Marc Schieder fordert IT-Security zur „Chefsache“ zu machen

[datensicherheit.de, 20.01.2020] AGCS (Allianz Global Corporate & Specialty), Tochter des Versicherungskonzerns Allianz, hat ihr neues „Risikobarometer“ vorgestellt – inzwischen zum neunten Mal in Folge. Grundlage sei eine Befragung unter mehr als 2.700 Risikoexperten aus über 100 Ländern bezüglich der wichtigsten Bedrohungen für Unternehmen. Diese Studie zeige, dass Cyber-Vorfälle erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit darstellten, kommentiert Marc Schieder, „CIO“ von DRACOON. Weitere Gefahren seien Betriebsunterbrechungen und „rechtliche Veränderungen“ – hierzu zählten Zölle, Sanktionen, der sogenannte Brexit und zunehmender Protektionismus als zentrale Anliegen für Betriebe.

Foto: DRACOON

Marc Schieder: Datenschutz und IT-Sicherheit haben oberste Priorität

Datenpannen, Ransomware- und Spoofing-Vorfälle

„Cybercrime“ stelle nicht nur das bedeutendste Risiko weltweit dar, sondern rangiere auch in Deutschland und zahlreichen anderen Ländern unter den ersten drei Plätzen. In einigen Ländern nähmen IT-Sicherheitsvorfälle sogar die erste Position ein – so etwa in Belgien, Frankreich, Indien, Südafrika, Südkorea, Österreich, Schweden, der Schweiz, Spanien, Großbritannien und den USA. Laut AGCS habe sich die Bedrohungslage in diesem Bereich verschärft, denn – neben immer teurer werdenden Datenpannen – sei auch die Zahl der Ransomware- und Spoofing-Vorfälle gestiegen.
Außerdem müssten Unternehmen bei Verstößen gegen Datenschutzgesetze wie der DSGVO mit immer höheren Bußgeldern rechnen. Schieder: „So zitiert der Versicherer eine Studie des Ponemon Institutes, laut der ein schwerer Datendiebstahl Firmen durchschnittlich 42 Millionen Dollar kostet.“ Dies beziehe sich auf einen Verlust von mehreren Millionen Datensätzen und entspreche einem Zuwachs von acht Prozent im Vergleich zum Vorjahr.

Innerhalb des Betriebes eine Sicherheitskultur aufbauen!

„Die Erhebung verdeutlicht, dass Unternehmen die Themen Datenschutz und IT-Sicherheit zu ihrer obersten Priorität machen sollten“, unterstreicht Schieder. Heutzutage könne es sich kein Unternehmen mehr leisten, die Risiken zu ignorieren und diese „nebenher“ zu behandeln. Vielmehr müsse innerhalb des Betriebs eine Sicherheitskultur aufgebaut werden – „diese geht von oberster Stelle, also vom CEO, beziehungsweise Aufsichtsrat aus und alle Mitarbeiter jeglicher Abteilungen ziehen hier an einem Strang“.
Schulungen zum richtigen Umgang mit sensiblen Daten und dem Verhalten bei Vorfällen seien wichtig, könnten allerdings nur unterstützend wirken. Damit auf technischer Ebene schwerwiegende Datenverluste verhindert werden, sollte das Unternehmen auch technisch auf dem neuesten Stand sein. So lohne sich auf jeden Fall eine umfassende Modernisierung der IT-Infrastruktur. Der „aktuelle Stand der Technik“ werde schließlich auch explizit in Artikel 25 („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) der DSGVO erwähnt.

Datenschutz schon bei der Produktentwicklung miteinbeziehen!

Konkret könnten Betriebe File-Server, USB-Sticks, VPN oder FTP durch moderne Lösungen für „File Services“ ersetzen. Insgesamt sei es wichtig, „dass Unternehmen bei der Wahl ihrer Anwendungen darauf achten, dass Datenschutz schon bei der Produktentwicklung miteinbezogen wurde“.
Schieder erläutert: „Ein konkretes Beispiel ist etwa, dass die Verschlüsselung so einfach integriert wurde, dass sich der Anwender bei der Verwendung keine Gedanken mehr machen muss, was er genau beim Speichern oder Bearbeiten der Daten beachten muss. Ebenso muss der Schlüssel zur Entschlüsselung der Dateien immer beim Besitzer bleiben.“ Wenn Unternehmen kontinuierlich an internen Vorgängen zur Gefahrenabwehr arbeiten und auch technisch höchste Ansprüche an die IT-Sicherheit haben, „sind sie in Zeiten der wachsenden Bedrohungslage gut gewappnet“.

Weitere Informationen zum Thema:

Allianz, 14.01.20202
Allianz Risk Barometer 2020: Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf

IBM
How much would a data breach cost your business? / The 2019 Cost of a Data Breach Report explores financial impacts and security measures that can help your organization mitigate costs

The post Allianz-Studie: Cybercrime als Sicherheitsrisiko Nummer 1 appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 16.01.2020] Stu Sjouwerman, Gründer und „CEO“ von KnowBe4, geht in seiner aktuellen Stellungnahme auf Phishing-E-Mails mit Lockangeboten und Sicherheitsmeldungen ein – diese sind demnach „am erfolgreichsten“. Seine Anmerkungen stehen im Zusammenhang mit dem gerade veröffentlichten „Q4 2019 Phishing Report“ seines Hause. In diesem Report untersuchte KnowBe4 nach eigenen Angaben Zehntausende von E-Mail-Betreffzeilen aus simulierten Phishing-Tests. Das Unternehmen habe auch E-Mail-Betreffzeilen aus der Praxis überprüft. Das seien tatsächliche E-Mails, die die Benutzer erhalten und an ihre IT-Abteilung als verdächtig gemeldet hätten.

Dringende Nachricht zur sofortigen Überprüfung eines Passworts am effektivsten

Das Resultat zeige auf, dass simulierte Phishing-Tests mit einer dringenden Nachricht zur sofortigen Überprüfung eines Passworts am effektivsten gewesen seien, „denn 39 Prozent der Benutzer fielen darauf herein“.
Social-Media-Nachrichten seien ein weiterer Bereich, der beim Phishing effektiv sei. Bei angeklickten Social-Media-E-Mail-Betreffzeilen seien linkedIn-Nachrichten mit 55 Prozent am beliebtesten, gefolgt von facebook mit 28 Prozent.

Nach Warnsignalen Ausschau halten und nachdenken, bevor geklickt wird

„Immer mehr Endanwender werden sicherheitsbewusst, deshalb ist es leicht zu erkennen, wie sie auf Phishing-Betrügereien hereinfallen, beispielsweise bei Änderungen oder Überprüfungsaufforderungen im Zusammenhang mit ihren Passwörtern“, erläutert Sjouwerman.
Sie sollten besonders vorsichtig sein, wenn eine E-Mail „zu gut“ aussieht, um wahr zu sein, wie zum Beispiel ein Werbegeschenk. Da das Identifizieren von Phishing-Angriffen aus legitimen E-Mails immer schwieriger werde, sei es für Endbenutzer wichtiger denn je, nach den Warnsignalen Ausschau zu halten und nachzudenken, bevor sie klicken.

Weitere Informationen zum Thema:

CISION PRWeb, 16.01.2020
Q4 2019 KnowBe4 Finds Security-Related and Giveaway Phishing Email Subject Lines Get the Most Clicks

datensicherheit.de, 24.07.2019
KnowBe4-Studie warnt vor gefälschten LinkedIn-Mails

datensicherheit.de, 01.07.2019
KnowBe4 unterstützt Unternehmen gegen Social Media-Phishing

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 27.06.2019
Hacker: Mehr als 10 weltweit tätige Telekommunikationsanbieter infiltriert

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

The post KnowBe4 publiziert Q4 2019 Phishing Report appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Verbraucherrechte, Datenschutzbestimmungen und weitere Rechtsstreitigkeiten

Von unserem Gastautor Ashvin Kamaraju, Vice President Technology & Strategy bei Thales

[datensicherheit.de, 16.01.2020] Unternehmen haben mittlerweile mehr Kenntnis über die Rechte der DSGVO und anderer Datenschutzbestimmungen weltweit. Und da jeden Tag neue Verstöße in die Schlagzeilen geraten, werden Kunden 2020 mehr Fragen stellen und mehr Kontrolle darüber verlangen, wo Unternehmen Daten speichern und wie sie diese schützen. Im Jahr 2020 werden Unternehmen aufgrund von Rechtsstreitigkeiten Bußgelder und Strafzahlungen in Höhe von fast 3 Milliarden US-Dollar zahlen müssen, was einer Steigerung von 50% gegenüber 2019 entspricht. Deshalb wird die Ermittlung, die Klassifizierung und die Korrektur von Daten durch den Schutz sensibler Daten mithilfe automatisierter Workflows unerlässlich und zu einer äußerst wichtigen Initiative für Unternehmen.

Bild: Thales

Ashvin Kamaraju, Vice President Technology & Strategy bei Thales

Die Ethik der KI

2020 wird das Jahr, in dem Forschung und Investitionen in die Ethik der KI erheblich zunehmen. Heutzutage werden in Unternehmen betriebswirtschaftliche Erkenntnisse durch KI und Algorithmen für maschinelles Lernen gewonnen. Da diese Algorithmen jedoch auf Basis von Modellen und Datenbanken erstellt werden, kann es durch diejenigen, die die KI trainieren, zu Verzerrungen kommen. Dies kann zu geschlechtsspezifischen oder rassistischen Tendenzen führen, sei es bei Darlehensanträgen oder beim Prognostizieren von Gesundheitsproblemen. Angesichts des zunehmenden Bewusstseins in Bezug auf Datenverzerrungen werden die Unternehmensleiter wissen wollen, wie die KI den Empfehlungen gerecht wird, um als Unternehmen in Zukunft voreingenommene Entscheidungen zu vermeiden.

Quantencomputing

2020 wird es zu mehr Datenverstößen kommen, denn diese erfolgen im Vorgriff auf die Entschlüsselung der Daten zu einer Zeit, wenn Quantencomputing einmal billiger und erschwinglicher wird. Angesichts möglicher Durchbrüche, wie in diesem Jahr bei Google, ist es nur eine Frage der Zeit, bis mehr Quantenrechenleistung erreicht wird. In diesem Fall sind die bisherigen Verschlüsselungstechniken, mit denen Nachrichten signiert und Schlüssel geschützt werden, obsolet. In Erwartung dessen wird das Ausmaß an verschlüsselter Kommunikation und an verschlüsselten Daten, die von Hackern gestohlen werden, im nächsten Jahr steigen, denn bei Cyberkriminellen stapeln sich bereits Informationen, die nur auf die richtigen Instrumente zur Entschlüsselung warten. Verstöße auf Quantenebene werden also schon lange eingetreten sein, bevor die Rechenleistung Wirklichkeit wird.

Der 5G Hackathon

2020 werden sich die Datenschutzprobleme infolge der durch 5G hervorgerufenen höheren Konnektivität noch verschärfen. Durch die zunehmende Konnektivität wird die Anzahl der verbundenen Geräte und Sensoren dramatisch steigen, was die Liste der Cyberangriffsziele erheblich verlängert. In dem Bemühen, die Konkurrenz zu schlagen, macht man sich über die Sicherheit erst im Nachhinein Gedanken, statt bereits im Vorfeld. Letzten Endes wird 2020 als ein Rekordjahr für Cyberangriffe auf verbundene Geräte in die Geschichte eingehen und als Jahr der Anerkennung von Datenschutz- und Sicherheitsbestimmungen auf Bundesebene.

Weitere Informationen zum Thema:

datensicherheit.de, 21.06.2018
Thales Data Threat Report 2018: Europa-Ausgabe vorgestellt

The post Thales: IT-Sicherheitsprognosen für das Jahr 2020 appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Informatiker entwickeln lernfähigen Assistenten an der Universität Bamberg

[datensicherheit.de, 14.01.2020] Insbesondere in Verwaltungen von Unternehmen „türmen sich Dateien über Dateien“. So ist es für Mitarbeiter mitunter schwierig, in der „Flut von Tabellen, Präsentationen und Texten“ den Überblick zu behalten. Informatiker der Universität Bamberg weisend darauf hin, dass außerdem jede einzelne Datei Energie und Speicherplatz auf einer Festplatte benötigt – und so Kosten für das Unternehmen verursacht und die Umwelt belastet. Das wirft dann die Frage auf, was aber gelöscht werden soll und wo man am besten anfängt. Informatiker der Universität Bamberg arbeiten derzeit nach eigenen Angaben an einer automatisierten Lösung: Sie entwickeln demnach in dem interdisziplinären Projekt „Dare2Del“ zusammen mit der Arbeitspsychologie an der Friedrich-Alexander-Universität Erlangen-Nürnberg mittels Maschinellem Lernen ein System, das helfen soll, irrelevante Daten zu löschen. Das Projekt „Dare2Del“ läuft laut Universität Bamberg über sechs Jahre und wird von der Deutschen Forschungsgemeinschaft (DFG) mit insgesamt 889.702 Euro gefördert – als Teil des DFG-Schwerpunktprogramms „Intentional Forgetting in Organisationen“.

Foto: Jürgen Schabel / Universität Bamberg

Dr. Ute Schmid: Die Bamberger Informatikerin entwickelt einen Assistenten zum intelligenten Löschen von Dateien.

KI beachtet Unternehmensvorschriften und rechtliche Vorgaben

In der ersten Projektphase von 2016 bis 2019 programmierten demnach Dr. Ute Schmid, Professorin für Angewandte Informatik, insbes. Kognitive Systeme, und ihr Mitarbeiter Michael Siebers ein lernfähiges Modell, das zwar sehr komplexe Algorithmen verarbeiten könne, für den Nutzer aber trotzdem leicht zu bedienen sei.
Dieses System lösche Dateien nicht wahllos und schon gar nicht automatisch: Die Künstliche Intelligenz (KI) beachte Unternehmensvorschriften und rechtliche Vorgaben und passe sich den Wünschen der Nutzer an. Sie könnten beispielsweise Regeln festgelegt werden (z.B. immer die letzte und vorletzte Version einer Datei sollen behalten werden).

Partnerschaftliche Zusammenarbeit von Mensch und KI angestrebt

In der zweiten Phase gehe es in den kommenden drei Jahren darum, die Vorschläge des Systems nachvollziehbar und transparent für Anwender zu machen. So solle das Programm beispielsweise bestimmte Benennungen der Dateien hervorheben und durch einen Text erklären, warum die Datei zur Löschung vorgeschlagen wird. „Unser Ziel ist es, eine partnerschaftliche Zusammenarbeit von Mensch und Künstlicher Intelligenz zu ermöglichen“, sagt Dr. Schmid.
Eine besondere Herausforderung für die Wissenschaftler sei dabei, herauszufinden, wann ein Nutzer welche Inhalte bearbeiten möchte. „Wer gerade mitten in der Arbeit an einem Projekt steckt, möchte nicht gefragt werden, ob er eine Datei aus einem völlig anderen Kontext noch braucht.“ Randzeiten schienen geeignet zu sein: Beispielsweise würden am Ende jedes Arbeitstages fünf Dateien abgefragt, die aus dem Tageskontext stammten.

Überflüssige Daten erschweren Suche nach Informationen

Die Psychologinnen Prof. Dr. Cornelia Niessen und Kyra Göbel von der Friedrich-Alexander-Universität Erlangen-Nürnberg hätten zeigen können, dass Personen während der Arbeit selten Dateien löschten – nur, wenn sie unmittelbar den Arbeitsablauf behinderten. Erklärungen des lernfähigen Systems sollten hierzu die Bereitschaft erhöhen, Dateien zu löschen, das Gedächtnis zu entlasten und sich besser konzentrieren zu können.
„Digitale Daten, die überflüssig geworden sind, erschweren die Suche nach Informationen, verzögern Entscheidungen und lenken von eigentlich anstehenden Aufgaben ab“, betont Dr. Schmid. Sinnvoll zu löschen erhöhe die Arbeitsleistung. Die Unternehmen sparten zudem Kosten für die teure Speicherung der Daten in Clouds. „Außerdem wird weniger Energie benötigt, um Daten zu speichern, und weniger Rohstoffe verbraucht, um Festplatten herzustellen.“

The post KI: Intelligentes Löschen überflüssiger Dateien appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 14.01.2020] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, hat nach eigenen Angaben am 13. Januar 2020 einen Brief an den Vorsitz des Gesundheitsausschusses gerichtet, in dem er unter anderem „die umfassende Übertragung von Aufgaben des Deutschen Instituts für Medizinische Dokumentation und Information (DIMDI) an das Bundesamt für Arzneimittel und Medizinprodukte (BfArM)“ kritisiert. Aus Sicht des BfDI bestehen in diesem Zusammenhang „erhebliche datenschutzrechtliche Bedenken“:

Auswirkungen der Veränderung der gesetzlichen Aufgabenzuweisung nicht geprüft

„Die Aufgabenübertragung des DIMDI an das BfArM hatte ich bereits als datenschutzrechtlich unzulässig bewertet. Die Auswirkungen der Veränderung der gesetzlichen Aufgabenzuweisung wurden nicht geprüft.“

Fristgerechte Beteiligung des BfDI dringend notwendig

Deshalb sei die Bezeichnung des von der Bundesregierung vorgeschlagenen Änderungsantrages als „redaktionelle Änderung“ irreführend. „Außerdem wurde meine Behörde erst verspätet an der Abstimmung des Entwurfs beteiligt“, moniert Kelber. Die fristgerechte Beteiligung des BfDI sei dringend notwendig, um eine datenschutzrechtliche Bewertung vornehmen zu können.

Weitere Informationen zum Thema:

BfDI, 14.01.2020
Schreiben an den Gesundheitsausschuss des Deutschen Bundestages

BfDI, 14.01.2020
Schreiben an das Bundesministerium für Gesundheit (BMG)

The post BfDI-Kritik am Entwurf des Medizinprodukte-EU-Anpassungsgesetzes appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Dirk Pinnow im Gespräch mit Otto Kugler über die „it-sa“ und Datensicherheitsfragen

[datensicherheit.de, 13.01.2020] Das neue Jahr 2020 nimmt die ds-Redaktion zum Anlass, auf besondere Begegnungen im Jahr 2019 zurückzublicken. Ein bedeutendes Ereignis war die zehnte Teilnahme von „datensicherheit.de“ (ds) an der „it-sa“ in Nürnberg und der inzwischen zur gerne gepflegten Tradition gewordene Standempfang zusammen mit dem Cluster Industrie 4.0 (CI4) – „nach der Messe ist vor der Messe“. Zu den Teilnehmern 2019 gehörte auch Otto Kugler, Geschäftsführer der i4-Guard GmbH aus Innsbruck, Österreich. Mit etwas zeitlichem Abstand nahm ds-Herausgeber Dirk Pinnow wieder Kontakt auf und führte ein Gespräch, welches nachfolgend in Auszügen wiedergegeben wird:

Foto: i4-Guard GmbH

Otto Kugler: Datensicherheit muss umfassend betrachtet werden!

Das persönliche Resümee zur „it-sa 2019“

ds: „Herr Kugler, für uns war die ,it-sa 2019‘ ein besonderes Jubiläum – zum zehnten Mal waren wir mit einem Stand als Medienpartner in Nürnberg vertreten. Uns interessiert natürlich Ihre persönliche Einschätzung der ,it-sa‘!“
Kugler: „Also, wir haben das erste Mal auf der ,it-sa‘ ausgestellt und beabsichtigen auch nächstes Jahr daran teilzunehmen. Forenbeiträge haben wir bis jetzt keine geliefert; das ist aber sicher eine überlegenswerte Option. Wir sind überzeugt, dass es weiteres Wachstum geben wird, da wesentliche Industrien erst jetzt beginnen, über IT-Sicherheit nachzudenken – allen voran natürlich die sogenannten Kritischen Infrastrukturen.“

Plädoyer: Den Menschen in der IKT-Welt nicht vergessen!

ds: „Wir sprechen ja bewusst von ,Datensicherheit‘, weil wir überzeugt davon sind, dass bereits die Datenebene geschützt und sicher gestaltet werden muss – wie sehen Sie diese Thematik, auch gerade im Kontext der Faktoren ,Mensch‘, ,Organisation‘ und ,Technik‘?“
Kugler: „Wir glauben, dass Datensicherheit umfassend betrachtet werden muss. Sie sollte nicht auf einzelne Elemente wie etwa Mensch, Organisation oder Technik reduziert werden. Wichtig ist, eine einfache, sichere Technologie zum Schutz von IP-Netzwerken einzusetzen, welche auch von Menschen beherrschbar ist. Wir sind zudem überzeugt, dass weiterhin Aufklärungsarbeit außerhalb der IT-Security-Branche geleistet werden muss. Industriesegmente wie die produzierenden Betriebe, aber auch das Gesundheitswesen, Betreiber von Kritischen Infrastrukturen, ,Smart Cities‘ sowie Behörden müssen weiter für die Risiken eines Cyber-Angriffs sensibilisiert werden und vorbeugende Maßnahmen treffen.“

Datensicherheit bringt mehr Freiheit für Entscheider

ds: „Herr Kugler, abschließend interessiert uns und unsere Leser sicher auch, wie Sie selbst zur Erhöhung der Datensicherheit beitragen?“
Kugler: „Das Ausgangsproblem bei unseren Kunden umfasst im Regelfall prinzipiell zwei mögliche Szenarien:
Szenario 1: Kein oder nur unzureichender Schutz für IP-Netzwerke.
Szenario 2: Eine unüberschaubare Komplexität von VPN-Netzen, Subnetzen und Firewalls, die niemand mehr beherrscht.
Den Mehrwert, den wir liefern können, ist ein stärkerer Schutz durch Entkoppelung des IP-Netzes vom Sicherheitsnetz (im Sinnes eines verschlüsselten Netzes) sowie reduzierte Komplexität bei gleichzeitig reduzierten ,Total Costs of Ownership‘. Desweiteren bringen wir die Freiheit für die IP-Netzwerkplaner zurück und erhöhen den Handlungsspielraum von Entscheidern.“

Weitere Informationen zum Thema (Literaturempfehlungen von Otto Kugler):

Gartner Research, 14.05.2018
IoT Solutions Can’t Be Trusted and Must Be Separated From the Enterprise Network to Reduce Risk

kaspersky daily, 05.10.2015
Overcoming IT infrastructure complexity

CIO, 2019
OPINION / Reducing infrastructure complexity: There has to be a better way

McKinsey Digitla, August 2009
IT architecture: Cutting costs and complexity

ICS
How to Reduce the Complexity of your IT Infrastructure

i4-Guard
How can I Protect Embedded and IoT Devices?

The post Plädoyer für einfache, sichere Technologie zum Schutz von IP-Netzwerken appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Mangelhafte Kommunikatiion im Unternehmen problematisch

Von unserem Gastautor Jürgen Venhorst, Country Manager DACH von Netwrix

[datensicherheit.de, 13.01.2020] Das Internet ist nach der Erfindung des Rads der wohl größte logistische Meilenstein in der Geschichte der Menschheit. Eine unvorstellbare Menge an Daten zirkuliert jeden Tag über die globalen Datenhighways. Doch die digitalen Adern unserer Gesellschaft befördern auch gefährliche Schädlinge, die es auf die finanzielle Gesundheit von Unternehmen und Privatpersonen gleichermaßen abgesehen haben. Hat sich erstmal ein Virus im Firmennetzwerk eingenistet, kann man sich nur noch um Schadensbegrenzung bemühen.

Wenn sich der privat genutzte Rechner zu Hause eine Schadsoftware einfängt, sind alle Daten und Zugänge potenziell in Gefahr. Das ist sehr schmerzhaft für den Betroffenen – private Dokumente sind verschlüsselt oder gelöscht, das Passwort für den E-Mail-Account oder den Online-Banking-Account wurden entwendet und womöglich geändert.

Was im privaten Kontext bereits heftige Symptome hervorruft, kann für eine Firma lebensbedrohliche Ausmaße annehmen. Hat sich ein Virus erstmal im Firmennetzwerk eingenistet, kann er dort (oft unbemerkt) seine Zerstörungskraft auf fast alle Organe des Unternehmens entfalten. Im schlimmsten Fall kommt der Betrieb gänzlich zum Erliegen.

Bild: Netwrix

Jürgen Venhorst, „Country Manager DACH“ bei Netwrix

Angriffe auf Kritische Infrastrukturen mehren sich

2016 wurde das Lukaskrankenhaus in Neuss Zufallsopfer einer damals grassierenden Schadsoftware. Zum Schutz der Patientendaten musste der Betrieb für einige Zeit vollständig auf Papier und Bleistift verlagert werden. Die erdrückende Mehrheit solcher Angriffe werden niemals aufgeklärt; auch im Fall der Lukasklinik konnten die Täter bis zur Einstellung des Verfahrens nicht ermittelt werden. Der finanzielle Schaden belief sich auf knapp eine Million Euro und hätte noch weitaus höher ausfallen können, wenn sensible Patientendaten entwendet worden wären.

2014 wurde ein Krankenhaus in Boston Ziel einer Hackerkampagne, die sich als Reaktion auf einen Sorgerechtsstreit formierte. Das Krankenhaus wurde von Hackern regelrecht in die Zange genommen. Die Angreifer nahmen nicht nur die Haupt-Webseite aufs Korn, sondern auch Unterseiten. Etwa die, auf der Patienten ihre medizinischen Daten einsehen können. Nur mit Hilfe einer Cybersicherheitsfirma konnte das Schlimmste verhindert werden.

Dieses Jahr wurde in Rheinland Pfalz der laut BSI erste Angriff seiner Art auf einen Krankenhausverbund von 20 Krankenhäusern gefahren. Ein Trojaner hatte sich in das Netzwerk eingenistet und die Datenbanken verschlüsselt. Wie im Falle des Lukaskrankenhauses wurde auch hier der Betrieb vorübergehend mit Papier und Bleistift bestritten. Über eine Woche lang war der digitale Betrieb im Krankenhausverbund beeinträchtigt oder kam in manchen Bereichen vollständig zum Erliegen.

Existenzielles Risiko für Krankenhäuser durch doppelte Bedrohung: Unterbrechung des Betriebs plus Strafzahlungen

Diese drei Beispiele veranschaulichen den Trend, dass Einrichtungen der Gesundheitsindustrie einer steigenden Anzahl von Angriffen ausgesetzt sind. Der Grund hierfür ist, dass Krankenhäuser in der Hackerszene als leichte Beute angesehen werden, da ihre IT Infrastruktur schwerer zu schützen ist, speziell wenn niedergelassene Ärzte per Remote, oder auch verschiedene Fachabteilungen, Zugang auf sensible Daten erhalten müssen. Auf den ersten Blick winken hier zwar keine lukrativen Industriegeheimnisse. Doch auf den zweiten Blick erkennt der findige Kriminelle das Erpressungspotenzial in Geiselhaft genommener Patientendaten.

Diese sind nämlich nicht nur von erheblicher Bedeutung für das medizinische Tagesgeschäft der jeweiligen Klinik – spätestens seit dem Inkrafttreten der DSGVO im Mai 2018 drohen empfindliche Strafen für Betriebe, denen personenbezogene Daten ihrer Kunden oder Patienten abhandenkommen.

Zwei Jahre vor der DSGVO trat bereits das IT-Sicherheitsgesetz des BSI in Kraft, welches die kritischen Infrastrukturen (KRITIS) wie Krankenhäuser, Finanzinstitute, Energie- und Wasserversorger sowie Betriebe im Lebensmittelsektor einer besonderen Sorgfaltspflicht unterwirft. So gilt in diesen Unternehmen beispielsweise eine Meldepflicht für Datenlecks.

Wie kann es also sein, dass Betriebe der KRITIS bis heute einen IT-Sicherheitsrückstand aufzuholen haben?

Kinderkrankheit mangelnde interne Kommunikation

Einer der ausschlaggebenden Gründe für diesen Missstand ist eine unzureichende oder gar fehlende Kommunikation der Chefetage mit ihrer IT-Abteilung. Dies führt oft zu einem mangelhaften Verständnis der Bedrohungslage und der damit einhergehenden Konsequenzen für das Unternehmen. Um die notwendigen personellen und finanziellen Mittel zu erhalten, müssen die meisten Anträge der IT-Sicherheit von der Chefetage bewilligt werden. Dafür ist ein Grundverständnis der Materie unumgänglich. Es kann also nur jedem Krankenhausleiter nahegelegt werden, sich in regelmäßigen Abständen von seinen IT-Experten auf den neuesten Stand bringen zu lassen, um die aktuelle Gefahrenlage besser einschätzen zu können und notwendige Investitionen nicht zu verschlafen.

Vertrauen ist gut, Kontrolle ist besser

Ab einer gewissen Betriebsgröße ist es der IT-Abteilung nicht mehr möglich, jede einzelne Aktivität im System zu überwachen. Die traditionelle Lösung, um seinen Mitarbeitern den geregelten Zugang zu firmeninternen Daten zu gewährleisten, ist ein System aus Nutzername und Passwort. Die dadurch errichtete Zugangsbarriere liefert jedoch nur ein Mindestmaß an Datensicherheit. Ein versierter Angreifer hat vielfältige Möglichkeiten, diese Schranke zu überwinden. Im Gegensatz zum Verlust eines Hausschlüssels, wird der Verlust eines Passworts nicht immer sofort bemerkt. Somit bietet sich dem Hacker ein Einfallstor, über welches er möglicherweise monatelang Zugriff auf kritische Informationen des Unternehmens erhalten kann. Das böse Erwachen kommt oft viel zu spät, um den Schaden noch unter Kontrolle halten zu können. Niemand möchte aus den Nachrichten erfahren, dass ein riesiger Datensatz der eigenen Patienten im Darknet feilgeboten wird. Ein solcher Skandal kann die Existenzgrundlage eines Krankenhauses von einem Tag auf den anderen zerstören. Das Vertrauen der Patienten ist verloren und die Strafzahlungen können den Betrieb ruinieren.

Um jederzeit die Kontrolle über die Zugriffe in der Betriebseigenen IT-Infrastruktur zu behalten kann man Dienste in Anspruch nehmen, die sich auf Identitäts-Management spezialisiert haben. Netwrix bietet beispielsweise einen zweistufigen Ansatz: Im ersten Schritt werden alle Daten im Firmennetz aufgrund vorher festgelegter Regeln analysiert und klassifiziert. Zugang erhalten nur die Mitarbeiter, die das jeweilige Dokument für ihre Arbeit auch benötigen. Überflüssige und zu weit gedehnte Zugriffsrechte sind nämlich einer der Hauptrisikofaktoren für die Datensicherheit eines Unternehmens.

Im zweiten Schritt werden Risiken in Echtzeit überwacht; auffällige Nutzungsmuster werden von der Software erkannt und der IT-Abteilung gemeldet. Der Koch benötigt den Zugriff auf den Speiseplan, nicht jedoch Adminrechte, mit denen er die Röntgenaufnahmen von Frau Müller einsehen kann. Sollte ein funktionsfremder Account versuchen, sich Zugriff auf große Mengen sensibler Patientendaten zu verschaffen, wird dies vom Sicherheitsprogramm auf einer zentralen Plattform als Risiko mit hoher Priorität dargestellt, das eliminiert werden sollte.

Fazit

Viele Unternehmen der KRITIS sind bis heute unzureichend gegen Angriffe aus dem Internet geschützt. Die Entscheidungsträger dieser Einrichtungen stehen in der Pflicht sich von den Experten im eigenen Unternehmen beraten und aufklären zu lassen, um mit Sachverstand die notwendigen Sicherheitsvorkehrungen treffen zu können.

Dedizierte Spezialisten können dabei helfen, immer raffinierter werdenden Bedrohungen mit dem nötigen Rüstzeug zu begegnen.

Weitere Informationen zum Thema:

datensicherheit.de, 05.08.2019
GermanWiper: In Bewerbungen versteckte Ransomware

The post IT-Sicherheit: Angriffe auf Kritische Infrastrukturen mehren sich appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 12.01.2020] Kürzlich haben Forscher von Mimecast nach eigenen Angaben „eine weitere Sicherheitslücke in Microsofts Office-Produkten namens ,MDB Leaker‘ entdeckt“. Diese habe einen Patch (CVE-2019-1463) erfordert, der am 10. Dezember 2019 in der Datenbankanwendung „Access“ aufgespielt worden sei. Die Forscher haben demnach bereits im Januar 2019 die Sicherheitslücke „CVE-2019-0560“ enthüllt – eine ähnliche Schwachstelle in „Microsoft Office“-Produkten.

Patch erforderlich: Über 85.000 Unternehmen laufen Gefahr, Opfer eines Datenlecks zu werden

„Wenn diese Sicherheitslücke nicht gepatcht wird, laufen über 85.000 Unternehmen Gefahr, Opfer eines Datenlecks zu werden.“ Hierbei könnten auch vertrauliche und geschäftskritische Daten verloren gehen und in die Hände unberechtigter Dritter gelangen. Zum jetzigen Zeitpunkt sei dem Labor jedoch keine tatsächliche Gefährdung aufgrund dieser Schwachstelle bekannt geworden.
Die beiden Sicherheitslücken wiesen eine gewisse Ähnlichkeit zueinander auf: Grund sei ein häufig vorkommender Programmierfehler – in diesem Fall die unsachgemäße Verwaltung des Systemspeichers durch eine Anwendung, welche zur unbeabsichtigten Offenlegung sensibler oder privater Daten führen könnte.

False Positives als entscheidend für Entdeckung

Während falsche Negativmeldungen, wie fehlende bösartige Dateien oder E-Mails, immer minimiert werden sollten, seien nicht alle falschen Positivmeldungen von Natur aus schlecht. Bei „MDB Leaker“ beispielsweise habe sich, wie bei der „Microsoft Office“-Schwachstelle vom Januar 2019, die Meldung eines potenziellen Fehlalarms als entscheidend für diese Entdeckung erwiesen.
„Nachdem sie einen ,False Positive‘ für eine bestimmte ,Microsoft Access‘-Datei erhalten hatten, die durch eine statische Dateianalyse gekennzeichnet wurde, stellten die Mimecast-Forscher fest, dass es Codefragmente in einem Dateityp gab, der eindeutig nur für Daten bestimmt ist, nämlich einer ,Microsoft Access‘-MDB-Datei.“ Von dort aus habe das Team vermutete, dass der Systemspeicher in der „Microsoft Access“-Anwendung falsch verwaltet worden sei. So hätten sie feststellen können, dass es sich um einen reproduzierbaren Fehler gehandelt habe, der in mehreren älteren Versionen der „Microsoft Access“-Datenbankanwendung enthalten gewesen sei.

Sensible Informationen wie Kennwörter, Zertifikate, Webanfragen und Domänen-/Benutzerinformationen in Gefahr

In einigen Fällen könnten die unbeabsichtigt in der MDB-Datei gespeicherten Daten sensible Informationen wie Kennwörter, Zertifikate, Webanfragen und Domänen-/Benutzerinformationen sein. Mit anderen Worten sei ein Speicher-Link keine inhärente Sicherheitslücke. „Vielmehr ist das was das Speicherleck verursachen kann, das eigentliche Problem.“ Vor diesem Hintergrund empfiehlt das Labor nach eigenen Angaben allen Benutzern der „Microsoft Access“-Datenbank, ihre Anwendungen auf die Lücke hin zu überprüfen.
„Wenn ein Hacker in der Lage war, auf einen Rechner zu gelangen, der MDB-Dateien enthielt oder an große Mengen von MDB-Dateien gelangen konnte, könnte er eine automatische Suche durch alle diese Dateien durchführen, um vertrauliche Informationen in diesen Dateien zu finden und zu sammeln.“ Im zweiten Schritt könnte er sie auf vielfältige Weise nutzen und zu monetarisieren versuchen.

Ausführbare Dateien so schnell wie möglich patchen

Glücklicherweise habe das Mimecast Research Lab bisher noch keine Ausnutzung dieser Sicherheitslücke „in freier Wildbahn“ gesehen. Benutzer, die die potenzielle Sicherheitslücke nicht patchen, könnten anfällig für Angriffe sein.
Um dies zu vermeiden, sollten die unten aufgeführten bewährten Sicherheitsverfahren beachtet werden. Zudem gelte es, die ausführbaren Dateien der „Microsoft Access“-Datenbank so schnell wie möglich zu patchen.

Mimecast empfiehlt Sicherheitsvorkehrungen:

• Verwendung eines E-Mail-Sicherheitssystems mit ausgefeilten Malware-Erkennungsfunktionen, das sowohl statische Dateianalysen als auch Sandboxing umfasst, um bösartige Dateien vom Eindringen in das Unternehmen und sensible Inhalte vom Verlassen des Unternehmens abzuhalten.
• Installation von Patches und Updates für IT-Systeme und Anwendungen auf Sicherheitslücken, sobald diese vom IT-Anbieter zur Verfügung gestellt werden. Zudem sollten Systeme und Applikationen einer regelmäßigen Überwachung unterliegen.
• Untersuchung des Netzwerkverkehrs auf Verbindungen zu Command-and-Control-Diensten und auf die Exfiltration potenziell sensibler Dateien.
• Kontinuierliche Aktualisierung des Endpunktsicherheitssystems, um rechtzeitig bösartige Software erkennen zu können.

The post Mimecast warnt vor neuer Sicherheitslücke in Microsoft-Office-Produkten appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 12.01.2020] Laut einer Meldung des foodwatch e.V. haben Verbraucher „einen Rechtsanspruch zu erfahren, was die Hygienekontrollen in Lebensmittelbetrieben ergeben haben“. Dies habe der Verwaltungsgerichtshof Baden-Württemberg als erstes Oberverwaltungsgericht entschieden. Im juristischen Streit um die Verbraucher-Plattform „Topf Secret“ liege damit die erste höchstrichterliche Entscheidung zum Informationsanspruch vor. Über dieses Portal der Verbraucherorganisation foodwatch und der Transparenzinitiative FragDenStaat können Bürger demnach die amtlichen Kontrollberichte der Lebensmittelüberwachung erfragen. Seit dem Start im Januar 2019 seien mehr als 40.000 VIG-Anfragen über „Topf Secret“ verschickt worden – der Großteil der etwa 400 in Deutschland zuständigen Behörden gewähre Bürgern die beantragten Informationen.

Signalwirkung für weiteren Verfahren um Transparenz-Plattform Topf Secret erhofft

„Der Verwaltungsgerichtshof Baden-Württemberg zerpflückt in aller Deutlichkeit die Argumente, die regelmäßig von der Gastro-Lobby gegen ,Topf Secret‘ ins Feld geführt werden. Nun ist höchstrichterlich bestätigt: Bürgerinnen und Bürger haben einen Rechtsanspruch auf die Hygiene-Kontrollergebnisse“, so Rauna Bindewald, Volljuristin und „Campaignerin“ bei foodwatch.
foodwatch sieht nach eigenen Angaben in dieser Entscheidung eine „Signalwirkung für die vielen weiteren Verfahren um die Transparenz-Plattform“. Aktuell wehrten sich Hunderte Lebensmittelbetriebe gerichtlich gegen die Herausgabe von Kontrollergebnissen – auch mit Unterstützung des Deutschen Hotel- und Gaststättenverbandes (DEHOGA), der seine Mitglieder ermutige, gegen auskunftsbereite Behörden vorzugehen.

Markt soll transparenter werden

Mehrere der zentralen Argumente des DEHOGA seien vom VGH Baden-Württemberg nun jedoch ausdrücklich abgewehrt worden. So behaupte der DEHOGA in einem „Argumentationspapier“ unter anderem, dass die über „Topf Secret“ gestellten Anträge missbräuchlich seien, weil die Kontrollergebnisse auf einer Internetplattform veröffentlicht werden sollten – dies entspreche nicht dem Zweck des Verbraucherinformationsgesetzes (VIG).
Der Verwaltungsgerichtshof habe hierzu allerdings deutlich gemacht: „Im Gegenteil, es entspricht der ausdrücklichen Zwecksetzung des § 1 VIG, den Markt transparenter zu gestalten, sodass in einer Internetpublikation eine Stärkung des Verbraucherschutzes gesehen werden kann.“

Negative Darstellung in der Öffentlichkeit durch rechtstreues Verhalten zu verhindern

Außerdem argumentiere der DEHOGA damit, dass die Informationserteilung die grundrechtlich verbürgte Berufsfreiheit der Betriebe verletze. Im Beschluss des VGH heißt es laut foodwatch dazu: „Das Grundrecht der Berufsfreiheit vermittelt kein Recht des Unternehmens, nur so von anderen dargestellt zu werden, wie es gesehen werden möchte oder wie es sich und seine Produkte selber sieht.“ Der VGH weise im konkreten Fall außerdem darauf hin, dass das Unternehmen die negative Darstellung in der Öffentlichkeit durch rechtstreues Verhalten hätte verhindern können.
Zahlreiche Verwaltungsgerichte hätten in den letzten Monaten über die Klagen und Anträge betroffener Betriebe gegen die Weitergabe von Kontrollergebnissen entschieden – mit unterschiedlichem Ausgang. In zweiter Instanz beschäftigten sich derzeit mehrere Oberverwaltungsgerichte mit „Topf Secret“. foodwatch erwartet demnach die Entscheidungen in den nächsten Wochen.

Bürger haben über das VIG Rechtsanspruch, amtliche Informationen zur Lebensmittelüberwachung zu erhalten

Auch das OVG Hamburg habe kürzlich einen Beschluss veröffentlicht, jedoch keine Entscheidung über die eigentliche Rechtsfrage getroffen, ob Bürger die Lebensmittelkontrollberichte erhalten dürfen. Es habe lediglich in einem sogenannten Eilverfahren entschieden, dass die Informationen bis zu einer Entscheidung im Hauptsacheverfahren vorerst zurückgehalten werden müssten.
Nun habe mit dem VGH Baden-Württemberg erstmalig ein Oberverwaltungsgericht zu der eigentlichen Rechtsfrage Stellung genommen. Der VGH sei dabei der Linie des Bundesverwaltungsgerichts gefolgt. Das höchste Verwaltungsgericht habe kürzlich in einem Grundsatzurteil die Informationsrechte ebenfalls eindeutig gestärkt: Bürger hätten über das VIG einen Rechtsanspruch, amtliche Informationen zur Lebensmittelüberwachung zu erhalten – auch eine mögliche Veröffentlichung stehe dem nicht entgegen.

Weitere Informationen zum Thema:

foodwatch die essensretter
TOPF SECRET

foodwatch die essensretter
VERWALTUNGSGERICHTSHOF BADEN-WÜRTTEMBERG Beschluss

The post Topf Secret: Verbraucher mit Rechtsanspruch auf Hygiene-Kontrollergebnisse appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Persönliche Informationen hätten gestohlen und Konten manipuliert werden können

[datensicherheit.de, 08.01.2020] Die weltweit sehr beliebte App „TikTok“ verzeichnet laut Check Point Research 800 Millionen Nutzer, davon 5,5 Millionen alleine in Deutschland. Sie gehöre zu den am schnellsten wachsenden Anwendungen. Nun hätten hauseigene Sicherheitsforscher Lücken in der Infrastruktur gefunden.

Foto: Check Point

Oded Vanunu: Angreifer hätten Inhalte auf Benutzerkonten manipulieren können…

E-Mail-Adressen und Kontaktdaten hätten ausgelesen werden können

Check Point Research, die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd. Hat am 8. Januar 2020 mehrere Schwachstellen in der beliebten App „TikTok“ enthüllt.
Diese ermöglichten es Angreifern, Inhalte auf Benutzerkonten zu manipulieren und sogar vertrauliche, persönliche Informationen, die auf diesen Konten gespeichert sind, zu extrahieren – darunter E-Mail-Adressen und Kontaktdaten.

TikTok hauptsächlich von Jugendlichen und Kindern verwendet

„TikTok“ werde hauptsächlich von Jugendlichen und Kindern verwendet, „die diese App benutzen, um private (und oft sehr sensible) Videos von sich selbst und ihren Lieben zu teilen“, so Oded Vanunu, „Head of Product Vulnerability Research“ bei Check Point.
Die Untersuchung habe ergeben, dass ein Angreifer eine gefälschte SMS-Nachricht mit einem bösartigen Link an einen Benutzer senden könne. „Wenn der Benutzer auf den bösartigen Link klickte, konnte der Angreifer an das ,TikTok‘-Konto gelangen und dessen Inhalt manipulieren, wobei er Videos löschte, unautorisierte Videos hochlud und private oder ‚versteckte‘ Videos öffentlich machte.“

TikTok-Subdomain anfällig für XSS-Angriffe gewesen

Die Untersuchung habe auch ergeben, dass die „TikTok“-Subdomain „ads.tiktok.com“ anfällig für XSS-Angriffe gewesen sei. Dies sei ein Angriff, bei dem bösartige Skripte in ansonsten gutartige und vertrauenswürdige Websites eingeschleust würden.
Die Sicherheitsforscher von Check Point haben demnach diese Schwachstelle ausgenutzt, „um persönliche Informationen abzurufen, die auf Benutzerkonten gespeichert sind, einschließlich privater E-Mail-Adressen und Geburtsdaten“.

TikTok-Entwickler über aufgedeckte Schwachstellen informiert

Check Point Research hat nach eigenen Angaben die „TikTok“-Entwickler über die in dieser Untersuchung aufgedeckten Schwachstellen informiert. Inzwischen sei ein Fix veröffentlicht worden, „um sicherzustellen, dass die Benutzer die TikTok-App weiterhin ungefährdet nutzen können“.
Ihre neuen Untersuchungen zeigten, dass die auch beliebtesten Anwendungen immer noch gefährdet seien, warnt Vanunu. „Social-Media-Angriffe sind sehr gezielt auf Schwachstellen ausgerichtet, da sie eine gute Quelle für private Daten und eine große Angriffsfläche bieten. Böswillige Akteure geben große Mengen an Geld aus und unternehmen viele Anstrengungen, um in solche riesigen Anwendungen einzudringen. Dennoch gehen die meisten Nutzer davon aus, dass sie durch die von ihnen genutzte Anwendung geschützt wären.“

TikTok in über 150 Ländern erhältlich

„TikTok ist dem Schutz der Benutzerdaten verpflichtet. Wie viele Organisationen ermutigen auch wir verantwortungsbewusste Sicherheitsforscher dazu, Zero-Day-Schwachstellen privat an uns zu melden. Vor der öffentlichen Bekanntgabe stimmte Check Point zu, dass alle gemeldeten Probleme in der neuesten Version unserer App ‚gepatcht‘ wurden. Wir hoffen, dass diese erfolgreiche Lösung die zukünftige Zusammenarbeit mit Sicherheitsforschern fördert“, kommentiert Dr. Luke Deshotels aus dem TikTok-Sicherheitsteam.
„TikTok“ sei in über 150 Ländern erhältlich, werde weltweit in 75 Sprachen verwendet und sei mit über 800 Millionen Nutzern definitiv eine der am häufigsten heruntergeladenen Apps. Im Oktober 2019 sei „TikTok“ die am meisten heruntergeladene App in den Vereinigten Staaten gewesen und damit die erste chinesische App, welche einen solchen Rekord erreicht habe. In Deutschland seien es derzeit rund 5,5 Millionen Nutzer – mehr als in Großbritannien, Italien, Spanien oder Frankreich.

Weitere Informationen zum Thema:

<cp>r CHECK POINT RESEARCH, 08.01.2020
Tik or Tok? Is TikTok secure enough?

Check Point Software Technologies, Ltd. auf YouTube, 08.01.2010
Tik or Tok? Is TikTok Secure Enough? Check Point Reveals Vulnerabilities in TikTok

The post TikTok-App: Check Point Research enthüllt Schwachstellen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.