[datensicherheit.de, 20.09.2018] Pindrop meldet, dass eigene Forschungen eine Zunahme der Fälle von Callcenter-Angriffen, d.h. Telefonbetrug, in den letzten vier Jahren um 350 Prozent ergeben haben.

Ursachen der Zunahme

Es gebe zwei Gründe für diese dramatische Wandlung:

• Erstens sei Cyber-Kriminalität eine lukrative Branche und die Zahl der Datenschutzverletzungen nehme zu.
• Zweitens hätten sich die Betrüger weiterentwickelt und kombinierten Social Engineering mit Online-Betrug.

Pindrop erstellt aktuellen Bericht

Aktuell liegt laut Pindrop ein vollständiger Bericht zu diesem Thema vor. Zentrale Erkenntnis sei eben der Anstieg bei Telefonbetrug um mehr als 350 Prozent in den letzten vier Jahren. Die am stärksten betroffenen Branchen sind demnach:

• Versicherung 36 %
• Banken 20 %
• Einzelhandel 15 %

[datensicherheit.de, 04.03.2014] CYREN, vormals Commtouch uns Eleven, veröffentlicht heute, 04.03.2014,  sein erstes CYREN Security Yearbook. Das Jahrbuch wird in Zukunft jährlich erscheinen und bietet einen umfassenden Rückblick auf die letztjährigen Trends in der Internetsicherheit. Der Bericht beinhaltet außerdem einen Ausblick auf die kommenden Trends im Jahr 2014 und sagt voraus, dass mobile Malware, Ransomware und gezielte Angriffe weiter zunehmen werden. Das Security Yearbook von CYREN demonstriert die datenbezogene Leistungsfähigkeit des Unternehmens, die es seinen Partnern und Endkunden ermöglicht, gefährlichen Bedrohungen immer einen Schritt voraus zu sein.

Im Jahr 2013 analysierte die CYREN GlobalView Cloud mehr als vier Billionen Sicherheitstransaktionen weltweit – das sind zehn bis 15 Milliarden Transaktionen pro Tag.
Mit dem branchenführenden Cloud-basierten Ansatz machen CYRENs GlobalView Security Cloud und die patentierte Recurrent Pattern Detection (RPD?) Bedrohungsdaten sofort und rund um den Globus verfügbar. Die dazugehörigen topaktuellen Spam-Klassifizierungen, die URL-Kategorisierung und Malware-Erkennung schützen Endnutzer jederzeit vor potentiellen Gefahren.

Das CYREN GlobalView Lab hat für 2013 die wichtigsten Statistiken zusammengestellt und die Ergebnisse im Security Yearbook zusammengefasst – das bedeutet einen einzigartigen Einblick in die Sicherheitslandschaft „hinter den Schlagzeilen“.

Im Jahr 2013 verzeichnete CYREN einen deutlichen Anstieg mobiler Malware, wobei gezielt Android-Geräte ins Visier genommen wurden (173.000 spezifische neue Android-Malware-Varianten pro Monat), sowie von Ransomware-Angriffen, bei denen die Opfer aufgefordert werden, eine „Gebühr“ zu zahlen, um wieder Zugang zu ihrem gehackten Computer zu erhalten.

© Cyren

Cyren Security Yearbook 2013

Weitere Highlights des CYREN Security Yearbooks:

• Anstieg der Zahlen bei Phishing-Webseiten um 264 Prozent im Jahr 2013. PayPal war das häufigste Ziel von Phishing-Angriffen.
• Mehr Malware: Die Anzahl der in CYRENs GlobalView Cloud Database rückverfolgten URLs wuchs 2013 um 131 Prozent.
• Das Spam-Niveau nimmt insgesamt weiter ab. Dennoch ist die Gesamtzahl der verschickten Spam-Nachrichten mit 78 Milliarden E-Mails pro Tag nach wie vor signifikant. CYREN stellte zudem gezieltere und mehr lokalisierte Angriffe fest sowie die verstärkte Nutzung aktueller Nachrichten, um Klickraten zu erhöhen.

„CYRENs Security Team freut sich, das erste jährliche CYREN Security Yearbook ankündigen zu dürfen. Es nutzt die Leistungsfähigkeit unserer GlobalView Cloud Technologie, um die globalen Trends im Bereich der Internetsicherheit in den vergangenen zwölf Monaten auszuloten“, sagt Lior Kohavi, Chief Technology Officer bei CYREN. „Das letzte Jahr war ein schwieriges Jahr für die Internetsicherheit, mit spektakulären Sicherheitslücken und immer neuen Taktiken in der Cyberkriminalität. 2014 wird noch mehr als bislang die mobile Malware im Mittelpunkt stehen; Kriminelle werden weiterhin mobile Geräte anvisieren, die nicht ausreichend geschützt sind und immer intelligentere und besser lokalisierte Angriffe durchführen, um ihre nächsten Opfer in die Falle zu locken.“

Weitere Informationen zum Thema:

CYREN
CYREN Security Yearbook

[datensicherheit.de, 28.02.2014] Zum ersten Mal in der Geschichte des Xamit Datenschutzbarometers gehen die Verstöße im Internet im Jahr 2013 leicht zurück. Nun euphorisch von einer deutlichen Kehrtwende zu sprechen, wäre jedoch verfrüht. Denn mit 88,6 Gründen zur Beanstandung pro 100 Webseiten sind sie immer noch nahe am gemessenen Höchstniveau von 91 Verstößen im Jahr 2012.

Auch sinkt die Verwendung der nicht datenschutzkonformen Version von Google Analytics, was die Autoren auf die verstärkten Kontrollen einiger Aufsichtsbehörden zurückführen. Dies ist ein positives Beispiel dafür, dass vermehrte Kontrollen ihre Wirkung nicht verfehlen und zur Durchsetzung des Datenschutzes unbedingt notwendig sind. Jedoch scheinen die Webseitenbetreiber auch auf andere nicht konforme Webstatistik-Dienste auszuweichen. Hier haben wir eine Zunahme um 3 Prozent verglichen zum Jahr 2012.

Weitere Informationen zum Thema:

Xamit – Datenschutz, Audits, IT-Projekte
Xamit Datenschutzbarometer

datensicherheit.de, 16.12.2011
Milliardengewinne durch Datenschutzverstöße: Wettbewerbsnachteil für die Aufrichtigen

[datensicherheit.de, 25.02.2014] Der Kaspersky-Report „Mobile Bedrohungen im Jahr 2013“ [1] zeigt, dass Cyberkriminelle zunehmend auch hierzulande Nutzer von Smartphones und Tablets anvisieren. So werden mobile Nutzer aus Deutschland am zweithäufigsten in Westeuropa attackiert. Im weltweiten Ranking bedeutet dies den sechsten Platz.

Kaspersky Lab entdeckte über 143.000 neue mobile Schädlinge im vergangenen Jahr 2013 – mehr als doppelt so viele wie im Jahr 2012. Insgesamt gibt es derzeit etwa 230.000 mobile Schadcodes. Mehr als ein Drittel (34 Prozent) davon kamen seit November 2013 hinzu.
Nach wie vor konzentrieren sich die Cyberkriminellen auf Android. Mehr als 98 Prozent der mobilen Schädlinge zielen auf die Google-Plattform ab.

Rund vier Millionen schädliche Apps werden von Cyberkriminellen als Vehikel genutzt, um mobile Schädlinge auf Android-basierende Geräte zu verbreiten. Insgesamt 10 Millionen schädliche Apps wurden von Kaspersky Lab zwischen den Jahren 2012 und 2013 entdeckt [2].

© Kaspersky

Entwicklung von Schadsoftware auf mobilen Geräten

Kaspersky Lab sieht eine Steigerung bei mobiler Malware, die für Phishing-Attacken und den Diebstahl von Bankinformationen wie Kreditkarten- oder Banking-Zugangsdaten entwickelt wurde. Im vergangenen Jahr blockierten die Produkte von Kaspersky Lab weltweit 2.500 mobile Infizierungsversuche von mobilen Banking-Trojanern. Derzeit gibt es über 1.300 einzigartige Malware-Samples im Bereich Banking-Trojaner.

„Der Großteil der Banking-Trojaner hat es derzeit auf Nutzer in Russland und den GUS-Länder abgesehen. Es ist allerdings unwahrscheinlich, dass dies in naher Zukunft so bleiben wird. Denn wenn das Interesse der Cyberkriminellen an Bankkonten steigt, werden mobile Trojaner in diesem Jahr auch vermehrt in anderen Ländern auftauchen. Wir kennen dies bereits von Perkel, einem Android-Trojaner, der Kunden mehrerer europäischer Banken ebenso wie der koreanische Schädlinge Wroba attackiert“, erläutert Christian Funk, Senior Virus Analyst bei Kaspersky Lab.

Top-Gefahr in Deutschland: SMS-Trojaner

Deutschland befindet sich in den Top-10 der am häufigsten attackierten mobilen Nutzer an sechster Stelle. Auf Deutschland entfallen somit 3,2 Prozent aller weltweiten mobilen Attacken. Die meisten Angriffe erfolgen auf Russland (40,34 Prozent). Es folgen Indien (7,9 Prozent), Vietnam (3,96 Prozent), die Ukraine (3,84 Prozent), Großbritannien (3,42 Prozent) und Deutschland.

Bei der Verteilung mobiler Bedrohungen gibt es regionale Unterschiede. In Deutschland treiben vor allem SMS-Trojaner ihr Unwesen. Russische Virenschreiber orientierten sich im vergangenen Jahr 2013 nach Europa, weil dort über das Versenden von SMS-Nachrichten an Premiumnummern Geld zu verdienen ist. Kaspersky Lab registrierte in Deutschland aktive Infektionsversuche mit SMS-Trojanern, insbesondere mit Schädlingen der Familie Agent. Zudem werden in Deutschland aktiv mobile Bank-Trojaner eingesetzt.

Top-5 der in Deutschland verbreiteten mobilen Schädlingsfamilien

1. RiskTool.AndroidOS.SMSreg (25,88 Prozent der attackierten individuellen Anwender)
2. DangerousObject.Multi.Generic (20,83 Prozent der attackierten individuellen Anwender)
3. Trojan-SMS.AndroidOS.Agent (9,25 Prozent der attackierten individuellen Anwender)
4. Trojan.AndroidOS.MTK (8,58 Prozent der attackierten individuellen Anwender)
5. AdWare.AndroidOS.Ganlet (5,92 Prozent der attackierten individuellen Anwender)

Die Kaspersky-Analyse basiert auf Daten des Kaspersky Security Network (KSN), bei dem Informationen über Cyberattacken auf Kaspersky-Kunden anonym, vertraulich und auf freiwilliger Basis erhoben werden [3].

Weitere Informatione zum Thema:

viruslist.com
Report „Mobile Bedrohungen im Jahr 2013“

[1] http://www.viruslist.com/de/analysis?pubid=200883845

[2] http://newsroom.kaspersky.eu/de/texte/detail/article/kaspersky-lab-findet-10-millionste-schaedliche-android-app/

[3] Die Analyse von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter http://www.kaspersky.com/images/KES8_Whitepaper_4_KSN.pdf abrufbar ist.

[datensicherheit.de, 15.10.2013] Der diesjährige TeleTrusT-Innovationspreis wird an die TÜV TRUST IT GmbH (Unternehmensgruppe TÜV Austria) für die IT-Sicherheitslösung „AppChecker“ vergeben. Die Preisübergabe erfolgt am 23.10.2013 auf der 15. „Information Security Solutions Europe Conference“ (ISSE) in Brüssel.
Der Sicherheitsservice „AppChecker“ prüft und bewertet einzelne Apps auf Basis neutraler Prüfkriterien, die aus aktuellen Sicherheitsstandards und Best Practices der TÜV TRUST IT GmbH entwickelt wurden. Die zu untersuchenden Apps werden aus den entsprechenden öffentlichen App Stores im Auftrag von Unternehmenskunden ausgewählt und einer umfassenden Prüfung unterzogen. Mit den Ergebnissen sind Unternehmen in der Lage, ihre mobile Infrastruktur vor schädlichen Apps zu schützen. In Verbindung mit dem jeweiligen Mobile Device Management des Unternehmens wird so eine effiziente Sicherung der mobilen Endgeräte bei gleichzeitiger Erhaltung größtmöglicher Funktionalität für die Nutzer ermöglicht.

„Nach den zahlreichen positiven Rückmeldungen unserer Kunden freuen wir uns sehr, dass der AppChecker auch die Jury des TeleTrusT Innovation Award überzeugen konnte“, sagt Detlev Henze, Geschäftsführer der TÜV TRUST IT GmbH. „Wir sind sehr stolz, in einer Reihe mit den namhaften Preisträgern der vergangenen Jahre zu stehen und fühlen uns bestätigt, die Entwicklung von hochwertigen und innovativen Sicherheitsdienstleistungen für unsere Unternehmenskunden fortzuführen.“

Die TÜV TRUST IT GmbH mit Standorten Köln und Wien ist als IT-TÜV tätig und gehört zur Unternehmensgruppe TÜV AUSTRIA. Im Vordergrund stehen die Identifizierung und Bewertung von IT-Risiken. Die Leistungen konzentrieren sich auf die Bereiche Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance.

Nominiert für den TeleTrusT-Innovationspreis 2013 waren insgesamt:

• antispameurope
• cryptovision
• digitronic
• docRAID
• gateprotect
• Link11
• Secusmart
• TÜV TRUST IT
• Werth IT

Auf der ISSE Conference, die den Rahmen für die Preisverleihung bildet, werden am 22. und 23.10.2013 in Brüssel mehr als 300 Teilnehmer aus 20 Ländern aktuelle IT-Sicherheitsthemen erörtern. Europäische und internationale Experten aus Forschung und Wirtschaft stellen IT-Sicherheitsszenarien, Studienergebnisse und Verfahren vor. Die Konferenz wird durch TeleTrusT gemeinsam mit der TeleTrusT-Partnerorganisation EEMA (European Association for e-Identity and Security) organisiert.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
15. ISSE-Konferenz: 22. – 23.10.2013 in Brüssel, Belgien

[datensicherheit.de, 14.10.2013] In immer mehr Unternehmen komen Smartphones und Tablet-PCs zu Einsatz, jedoch unterschätzen viele dabei die Risiken und Gefahren durch Schadprogramme, Geräteverlust oder Spionage, so eines der Ergebnisse der G Data Mobile Device Management Studie 2013. Nur sechs von zehn Firmen sehen generelle Sicherheitsrisiken, die durch die Nutzung von Mobilgeräten entstehen. Dabei gehen 83 Prozent aller Unternehmen von einer hohen Schadenswahrscheinlichkeit durch den Verlust eines Mobilgerätes aus. Eine effektive Absicherung gegen die Gefahren ist aber längst nicht überall selbstverständlich: Wie die G Data Studie zeigt, setzen nur 68 Prozent aller befragten Firmen auf den Einsatz einer Sicherheitslösung für ihre smarten Alleskönner. Knapp ein Drittel der Unternehmen sind so leichte Beute für Daten-diebe. Für die G Data Mobile Device Management Studie befragte der deutsche IT-Security-Hersteller insgesamt 4.000 deutsche Firmen aus dem KMU-Segment.

Mobile-Sicherheitsrisiken werden ignoriert

Viele Unternehmen ignorieren die Risiken, die durch den Einsatz von Smartphones und Tablets entstehen, nur etwa jedes sechste Unternehmen geht von einem hohen oder höheren Gefährdungspotential aus. Dabei können gerade diese Geräte schnell zu einem Sicherheitsrisiko werden. Gelingt eine Infektion des Gerätes mit Spionagesoftware, so sind Cyber-Kriminelle problemlos in der Lage einen Zugang zum Firmennetzwerk zu erhalten oder an sensible Firmendaten zu gelangen – wie beispielsweise Geschäftskontakte, E-Mails oder vertrauliche Dokumente.

Geräteverlust als Top-Gefahr für deutsche Unternehmen

Während generelle Risiken von einigen Firmen ignoriert werden, bedeutet ein Verlust oder Diebstahl des mobilen Begleiters für mehr als acht von zehn Unternehmen eine hohe oder sehr hohe Wahrscheinlichkeit eines Schadens.

Sicherheitssoftware im Unternehmenseinsatz

Eine Security Lösung gehört zur Basisausstattung von Netzwerken und Mobilgeräten, aber nur 68 Prozent der deutschen KMUs findet dies wichtig. Wie die G Data Mobile Device Management Studie zeigt, haben Firmen hier einen akuten Nachholbedarf, denn die Nachlässigkeit von fast einem Drittel der befragten Unternehmen spielt Kriminellen und Spionen geradewegs in die Hände.

Über die G Data Mobile Device Management Studie 2013

Der deutsche IT-Security-Hersteller befragte für seine Studie insgesamt 4.000 deutsche Unternehmen aus dem KMU-Segment und verschiedener Branchen. Fast die Hälfte der im Juli und August befragten Firmen beschäftigt zwischen 51 und 200 Mitarbeiter.

[datensicherheit.de, 10.10.2013] Die „it-sa 2013“ ist beendet – nach Angaben der Veranstalter hat die Nürnberger Fachmesse für IT-Sicherheit nach ihrer fünften Auflage ein doppeltes Plus zu verzeichnen: 357 Aussteller und über 6.900 Fachbesucher. Die Besucher-, Aussteller- und Flächenzahlen dieser Messe werden nach den einheitlichen Definitionen der Gesellschaft zur Freiwilligen Kontrolle von Messe- und Ausstellungszahlen (FKM) ermittelt und zertifiziert.
Die „it-sa 2013“ knüpfe nahtlos an die positive Entwicklung der Vorjahre an – noch mehr Aussteller und ein deutliches Plus an Fachbesuchern bewiesen einmal mehr, dass sie sich zu einem zentralen Treffpunkt der IT-Sicherheitsbranche entwickelt habe, freut sich Petra Wolf, Mitglied der Geschäftsleitung der NürnbergMesse.
Die zweite Auflage von „Congress@it-sa“ habe mit einem auf vier Tage erweiterten Kongressangebot und branchenspezifischen Tracks für IT-Sicherheitsprofis geglänzt. Der messebegleitende Kongress stehe für noch mehr Know-how und habe den Besuchern damit einen echten Mehrwert geboten. Ein besonderer Höhepunkt der „it-sa 2013“ sei die Jahrestagung der IT-Sicherheitsbeauftragten der Länder und Kommunen gewesen, die dort erfolgreich Premiere gefeiert habe, berichtet Frank Venjakob, Veranstaltungsleiter der „it-sa“ bei der NürnbergMesse.

Weitere Informationen zum Thema:

datensicherheit.de, 08.10.2013
5. Auflage der it-sa in Nürnberg eröffnet: Vertrauen in Informations- und Kommunikationstechnik als Erfolgsfaktor / Deutschland muss auch in IT- und Datensicherheitsfragen im eigenen Interesse Vorbildfunktion übernehmen

datensicherheit.de, 08.10.2013
it-sa 2013: Klares Bekenntnis zu konsequenter Digitalisierung und IT-Sicherheit / “BITKOM Executive Dinner” zur Krönung des ersten Messetages am 8. Oktober 2013

[datensicherheit.de, 10.10.2013] Die „it-sa 2013“ sei mit dem Anspruch angetreten, einen „360-Grad-Blick über alle Bereiche des IT-Sicherheitsmarktes“ zu bieten, so Claus Rättich, Mitglied der Geschäftsleitung der NürnbergMesse, in seinem Geleitwort zu deren fünfter Auflage. Die Redaktion von datensicherheit.de ist nun zum vierten Male als Aussteller und Medienpartner auf der „it-sa“ vertreten und konnte über die Jahre beobachten, dass sich die Veranstalter erfreulicherweise – trotz der eigentlich aus dem Namen und der Historie dieser Veranstaltung herrührenden thematischen Fokussierung auf die IT-Sicherheit – nicht nur einem Rundumblick verschrieben haben, sondern sogar einen ganzheitlichen Ansatz wählen.

Foto: Carsten Pinnow

Claus Rättich: „it-sa 2013“ soll 360-Grad-Blick über alle Bereiche des IT-Sicherheitsmarktes bieten

Schon die Datenebene muss geschützt werden!

So wird gewissermaßen auf der „it-sa“ auch ein Blick von einer Metaebene möglich, werden Datensicherheitsaspekte behandelt und ganz konkret hierzu auch Lösungen etwa von Beratern oder Herstellern sicherer Entsorgungssysteme für Datenmüll präsentiert.
Die Redaktion von datensicherheit.de wird nicht müde, deutlich zu machen, dass der Schutz allein der Informationen nicht ausreicht, sondern bereits die Datenebene umfänglich zu schützen ist! Denn was für den Einen nur Datenabfall ist, kann für den Konkurrenten oder Gegner eine üppig sprudelnde Quelle der Information sein. Nehmen wir z.B. ein mittelständisches produzierendes Unternehmen aus Deutschland, welches seit Jahrzehnten Expertenwissen bei der Herstellung hochfeiner metallischer Oberflächen geringer Rauigkeit erworben hat – wo bleibt deren Ausschuss? Entsorgung ist ein Kostenfaktor und sollte trotzdem sehr ernst genommen werden, insbesondere wenn es dabei nicht nur um Finanzen und Umweltschutz, sondern eben auch um Datensicherheit geht. Gelänge es einem Konkurrenten dieses Unternehmens, sich in den Besitz der Ausschussware zu bringen, könnte diese zur Goldgrube werden – vermittels physikalischer, chemischer bzw. metallurgischer Untersuchungen ließen sich für den Konkurrenten Produktionsgeheimnisse in Erfahrung bringen!
Oder würde es Ihnen gefallen, wenn Ihr Rechtsanwalt oder Arzt Mandanten- bzw. Patientenakten dem blauen Altpapiercontainer anvertraut und diese dann nicht zum Recyclinghof kommen, sondern in unbefugte Hände fallen, die Gebrauch machen von den in den im Abfall enthaltenen Informationen? Wer hätte es schon gerne, dass ein fremdes Blog so über eine Verkehrsstrafsache mit Führerscheinentzug oder eine Behandlung beim Hautarzt (der auch gleichzeitig Facharzt für Geschlechtskrankheiten ist) berichten und die Meldungen auch noch in Sozialen Netzwerken reposten könnte?
Es ist zukunftsweisend, dass die „it-sa“ nicht nur eine reine Messe ist, sondern in den Foren im Ausstellungsbereich, auf dem „congress@it-sa“ und „campus@it-sa“ auch immer wieder umfassende Datensicherheitsaspekte thematisiert werden. So wurde dort auch deutlich gemacht, dass trotz allen Fortschritts auf dem Gebiet der Informations- und Kommunikationstechnik das banale Blatt Papier im A4-Format noch immer der wichtigste Datenträger und damit eine sicherheitsrelevante Informationsquelle ist! Diese Erkenntnis hat die Konsequenz, dass kein Unternehmen bzw. keine Behörde oder sonstige Institution mit Anstand und Verstand Papierabfälle ungeschreddert in den Abfall gibt – und hierbei ist nicht nur der eigentliche Brief mit womöglich sensiblem Inhalt gemeint, sondern auch der Briefumschlag mit Absender und Adressat… Stichwort „Metadaten“: Auch wenn der Inhalt der Korrespondenz (zunächst) unbekannt bleibt, kann es schon wertvoll sein zu wissen, wer mit wem wie oft in Verbindung steht!
datensicherheit.de publiziert möglichst vielschichtig und unter verschiedensten Blickwinkeln eben dem Namen gemäß Artikel zum Thema Datensicherheit – und sieht darin Aspekte des Datenschutzes, der Datensicherung und der expliziten IT-Sicherheit als Teilmenge enthalten. Daher registriert es die Redaktion mit großer Freude, dass sich auch die „it-sa“ einem möglichst breiten Ansatz öffnet – auf Ausstellerseite und thematisch in den Foren – und so den Bogen von traditioneller und immer noch wichtiger papier- bzw. materiegebundener Datenverarbeitung, -weiterleitung, -speicherung und -nutzung zu den jeweils aktuellen Entwicklungen auf dem Gebiet der Informations- und Kommunikationstechnik schlägt.

Daten- bzw. IT-Sicherheit: Drei Hauptforderungen sind zu beachten!

Daten – bzw. IT-Sicherheit wird häufig über das Anforderungstripel Verfügbarkeit, Integrität und Vertraulichkeit hinsichtlich Soft-, Hard- und Orgware definiert.
Aktuelle Schadensvorfälle bzw. empörende Nachrichten über Verletzungen der Privatheit führen dazu, den Fokus sehr stark auf die Vertraulichkeit und Integrität zu legen.
Aber Sicherheit liegt oft auch in der Banalität – so sollte der Aspekt der Verfügbarkeit, d.h. das verlässliche Vorhandensein hochqualitativer, störungsunanfälliger technischer und organisatorischer Komponenten in kundigen Händen (die im Schadensfall schadensminimierend agieren und einen schnellen Wiederanlauf ermöglichen können), nicht aus den Augen verloren werden! U.A. unter dem Titel „Das perfekte Rechenzentrum“ bietet die „it-sa 2013“ auch hierzu eine Spezial-Plattform.

Datensicherheit im Spannungsfeld zwischen grober Fahrlässigkeit und Sicherheitswahn

Die Ausspähungsaffäre des Sommers 2013 ist extrem ambivalent, kündet sie doch einerseits von Fahrlässigkeit in Europa, Bürger- und Verbraucher nicht wirksam zu schützen (und dies trotz der wohl jahrelangen Kenntnis dieser Praxis zumindest in Expertenkreisen), und andererseits von einem Überwachungs- und Sicherheitswahn historischen Ausmaßes. Dass ausgerechnet zwei westliche Staaten, die insbeondere in der Epoche der Ost-West-Systemkonfrontation, im Kalten Krieg, als Hort der Demokratie, Rechtsstaatlichkeit und Freiheit galten, sich mit übelsten totalitären Schnüffelregimen im Geiste und in der Praxis gemein machen, entsetzt und zerstört nachhaltig das Vertrauen. Hatte man nach 1989/1990 gehofft, dass die aberwitzige Sammelwut etwa des Staatssicherheitsdienstes der damaligen DDR, der sogar Geruchsproben von vermeintlichen Regimegegnern hortete, endgültig der Vergangenheit angehören würde, muss man sich heute wohl auf weitere schockierende Enthüllungen über Sicherheits- und Überwachungswahn im 21. Jahrhundert gefasst machen.
Wohin ein solcher im Falle volkswirtschaftlich angeschlagener Staaten (da gibt es sicher auch einen Zusammenhang) führen kann, haben ja gerade die Wendejahre um 1989/1990 gezeigt – es wäre gut, wenn der Westen aus der Geschichte lernte und auch die ehedem hochgehaltenen eigenen Werte wiederentdeckte!
Der „it-sa“ fällt die Aufgabe zu, weiterhin in der Ergänzung zur Präsentation konkreter Produkte und Dienstleistungen im Ausstellungsbereich parallel in den Foren und im Begleitprogramm einerseits moderierend zur Versachlichung der Diskussion beizutragen, aber eben auch die Plattformen zu bieten, auf denen ohne „Schere im Kopf“ und ohne falsche Zurückhaltung Fehlentwicklungen bzw. gefährliche Unterlassungen im In- und Ausland erörtert werden können.

Deutschland in der Verantwortung für Sicherheit mit Verstand und Anstand

Nicht allein die eigene geschichtliche Erfahrung mit Irrungen und Wirrungen, sondern auch die heutige Position in Europa gebietet es, dass Deutschland, d.h. u.a. seine Bürger, Behörden, Unternehmen und Vereinigungen, Verantwortung übernehmen.
Dies gilt für viele Fragen, so gewiss auch für die das 21. Jahrhundert maßgeblich bestimmende Informations- und Kommunikationstechnik. Die fachliche Information, die engagierte Diskussion sowie die herausragende Präsentation von Problemen sowie Lösungsansätzen brauchen Kristallisationspunkte – die „it-sa“ am Standort Nürnberg ist einer davon. Die Messeleitung ist auf einem guten Weg, den Spagat zwischen der aktuellen Rückbesinnung auf Qualitätsangebote „Made in Germany“ und einer auch für ausländische Besucher und Anbieter attraktiven Fachmesse im Herzen Europas mit mindestens kontinentaler Ausstrahlung glaubwürdig dauerhaft zu schaffen.

it-sa 2013 – Messetalk

[datensicherheit.de, 10.10.2013] Moderiert von Peter Hohl, dem spiritus rector der „it-sa“, fand am letzten Messetag der „5. DsiN-MesseCampus auf der it-sa“ statt. Hohl führte aus, dass angesichts des sich abzeichnenden Fachkräftemangels auch auf dem Gebiet der IT-Sicherheit den anwesenden Studentinnen und Studenten erfreuliche Berufsperspektiven beschieden seien.

Foto: Dirk Pinnow

Peter Hohl: Gute Berufsperspektiven für IT-Sicherheitsexperten

Ermutigung an Informatik studierende Teilnehmer zur Stellensuche beim Staat

Der IT-Direktor und IT-Beauftragte des Bundesministeriums des Innern, Martin Schallbruch, machte in seinem Impulsvortrag deutlich, dass IT-Sicherheit nicht allein ein technisches Problem ist. Angesichts der ständigen Phishing-Attacken auf Verbraucher oder der ungebremsten Angriffe auf Regierungsnetze werde deutlich, dass auch die Politik gefragt sei. Da IT-Anwendungen jeden Verbraucher und jedes Unternehmen beträfen, müsse es eine stärkere Schwerpunktsetzung der Politik auf IT-Sicherheit geben.

Foto: Dirk Pinnow

Martin Schallbruch: IT-Sicherheit nicht nur technisches, sondern auch politisches Problem

Es gebe, so Schallbruch, in der realen Welt den europäischen Anspruch auf einen von Freiheit, Sicherheit und Recht erfüllten Lebensraum – diesen gelte es auch im Cyberspace durchzusetzen. Aus unserer Grundordnung lasse sich das Anrecht auf Integrität jedes Bürgers ableiten. Es sei schon wichtig, dass Polizei und Geheimdienste das Recht zu Schadensabwehr bzw. Strafverfolgung hätten, aber das Recht des Einzelnen auf Integrität müsse dabei gewahrt bleiben.
Insgesamt müsse in der Gesellschaft das Sicherheitsbewustsein und das -Know-how verstärkt werden. In diesem Zusammenhang stelle sich die Frage, welche Aufgaben die Politik jetzt zu Beginn der neuen Legislaturperiode aufgreifen sollte – wesentlich sei z.B. die Zertifizierung, weshalb das BSI ausgebaut werden solle. Auch sollte der Staat hinsichtlich seiner IT-Anwendung Vorbildfunktion übernehmen (Stichwort „eGovernment“), hohe Sicherheitsstandards prägen und diesbezüglich auch als Nachfrager auftreten. Ferner müssten kritische Infrastrukturen gegen Cyber-Angriffe geschützt werden; hierfür sollten gesetzliche Forderungen nach höchstem Schutzniveau verankert werden. Ebenso sollte das Verbraucherrecht gegenüber Providern in dem Sinne gestärkt werden, dass die Anbieter von Telekommunikations-Dienstleistungen und -Infrastrukturen Anwender warnen müssten, sobald ein Missbrauch z.B. durch Einbindung in ein Botnetz erkennbar wird.
Abschließend rief Schallbruch die studierenden Teilnehmer im Auditorium auf, sich gut ausbilden zu lassen und dann auch nach Stellen im staatlichen Bereich zu suchen, um so zur Anhebung des Sicherheitsniveaus beizutragen.

DsiN steht für Hilfe zur Selbsthilfe

Der Vorstandsvorsitzende des Deutschland sicher im Netz e.V. (DsiN), Dr. Christian P. Illek, stellte die Aufgaben und den Anspruch des DsiN vor.

Foto: Dirk Pinnow

Dr. Christian P. Illek: DsiN als Ansprechpartner für KMU und Verbraucher

Als Ansprechpartner für kleine und mittelständische Unternehmen (KMU) sowie Verbraucher, insbesondere die ganz jungen und die älteren, wolle man Hilfe zur Selbsthilfe hinsichtlich der IT-Sicherheit anbieten. Motiviert sei man auch durch die aktuelle Studie zur Lage der IT-Sicherheit im Mittelstand, in der viele Schwachstellen erkennbar seien. Insbesondere fehle weitgehend das Wissen um die rechtlichen Rahmenbedingungen des Cloud-Einsatzes. Schulung der Anwender sei somit eine der besten Präventionsmaßnahmen; allerdings seien hierzu für alle relevanten Bereiche der IT-Sicherheit verbindliche Regelwerke gefragt.

Angehende Programmierer sollten das BDSG lesen und verstehen

Die erste Kurzvorlesung der Reihe „9 Minuten IT-Sicherheit“ war den Datenschutz-Anforderungen während der Softwareentwicklung gewidmet. Prof. Dirk Koschützki vom Steinbeis-Transferzentrum Cyber-und Informationssicherheit der Hochschule Furtwangen fragte unter den Anwesenden, wer sich mit dem Bundesdatenschutzgesetz (BDSG) auskennt. Die spärliche Reaktion zeigte, dass Fortbildung dringend geboten ist, denn das BDSG legt technisch-organisatorische Maßnahmen („TOMs“) zum Umgang mit personenbezogenen Daten fest, die im Grunde für alle verbindlich sind.

Foto: Dirk Pinnow

Prof. Dirk Koschützki: Datensicherheit beginnt bei der Softwareentwicklung

Ein Gebot des BDSG sei z.B. jenes der Datensparsamkeit – es dürften nur Daten mit Einwilligung des Betroffenen verwendet werden, die auch zur Erfüllung der jeweiligen Aufgabe zweckdienlich sind. Unter dem Stichwort „Weitergabekontrolle“ gebiete das BDSG, dass die datenverarbeitende Stelle Maßnahmen ergreift, um unbefugten Zugriff zu verhindern – eine solche könnte die Verschlüsselung sein. Datensicherheitsanforderungen müssten schon frühzeitig bei der Softwareentwicklung Berücksichtigung finden, betonte Professor Koschützki.

Mittelständische Programmierungen oft ohne Projektmanagement

Über „Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen“ referierte Prof. Udo Kalinna, Institut für Applikationssicherheit der Hochschule Emden/Leer. Es vergehe kein Tag ohne „Hack“- vor allem in KMU-Webapplikationen seien Fehler zu finden, wie Penetrationstest zeigten.

Foto: Dirk Pinnow

Prof. Udo Kalinna: Bessere Ausbildung für bessere Programme!

Vielfach fehlten Programmierern das für IT-Sicherheit relevante Können und das notwendige Bewusstsein für Risiken – bei nicht wenigen mittelständischen Webentwicklungen gebe es gar kein Projektmanagement. Software werde oft unter Zeitdruck unter Auslassung des Qualitätsmanagements fertiggestellt, nicht selten gar an den billigsten Anbieter outgesourct. Dann könne von „Security by Design“ überhaupt keine Rede sein. Bessere Programme, so schloss Professor Kalinna erforderten besser ausgebildete Studenten im Vorfeld.

Internet der Zukunft: Globale Kooperation oder Separation?

Zum Abschluss der Kurzvorlesungen erörterte Prof. Norbert Pohlmann, Westfälische Hochschule Gelsenkirchen, die Frage „How global is the Village Internet?“ Zunächst stellte er die Mitspieler im Internet vor – die Regierungen, die IT-Firmen, die Nutzer und Anwendungsfirmen sowie die Angreifer.

Foto: Dirk Pinnow

Prof. Norbert Pohlmann: Aufruf an die junge Generation, das Internet der Zukunft mitzugestalten

Das Internet der Zukunft könnte globalen Dörfern gleichen; somit drohe eine Separierung, zumal wenn es dann keine allgemeine Vertrauens- und Verantwortungsbasis gebe. So könnten am Ende politisch geprägte parallele Web-Welten existieren (u.a. NAFTA, EU, BRIC, OPEC etc.) oder von einem wirtschaftlichen Oligopol geprägte (z.B. Amazon, Apple, facebook, Google etc.).
Gesetze, so mahnte Professor Pohlmann, folgten Kulturen – so sei die junge Generation heute aufgerufen, eine global gemeinsame Internet-Kultur zu schaffen und als Mitspieler Verantwortung zu übernehmen, um den Erfolg des Internets auch in Zukunft zu sichern.

Weitere Informationen zum Thema:

it-sa Benefiz
Start

Deutschland sicher im Netz e.V.
Gemeinsam für mehr IT-Sicherheit

Welcome to OWASP
the free and open software security community

[datensicherheit.de, 09.10.2013] Den Ernst der Bedrohungslage für SCADA-basierte kritische Infrastrukturen stellte am 9. Oktober 2013 im „Forum Blau (Technik)“ Marco Di Filippo dar. In Anlehnung an einen in der New Yorker U-Bahn spielenden Action-Film berichtete Di Filippo bewusst etwas reißerisch unter dem Titel „Die Entführung der U-Bahn Pelham 123 – Angriffe auf kritische Infrastrukturen“ über ein Simulationsprojekt der Compass Security Deutschland GmbH aus Berlin, welches bisher zum Glück nur ein fiktives Szenario beschreibt.
Nach dem Honeypot-Prinzip habe man im Rahmen des „HoneyTrain-Projects“ eine realistisch wirkende S-Bahnlinie im ICS-Prüflabor in Betrieb genommen – mit eigener Website und einer Modellbahnstrecke. Wie bei der Nürnberger U-Bahn laufe der Fahrbetrieb vollautomatisch, d.h. ohne Zugführer ab. Diese S-Bahnlinie habe man über das WWW mit der Außenwelt verbunden, um aus online erfolgenden Angriffsversuchen zu lernen.

Foto: Dirk Pinnow

Marco Di Filippo: Angriffsversuche ohne Hemmschwelle!

Im Rahmen eines 24-Stunden-Test habe es 24 Angriffsversuche auf Anwendungsebene, 13 nicht autorisierte Zugriffe auf Feldbus-Ebene und vier direkte Eingriffe in den Steuerungsprozess gegeben. Es gebe offenbar „keine Hemmschwelle“ mehr, so Di Filippos erschreckendes Fazit, denn in der Realität habe man es ja nicht mit einem Modellzug, sondern unter Umständen mit einer vollbesetzten S-Bahn zu tun…

Weitere Informationen zum Thema:

Compass Security Deutschland GmbH
HoneyTrain Project