Die beobachteten Angriffsziele dieser Cyber-Kriminellen schienen sich aktuell noch hauptsächlich auf die USA zu konzentrieren.

Muddled Libra agiert an Schnittstelle zwischen Social Engineering und Technologieanpassung

MGM Resorts, Betreiber vieler der beliebtesten Casinos und Hotels in Las Vegas (darunter das „Bellagio“), sei immer noch damit beschäftigt, die Folgen des Angriffs zu beheben. „Hacker hatten Anfang vergangener Woche den Betrieb erheblich gestört, was zu Schließungen in den Casinos führte. Hotelgäste waren nicht in der Lage, ihre Zimmer mit Schlüsselkarten zu betreten. MGM-Mitarbeiter konnten am Freitagmorgen immer noch nicht auf ihre Firmen-E-Mails zugreifen.“ Am Nachmittag der 15.September 2023 habe MGM mitgeteilt, dass zwar einige Systeme noch immer von dem Angriff betroffen seien, die überwiegende Mehrheit der Hotels jedoch den Betrieb wiederaufgenommen habe.

„Muddled Libra“ agiere an der Schnittstelle zwischen listigem „Social Engineering“ und geschickter Technologieanpassung. Diese Bedrohungsgruppe sei mit Business-IT bestens vertraut und stelle selbst für Unternehmen mit gut ausgebauter Cyber-Abwehr ein erhebliches Risiko dar. Die Forscher und „Incident Responder“ der „Unit 42“ hätten mehr als ein halbes Dutzend zusammenhängender, „Muddled Libra“ zuzuordnender Vorfälle von Mitte 2022 bis Anfang 2023 untersucht. Die Bedrohungsgruppe ziele bevorzugt auf solche großen Outsourcing-Firmen ab, welche hochwertige Krypto-Währungsinstitutionen und Einzelpersonen bedienen. Die Bekämpfung von „Muddled Libra“ erfordere eine Kombination aus strengen Sicherheitskontrollen, sorgfältigen Schulungen des Sicherheitsbewusstseins und aufmerksamer Überwachung.

Wechselnde Taktiken von Muddled Libra gehen oft fließend ineinander über

Seit dem 15. September 2023 sei die „Unit 42“ an der Aufklärung von mehreren weiteren Fällen beteiligt, die „Muddled Libra“ zugeschrieben werden. Die Forscher hätten zusätzliche, von dieser Gruppe eingesetzte Methoden beobachtet. „Die wechselnden Taktiken von ,Muddled Libra’ gehen oft fließend ineinander über und passen sich schnell an die Zielumgebung an.“ Primäre Taktik sei nach wie vor auf den IT-Support eines Unternehmens abzielendes „Social Engineering“.

„In nur wenigen Minuten gelang es den Angreifern beispielsweise, ein Konto-Passwort zu ändern und später die Multi-Faktor-Authentifizierung des Opfers zurückzusetzen, um sich Zugang zu den Netzwerken zu verschaffen.“ Eine auffällige Veränderung der Taktiken, Techniken und Verfahren sei die starke Nutzung von anonymisierenden Proxy-Diensten. Die Angreifer nutzten diese Proxy-Dienste, „um ihre IP-Adressen zu verschleiern und den Anschein zu erwecken, dass sie sich in einem lokalen geografischen Gebiet befinden“.

Weitere Informationen zum Thema:

CYBERSECURITAY DIVE, David Jones, 18.09.2023
MGM, Caesars attacks raise new concerns about social engineering tactics / Multiple threat groups have employed the same criminal tool kit to target vulnerable systems.

CyberWire, now N2K Cyber auf YouTube, 02.09.2023
Thwarting Muddled Libra

UNIT 42, Kristopher Russo & Austin Dever & Amer Elsad, 21.06.2023
Threat Group Assessment: Muddled Libra (Updated)

KRITIS-Betreiber sollten sich bereits im Vorfeld von Ereignissen oder Vorfällen auf diese konzeptionell, planerisch und organisatorisch vorbereiten

[datensicherheit.de, 18.09.2023] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg vertreten durch it’s.BB e.V. lädt wieder zu einer in Kooperation mit der IHK Berlin organisierten „Awareness-Veranstaltung“ ein – diesmal zum Thema „KRITIS und Risikomanagement“:

Abbildung: it’s.BB e.V.

Einladung zur Awareness-Veranstaltung zum Thema KRITIS und Risikomanagement

KRITIS-Betreiber müssen Bedrohungen und Gefährdungen rechtzeitig identifizierten

Für die Betreiber Kritischer Infrastrukturen (KRITIS) ist es offensichtlich wichtig, sich bereits im Vorfeld von Ereignissen oder Vorfällen auf diese konzeptionell, planerisch und organisatorisch vorzubereiten – d.h. Bedrohungen und Gefährdungen rechtzeitig zu identifizierten.

Der eigene Schutzbedarf sollte dabei so berücksichtigt werden, dass Risikoanalysen zielgerichtet durchgeführt und die eigenen Risiken beurteilt (identifiziert, analysiert, eingeschätzt und bewertet) sowie behandelt werden können.

Effektives KRITIS-Risikomanagement entscheidend für Handlungsfähigkeit

Annahmen über die Eintrittswahrscheinlichkeit oder Plausibilität von Ereignissen, zur Verwundbarkeit und Kritikalität von Prozessen im Informationsverbund sowie zu erwartenden negativen Folgen inkl. Abschätzung des Schadensausmaßes können helfen, eine geeignete Risikobehandlung auszuwählen. „Zur Auswahl der Maßnahmen einer Risikobehandlung spielen auch Risikostrategien (Akzeptanz, Vermeidung, Verminderung, Auslagerung, usw.) eine wesentliche Rolle.“

Ein effektives Risikomanagement sei entscheidend, um handlungsfähig zu bleiben, Krisenlagen besser zu bewältigen und (Informationssicherheits-)Risiken angemessen zu steuern.

Einladung zu Hybridveranstaltung zum KRITIS-Risikomanagement

Das Seminar findet als Hybrid-Veranstaltung statt
am Mittwoch, dem 20. September 2023 von 16.00 bis 17.30 Uhr
online oder vor Ort (IABG mbH, Friedrichstraße 185, 10117 Berlin, im Haus E, 3. Etage)
Anmeldung erforderlich

Agenda (ohne Gewähr)

16.00-16.15 Uhr Begrüßung
Christian Köhler, Geschäftsführer der NKMG mbH & Vorstandsvorsitzender des it’s.BB e.V.
Henrik Holst, IHK Berlin

16.15-16.50 Uhr

• • Einleitung/Einführung KRITIS und Risikomanagement
  • Initiierung des Sicherheitsprozesses
  • Risikomanagement als Teil eines Gesamtprozesses
  • Methodiken und Ablauf einer Risikoanalyse
  • Praxisbeispiel
  • „Q&A“

Christian Köhler, NKMG mbH

16.50-17.30 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung (vor Ort oder online):

eventbrite (Präsenzveranstaltung)
Mittwoch, 20. September / KRITIS und Risikomanagement – Teilnahme vor Ort

eventbrite (Web-Übertragung)
Mittwoch, 20. September / KRITIS und Risikomanagement – Online-Teilnahme

[datensicherheit.de, 18.09.2023] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat in seinem Kommentar vom 7. September 2023 das neue Bundesdatenschutzgesetz als „Fortschritt“ bezeichnet, fordert aber dazu auf, die „Länderrolle“ widerzuspiegeln.

Bundesdatenschutzgesetz soll Datenschutz-Grundverordnung ergänzen und präzisieren

Anfang August 2023 hat demnach das Bundesinnenministerium den Entwurf für ein novelliertes Bundesdatenschutzgesetz veröffentlicht – die deutschen Datenschutzbehörden haben dazu Position bezogen. Der LfDI RLP, Prof. Dr. Dieter Kugelmann, hat nach eigenen Angaben daran wesentlich mitgewirkt: „Wir haben einige Punkte identifiziert, die der Nachschärfung bedürfen. An einem Punkt ist der Entwurf ein Fortschritt: Erstmalig wird darin die schon lange existierende Datenschutzkonferenz als etabliertes Format der Zusammenarbeit zwischen den deutschen Datenschutzaufsichtsbehörden gesetzlich anerkannt.“

Das Bundesdatenschutzgesetz ergänze und präzisiere die Datenschutz-Grundverordnung (DSGVO) der EU in Bereichen, welche die EU-Staaten jeweils selbst ausgestalten dürften. In Deutschland regele das Bundesdatenschutzgesetz den Datenschutz bei privaten Unternehmen sowie Einrichtungen und insbesondere auch die Zuständigkeiten der Datenschutzaufsichtsbehörden der Länder und des Bundes.

Datenschutzkonferenz soll gesetzlich festgeschrieben werden

Die im Entwurf nun faktisch vorgesehene Institutionalisierung der Datenschutzkonferenz (DSK) hätten die 18 deutschen Datenschutzaufsichtsbehörden in ihrer gemeinsamen Stellungnahme ausdrücklich begrüßt. Die DSK sei als Format für die gelingende Zusammenarbeit der Behörden seit Langem etabliert. Professor Kugelmann leitet den im Jahr 2020 gegründeten Arbeitskreis „DSK 2.0“, welcher auf die weitere Intensivierung und Professionalisierung hinarbeiten soll. Schon heute habe die DSK eine Geschäftsordnung und lasse Mehrheitsbeschlüsse zu.

„Der vorliegende Gesetzentwurf schreibt insoweit die Fortschritte fest, die wir in den vergangenen Monaten erzielt haben. Das ist gut.“ Was in diesem Gesetzentwurf jedoch fehle, sei die Einrichtung einer DSK-Geschäftsstelle. Professor Kugelmann betont: „Die Datenschutzkonferenz braucht eine Geschäftsstelle, um dauerhaft effizient arbeiten zu können. Ich bedaure, dass die Chance zur organisatorischen Festlegung des Gremiums im Gesetzentwurf noch nicht genutzt wurde. Ich werde mich weiter für die Einrichtung einer Geschäftsstelle einsetzen.“

Zuständigkeit der Länder für den Datenschutz auf föderaler Ebene und Mitwirkung auf EU-Ebene

Neben der gemeinsamen DSK-Stellungnahme haben die Landesdatenschutzaufsichtsbehörden laut LfDI RLP eine zweite, eigene Stellungnahme an das Bundesinnenministerium geschickt. Diese Stellungnahme der Länder gehe insbesondere auf diejenigen Aspekte des Gesetzentwurfs ein, welche die Verteilung der Zuständigkeiten der Aufsichtsbehörden auf föderaler Ebene und die Mitwirkung auf der Ebene der EU betreffen. Professor Kugelmann moniert: „Einige der vorgesehenen Änderungen fallen hinter die Lösungen zurück, die die Aufsichtsbehörden in der Praxis für eine schnelle und gute Abstimmung schon gefunden haben.“

Die Stellungnahme formuliere daher aus Ländersicht konstruktive Vorschläge zu denjenigen Passagen im Gesetzentwurf, welche etwa länderübergreifende Datenverarbeitungsvorhaben und die deutsche Vertretung auf EU-Ebene betreffen. Abschließend unterstreicht Professor Kugelmann: „Als rheinland-pfälzischer Landesdatenschutzbeauftragter leitet mich stets das Ziel, eine einheitliche Anwendung der DS-GVO für alle Bürgerinnen und Bürger, die Wirtschaft und die Verwaltung zu erreichen, ohne die zahlreichen Vorteile der regionalen Zuständigkeit zu verlieren.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 06.09.2023
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

LfDI RLP, 06.09.2023
Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023