[datensicherheit.de, 30.09.2020] Laut einer aktuellen Mitteilung des Bundeskriminalamts (BKA) wurden 100.514 Fälle von Cyber-Kriminalität im engeren Sinne von der deutschen Polizei im Jahr 2019 registriert – was einem Anstieg von über 15 Prozent gegenüber der Vorjahreszahl entspreche (2018: 87.106 Fälle). Aus dem am 30. September 2020 vom BKA veröffentlichten „Bundeslagebild Cybercrime 2019“ gehe hervor, dass die Anzahl der polizeilich bekannten Taten damit einen neuen Höchststand erreiche.

Seit 2019 beobachtet das BKA „Double Extortion“

„Die Schäden, die durch entsprechende Taten entstehen, sind hoch“: So schätze der Branchenverband bitkom, dass der Wirtschaft im Jahr 2019 ein Schaden von über 100 Milliarden Euro durch Cyber-Angriffe entstanden sei. Neben Wirtschaftsunternehmen seien auch öffentliche Einrichtungen bevorzugte Ziele der Täter, welche sich dort hohe kriminelle Gewinne erwarteten.
Die größte Gefahr gehe weiterhin von Angriffen mittels sogenannter Ransomware aus. Diese Software verschlüssele die Daten auf dem angegriffenen Rechner – für deren Entschlüsselung forderten die Täter meist einen Geldbetrag, der in der Regel in Form von sogenannten Bitcoins zu entrichten sei. Seit dem vergangenen Jahr, 2019, beobachte das BKA mit der „Double Extortion“ einen neuen Modus Operandi („Art der Durchführung“), bei dem die Täter die IT-Systeme ihrer Opfer nicht nur mittels Ransomware verschlüsselten, sondern im Zuge der Attacken auch sensible Daten erbeuteten und damit drohten, diese zu veröffentlichen.

BKA-Sonderauswertung „Cybercrime in Zeiten der COVID-19-Pandemie“

Die Polizei habe 2019 insgesamt 22.574 Tatverdächtige festgestellt – über zwei Prozent mehr als noch in Vorjahr, 2018 (22.051 Tatverdächtige). Cyber-Kriminelle seien in der Regel international vernetzt und agierten arbeitsteilig. Hinzu komme, dass sie sich neuen Situationen flexibel anpassten.
Diese Flexibilität ließen die Täter auch im Zusammenhang mit der „COVID-19-Pandemie“ erkennen, wie aus der Sonderauswertung „Cybercrime in Zeiten der COVID-19-Pandemie“ hervorgehe. In der ebenfalls am 30. September 2020 veröffentlichten Analyse des Zeitraums März bis August 2020 werde beispielsweise auf unmittelbar nach Beginn der „Pandemie“ erstellte Webseiten eingegangen, welche in Anlehnung an die Internetpräsenzen staatlicher Stellen etwa mit Informationen und Beratungsgesprächen zur „Corona“-Soforthilfe geworben hätten – durch Betätigung von Schaltflächen auf den betreffenden Webseiten seien die Computer der Besucher mit Malware infiziert worden. Ähnlich sei es Empfängern von E-Mails ergangen, welche scheinbar von staatlichen Stellen oder Banken stammten und Informationen zum Thema „Corona“ enthielten: Beim Öffnen eines Anhangs sei der Computer der Betroffenen mit Schadsoftware infiziert worden.

BKA fordert: Aufforderungen zu Geldzahlungen sollte niemals nachgekommen werden!

Die hohe Zahl der Straftaten und die vielfältigen Modi Operandi im Zuge der „COVID-19-Pandemie“ zeigten, dass es sowohl für Mitarbeiter von Unternehmen als auch für Privatpersonen wichtig sei, ihre Daten vor dem Zugriff von Cyber-Kriminellen zu schützen. Dazu gehöre ein aktueller Virenschutz genauso wie sichere Passwörter und regelmäßige Backups.
Wichtig sei aber auch, bei E-Mails von unbekannten Absendern skeptisch zu bleiben, auch wenn diese den Eindruck erweckten, von einer Behörde, Bank oder Bekannten versandt worden zu sein. Aufforderungen zu Geldzahlungen sollte niemals nachgekommen werden. Betroffene von „Cybercrime“ sollten vielmehr möglichst zeitnah die Polizei informieren. Denn nur wenn die Polizei von Cyber-Straftaten erfährt, könne sie die Täter ermitteln und die Begehung weiterer Straftaten verhindern.

BKA-Kapazitäten im Bereich „Cybercrime“-Bekämpfung sollen weiter ausgebaut werden

„Mit der Einrichtung der Abteilung ,Cybercrime‘ hat das Bundeskriminalamt die Bekämpfung der Kriminalität im Netz weiter gestärkt. Ein wichtiger Aspekt unserer Arbeit ist dabei die Analyse. Denn nur wenn wir wissen, wie die Cyber-Kriminellen vorgehen, können wir darauf zielgerichtet reagieren. Die heute veröffentlichte Sonderauswertung zu ,Cybercrime‘ in Zeiten der ,COVID-19-Pandemie‘ ist ein gutes Beispiel dafür“, so Martina Link, BKA-Vize-Präsidentin.
Ihre gewonnenen Erkenntnisse setzten sie auch bei Ermittlungen auf dem Gebiet der Cyber-Kriminalität ein. Die Ziele seien klar: „Kriminelle Netzwerke aufdecken, Strukturen zerschlagen und Tatverdächtige überführen.“ Ihr Anspruch sei es, den Tätern stets einen Schritt voraus zu sein. Link: „Daher werden wir unsere Kapazitäten im Bereich ,Cybercrime‘-Bekämpfung weiter ausbauen.“

Weitere Informationen zum Thema:

Bundeskriminalamt, 30.09.2020
Bundeslagebild Cybercrime 2019

datensicherheit.de, 11.11.2019
BKA stellt Bundeslagebild für 2018 vor

[datensicherheit.de, 27.08.2020] Cyber-Kriminalität stellt inzwischen eine regelrechte globale digitale Industrie dar, welche Ländergrenzen einfach ignoriert. Sie generiert inzwischen Einnahmen, welche mit einigen der die größten Volkswirtschaften der Welt konkurrieren könnte, und bietet quasi professionell Wissensaustausch, Dienstleistungen und Instrumente an, um die Einrichtung globaler Netzwerke für Betrügereien zu erleichtern. Bereits 2014 warnte das Center for Strategic and International Studies (CSIS), dass Cyber-Kriminalität etwa 0,7 Prozent des weltweiten Einkommens kostet, erhöhte dann aber im Jahr 2018 die Schätzung auf 0,8 Prozent – was einem Gegenwert von rund 600 Milliarden US-Dollar pro Jahr entspricht. Die vorliegende aktuelle Analyse aus dem „LexisNexis® Digital Identity Network®“ unterstreicht die Ansicht, „dass Cyber-Kriminalität ein gut organisiertes, globales Unterfangen ist“, welches Hyper-Verbünde betrügerischer Netzwerke entstehen lässt.

Alexander Frick, Head of Sales D/A/CH ThreatMetrix, Bild: ThreatMetrix

Transaktions- und Angriffstrends sowie Betrugsvorfälle aus der ganzen Welt

Für den „LexisNexis Risk Solutions Cybercrime Report“ wurden zunächst Verhalten und Handlungen von Betrügern verfolgt, die über mehrere Organisationen innerhalb des „Digital Identity Network®“ operieren. Nun wurde für den vorliegenden Bericht die Analyse auf globale Betrugsnetzwerke erweitert und deren Anatomie nach Geographie, Branche und Volumen klassifiziert. Der Bericht kombiniert Transaktions- und Angriffstrends aus der ganzen Welt mit Betrugsvorfällen aus Regionen, Branchen und Unternehmen.

Betrüger globalisieren sich – internationaler Informationsaustausch zur Abwehr zwingend

Sowohl für Verbraucher wie auch für Betrüger nehmen die Chancen, die eine globale digitale Wirtschaft bietet, in hohem Maße zu. Während Verbraucher verbesserten Zugang zu Waren und Dienstleistungen aus der ganzen Welt haben, nutzen Betrüger gestohlene Identitätsdaten, um entsprechende globale Angriffe zu starten. Unternehmen benötigen daher Instrumente, um globale Betrügereien aufspüren zu können und gleichzeitig eine niederschwellig erreichbare Umgebung für vertrauenswürdige Benutzer. „Die Nutzung von Netzwerken und Konsortien zum Austausch von Informationen über Cyber-Kriminalität und bekannte Betrüger über Branchen und Regionen hinweg ist wichtiger denn je.“

Regionale Nuancen in der Cyber-Kriminalität: Taktiken variieren

Regionale Nuancen in der Cyber-Kriminalität spiegeln die wirtschaftlichen, kulturellen und sozialen Unterschiede jedes einzelnen Landes wider und können der Analyse von Betrug ohne Grenzen weiteren Kontext hinzufügen. So sind typische Wachstumswirtschaften zum Beispiel oft anfällig für die Ausbeutung durch Betrüger, die nach Schwachstellen in neuen und neu entstehenden Prozessen und Plattformen suchen. Auch wenn reifere Volkswirtschaften möglicherweise bereits über mehrschichtige Sicherheitsvorkehrungen verfügen, können Betrüger diese jedoch immer noch durch raffinierte „Social Engineering“-Betrügereien umgehen.

Erkenntnisse aus dem LexisNexis® Risk Solutions Cybercrime Report July-December 2019

• Analyse des regionalen Wachstums als alternative Sicht auf automatisierten Bot-Verkehr
  Bot-Volumina erweisen sich als „sehr unbeständig“, denn eine Bot-Attacke repräsentiert im Prinzip Millionen einzelner Angriffe. Die Analyse des regionalen Wachstums kann nun eine alternative Sicht auf den automatisierten Bot-Verkehr geben, der auf bestimmte Branchen und Regionen ausgerichtet ist.
• Trotz globaler Abnahme Zunahme der Bot-Attacken aus einzelnen Ländern
  Nach Angaben von LexisNexis verzeichnet das „Digital Identity Network“ derzeit ein „starkes Wachstum bei Bot-Angriffen aus Kanada, Deutschland, Frankreich, Indien und Brasilien“, trotz der Tatsache, dass das globale Bot-Volumen gesunken ist.
• Hauptsächlich Finanzdienstleistungen und Medien im Visier
  Bots aus Kanada, Frankreich und Deutschland zielten alle auf die dieselbe Gruppe von Organisationen, bei denen es sich hauptsächlich um Finanzdienstleistungen handelte und Medien. Obwohl sich diese Bots vorwiegend auf Account-Übernahmen kaprizieren, hat die Anzahl der Angriffe von Account-Erstellungs-Bots in der zweiten Hälfte des Jahres 2019 weltweit zugenommen.
• Betrüger nutzen mehrere Standorte, um gezielte Angriffe zu starten
  Ein Beispiel für dieses Botnetz-Wachstum ist in der Finanzdienstleistungsbranche zu sehen, wo Kontoeröffnungs-Transaktionen von ein und demselben Bot aus Brasilien, Indien und Thailand ins Visier genommen wurden – „was zeigt, wie Betrüger mehrere Standorte nutzen, um gezielte Angriffe zu starten“.

Über LexisNexis Risk Solution

Das globale Datenunternehmen LexisNexis Risk Solutions ist spezialisiert auf innovativen Produkte und Lösungen, die Organisationen aller Art helfen, Risiken wie Identitätsdiebstahl, Betrug, Geldwäsche und Terrorismus zu managen und Finanzkriminalität und Versicherungs- und Subventionsschwindel zu verhindern. Eines davon ist ThreatMetrix®, welches eine  Unternehmenslösung für digitale Identitätsinformationen und Authentifizierungen anbietet, die durch Einblicke in Milliarden von Transaktionen unterstützt wird. Durch eingebettetes maschinelles Lernen bietet diese leistungsstarke Plattform eine Reihe an Möglichkeiten, um intelligentere Identitätsentscheidungen zu treffen, wie zum Beispiel zwischen vertrauenswürdigen und betrügerischem Verhaltensmuster zu unterschieden.

Weitere Informationen zum Thema:

LexisNexis Risk Solution
Fraud Without Borders / LexisNexis® Risk Solutions Cybercrime Report July-December 2019

datensicherheit.de, 22.08.2020
RSA hat aktuellen Fraud Report veröffentlicht

[datensicherheit.de, 04.06.2020] Bildungseinrichtungen als Nutzer fortschrittlicher Technologien geraten nach Erkenntnissen von NETSCOUT „zunehmend ins Visier von Cyber-Kriminellen“. Sie haben im Idealfall im Laufe der Jahre zunehmend in Technologie investiert, um sowohl die Effizienz und Produktivität zu steigern als auch neue Dienstleistungen wie Online-Tests, Hausaufgaben, Unterricht und Verwaltung zu ermöglichen. Während der Diebstahl Geistigen Eigentums nun nach wie vor ein Hauptziel der Angreifer sei, beobachtet NETSCOUT nach eigenen Angaben „die Bedrohung der Verfügbarkeit von Bildungsangeboten, insbesondere durch den Einsatz von DDoS“. In Anbetracht dessen sollten Bildungseinrichtungen verstärkt Cyber-Attacken vorbeugen. Starke Netzwerksegmentierung, Best-of-Breed-DDoS-Schutz und kontinuierliche Überwachung seien entscheidende Faktoren, um sicherzustellen, dass Dienste sicher und konsistent bereitgestellt werden könnten.

Abbildung: NETSCOUT

Min. 186.000 DDOS-Angriffe weltweit gegen Bildungseinrichtungen 2019

8,4 Millionen DDoS-Angriffen im Jahr 2019

In dem kürzlich veröffentlichten „NETSCOUT Threat Intelligence Report“ wird demnach über die Beobachtung von 8,4 Millionen DDoS-Angriffen im Jahr 2019 berichtet – mindestens 186.000 dieser Angriffe seien weltweit gegen Bildungseinrichtungen gerichtet gewesen.
Auffällig sei, dass die Angriffshäufigkeit dem globalen Bildungsrhythmus entspreche, wonach ein großer Teil der Weltbevölkerung auf der Nordhalbkugel im Sommer pausiere. Zudem repräsentierten die Angriffsarten die gesamte Bandbreite der DDoS-Techniken, einschließlich der neuen, 2019 erstmalig aufgetretenen.

Bildungseinrichtungen weltweit vor DDoS-Angriffen geschützt

Abgesehen von der Bereitstellung der Daten habe NETSCOUT die Möglichkeit gehabt, einige wenige Bildungseinrichtungen weltweit vor DDoS-Angriffen zu schützen, und dabei „wichtige Erkenntnisse“ erlangt. So seien Angriffe zeitlich so geplant gewesen, dass sie mit wichtigen, online verwalteten Prüfungen zusammengefallen seien. Sie hätten diese spezifischen Angriffe zwar vereiteln können, jedoch sei der Angreifer erst nach Abschluss der Prüfungsperiode verschwunden.
Zudem seien in mehreren Fällen Systeme und Computerressourcen anderer Bildungseinrichtungen für die Angriffe verwendet worden. „Dies bedeutet nicht unbedingt, dass der Angreifer eine Verbindung zur anderen Einrichtung hatte, aber die oft in Bildungseinrichtungen vorhandenen Computer- und Netzwerkkapazitäten sind für Angriffe durchaus attraktiv.“

Offenbar überwiegend nationalstaatliche DDoS-Akteure

Natürlich seien Studenten nicht die einzige und nicht die Hauptbedrohung für die Bildungssysteme, denn nationalstaatliche Akteure zielten seit Langem auf die Hochschulbildung ab – in erster Linie mit dem Ziel, oft einzigartiges Geistiges Eigentum zu stehlen.
Vor etwas mehr als einem Jahr habe NETSCOUT über eine Kampagne namens „Stolen Pencil“ berichtet, „bei der vermutlich nordkoreanische Akteure anhaltenden Zugang zu einer Reihe von Universitäten und Denkfabriken in ganz Nordamerika hatten“.

Ausbreitung von IoT-Geräten erleichtern weltweit DDoS-Angriffe

Ein weiterer Grund zur Sorge im Bildungssektor sei die zunehmende Verbreitung von Internet-of-Things-Geräten (IoT). Umgangssprachlich verstehe man darunter jedes an ein Netzwerk angeschlossenes Nicht-Standard-Computergerät – beispielsweise Drucker, IP-fähige Videokameras oder digitale Whiteboards. Aufgrund mangelnder Sicherheitsvorkehrungen sowie der großen Anzahl vorhandener Geräte bildeten diese heute oft die Grundlage für DDoS-Angriffe weltweit.
Die NETSCOUT-Forschung habe gezeigt, dass die Malware-Familie namens „Mirai“ erweitert worden sei, um eine immer breitere Palette von Gerätetypen abzudecken. Dadurch habe sich das potenzielle Ausmaß der Angriffe, an denen diese Geräte beteiligt seien, erheblich vergrößert.

Weitere Informationen zum Thema:

NETSCOUT
NETSCOUT Bericht zur Gefahrenerkennung / With Key Findings from the 15th Annual Worldwide Infrastructure Security Report (WISR)

datensicherheit.de, 20.05.2020
Finanzsektor: Steigende Anzahl an DDoS- und Credential-Stuffing-Angriffen

datensicherheit.de, 11.05.2020
Deutlicher Anstieg der Cyberangriffe mittels DDoS-Attacken im Jahr 2020

datensicherheit.de, 16.10.2019
DDoS-Angriffe als Ablenkungsmanöver

[datensicherheit.de, 03.06.2020] Sogenannte BEC-E-Mails zuverlässig als solche zu entlarven, stellt eine große Herausforderung dar. Ein solcher Angriff per „Business eMail Compromise“ – auch als „Chefmasche“ oder „CEO-Betrug“ bekannt – nutzt menschliches Verhalten aus. proofpoint stellt nun aktuell als E-Book eine Aufstellung der bekanntesten und niederträchtigsten BEC- und EAC-Angriffe („eMail Account Compromise“) der letzten zwölf Monate zur Verfügung.

Abbildung: proofpoint

proofpoint-E-Book „Sie haben BEC! Die 10 größten, gefährlichsten und dreistesten BEC-Betrugsversuche von 2020 und 2019“

Business eMail Compromise: dicht dran am Original

Es ist offensichtlich nicht immer einfach, authentische E-Mails und betrügerische Nachrichten zu unterscheiden: Die Anfrage etwa stammt von der richtigen Person und auch deren Inhalt – etwa eine Banküberweisung vorzunehmen oder Auskunft zu vertraulichen Mitarbeiterdaten zu geben – kann durchaus zum üblichen Tagesgeschäft des jeweiligen Mitarbeiters gehören.
Indem der Absender solcher Anfragen nun seine Identität fälscht, kann es ihm gelingen, den Ansprechpartner damit zu überlisten – ein unter Umständen teurer Irrtum.

Business eMail Compromise nutzt für Menschen typischen Eigenschaften aus

BEC-Angriffe nutzen laut proofpoint „just die für Menschen typischen Eigenschaften aus, die eine funktionierende Gesellschaft sowie reibungslose Abläufe in Unternehmen erst ermöglichen“.
BEC-Betrüger setzten auf menschliche Psychologie und bezögen sich auf reguläre Geschäftsprozesse, um die Adressaten dazu zu verleiten, z.B. Gelder zu überweisen, Überweisungen und Zahlungen umzuleiten oder vertrauliche Informationen zu versenden.

Business eMail Compromise eng verwandt mit eMail Account Compromise

Die Kompromittierung von E-Mail-Konten (EAC) sei eng mit BEC verwandt. Doch anstatt lediglich mithilfe eines Doppelgänger-Kontos eine Person zu imitieren, der ein Anwender vertraut, kaperten EAC-Angreifer das tatsächliche Konto der vertrauenswürdigen Person.
BEC- und EAC-Angriffe ließen sich insbesondere mit veralteten Tools, nur punktuell ansetzenden Lösungen und den in Cloud-Plattformen integrierten Schutzmaßnahmen nur schwer erkennen und verhindern. BEC-E-Mails enthielten weder Malware noch schädliche URLs, welche mit standardmäßiger Cyber-Abwehr analysiert werden könnten.

Business eMail Compromise: Beute in Milliarden-Höhe

Es überrasche nicht, dass die Opfer von BEC-Betrugsversuchen bereits Milliarden US-Dollar verloren hätten – mit steigender Tendenz. Im aktuellen E-Book stellt proofpoint „einige der größten, gefährlichsten und dreistesten Betrugsversuche der letzten Monate vor“.
Diese Fälle zeigten, dass BEC- und EAC-Betrüger in der Wahl ihrer Ziele nicht wählerisch seien: Sie griffen Organisationen jeder Größe sowie Menschen auf jeder Stufe der Karriereleiter an.

Ein Fallbeispiel: Rijksmuseum Twenthe

Cyber-Kriminelle hätten „große Beute im Sinn“. Daher überrasche es kaum, wenn sie z.B. die mit wertvollen Meisterwerken befassten Kunsthändler und Museen ins Visier nähmen. Irgendwann habe in diesem konkreten Fall ein Betrüger entweder das E-Mail-Konto des Kunsthändlers kapern oder eine überzeugende Doppelgänger-Adresse erstellen können. Der Händler habe jedenfalls das Gemälde „A View of Hampstead Heath: Child’s Hill, Harrow in the Distance“ des englischen Landschaftsmalers John Constable aus dem Jahre 1824 verschickt, doch die Überweisung sei an ein Konto in Hongkong und nicht an jenes des Verkäufers gegangen – der EAC-Betrüger habe in einer früheren E-Mail die Zahlungsdetails „aktualisiert“.
Das Rijksmuseum Twenthe (Nationalmuseum im niederländischen Enschede) habe so 3,1 Millionen US-Dollar verloren. Es habe sodann den Kunsthändler verklagt und behauptet, dieser hätte fahrlässig gehandelt oder nicht eingegriffen, als der Betrüger sein Konto kompromittierte. Der Händler habe im Gegenzug gegen das Museum geklagt und sei der Meinung, dass dort die Bankdaten vor der Überweisung hätten genauer überprüft werden sollen.

Personenorientierte Sicherheitsmaßnahmen gegen Business eMail Compromise

Zum Glück sei es „nie zu spät – oder zu früh – für den Aufbau einer starken Abwehrstrategie gegen BEC/EAC“.
Da sich diese Angriffe gegen menschliche Schwächen und nicht gegen technische Schwachstellen richteten, seien personenorientierte Sicherheitsmaßnahmen erforderlich, welche ein großes Spektrum an BEC- und EAC-Techniken verhindern, erkennen und abwehren könnten.

Weitere Informationen zum Thema:

proofpoint
E-Book / Die größten 10 BEC-Betrugsversuche von 2019 und 2020

proofpoint
E-Book “You’ve Got BEC!A Roundup of the 10 Biggest, Boldest, and Most Brazen Business Email Compromise Scams of 2020 and 2019“

datensicherheit.de, 03.06.2020
BEC: Cyberkriminelle kapern Banküberweisungen

datensicherheit.de, 03.12.2019
BEC-Attacken bevorzugt an Werktagen

[datensicherheit.de, 13.01.2020] Das neue Jahr 2020 nimmt die ds-Redaktion zum Anlass, auf besondere Begegnungen im Jahr 2019 zurückzublicken. Ein bedeutendes Ereignis war die zehnte Teilnahme von „datensicherheit.de“ (ds) an der „it-sa“ in Nürnberg und der inzwischen zur gerne gepflegten Tradition gewordene Standempfang zusammen mit dem Cluster Industrie 4.0 (CI4) – „nach der Messe ist vor der Messe“. Zu den Teilnehmern 2019 gehörte auch Otto Kugler, Geschäftsführer der i4-Guard GmbH aus Innsbruck, Österreich. Mit etwas zeitlichem Abstand nahm ds-Herausgeber Dirk Pinnow wieder Kontakt auf und führte ein Gespräch, welches nachfolgend in Auszügen wiedergegeben wird:

Foto: i4-Guard GmbH

Otto Kugler: Datensicherheit muss umfassend betrachtet werden!

Das persönliche Resümee zur „it-sa 2019“

ds: „Herr Kugler, für uns war die ,it-sa 2019‘ ein besonderes Jubiläum – zum zehnten Mal waren wir mit einem Stand als Medienpartner in Nürnberg vertreten. Uns interessiert natürlich Ihre persönliche Einschätzung der ,it-sa‘!“
Kugler: „Also, wir haben das erste Mal auf der ,it-sa‘ ausgestellt und beabsichtigen auch nächstes Jahr daran teilzunehmen. Forenbeiträge haben wir bis jetzt keine geliefert; das ist aber sicher eine überlegenswerte Option. Wir sind überzeugt, dass es weiteres Wachstum geben wird, da wesentliche Industrien erst jetzt beginnen, über IT-Sicherheit nachzudenken – allen voran natürlich die sogenannten Kritischen Infrastrukturen.“

Plädoyer: Den Menschen in der IKT-Welt nicht vergessen!

ds: „Wir sprechen ja bewusst von ,Datensicherheit‘, weil wir überzeugt davon sind, dass bereits die Datenebene geschützt und sicher gestaltet werden muss – wie sehen Sie diese Thematik, auch gerade im Kontext der Faktoren ,Mensch‘, ,Organisation‘ und ,Technik‘?“
Kugler: „Wir glauben, dass Datensicherheit umfassend betrachtet werden muss. Sie sollte nicht auf einzelne Elemente wie etwa Mensch, Organisation oder Technik reduziert werden. Wichtig ist, eine einfache, sichere Technologie zum Schutz von IP-Netzwerken einzusetzen, welche auch von Menschen beherrschbar ist. Wir sind zudem überzeugt, dass weiterhin Aufklärungsarbeit außerhalb der IT-Security-Branche geleistet werden muss. Industriesegmente wie die produzierenden Betriebe, aber auch das Gesundheitswesen, Betreiber von Kritischen Infrastrukturen, ,Smart Cities‘ sowie Behörden müssen weiter für die Risiken eines Cyber-Angriffs sensibilisiert werden und vorbeugende Maßnahmen treffen.“

Datensicherheit bringt mehr Freiheit für Entscheider

ds: „Herr Kugler, abschließend interessiert uns und unsere Leser sicher auch, wie Sie selbst zur Erhöhung der Datensicherheit beitragen?“
Kugler: „Das Ausgangsproblem bei unseren Kunden umfasst im Regelfall prinzipiell zwei mögliche Szenarien:
Szenario 1: Kein oder nur unzureichender Schutz für IP-Netzwerke.
Szenario 2: Eine unüberschaubare Komplexität von VPN-Netzen, Subnetzen und Firewalls, die niemand mehr beherrscht.
Den Mehrwert, den wir liefern können, ist ein stärkerer Schutz durch Entkoppelung des IP-Netzes vom Sicherheitsnetz (im Sinnes eines verschlüsselten Netzes) sowie reduzierte Komplexität bei gleichzeitig reduzierten ,Total Costs of Ownership‘. Desweiteren bringen wir die Freiheit für die IP-Netzwerkplaner zurück und erhöhen den Handlungsspielraum von Entscheidern.“

Weitere Informationen zum Thema (Literaturempfehlungen von Otto Kugler):

Gartner Research, 14.05.2018
IoT Solutions Can’t Be Trusted and Must Be Separated From the Enterprise Network to Reduce Risk

kaspersky daily, 05.10.2015
Overcoming IT infrastructure complexity

CIO, 2019
OPINION / Reducing infrastructure complexity: There has to be a better way

McKinsey Digitla, August 2009
IT architecture: Cutting costs and complexity

ICS
How to Reduce the Complexity of your IT Infrastructure

i4-Guard
How can I Protect Embedded and IoT Devices?

[datensicherheit.de, 18.12.2019] Das Hasso-Plattner-Institut (HPI) warnt zum Jahresende: „Eigentlich sollten es mittlerweile alle besser wissen: Passwörter sind der digitale Schlüssel zu unseren Daten und sollten vor dem Zugriff Krimineller bestmöglich geschützt werden. Und dennoch: Immer noch verlassen sich zu viele Internetnutzer auf simple Zahlenreihen wie ,123456‘, die keinen wirksamen Schutz darstellen.“

Passwortstrategie erforderlich

„Viele Internetnutzer verwalten bereits mehr als hundert Online-Konten“, berichtet Professor Christoph Meinel, Direktor des HPI. Denn egal ob wir eine Reise buchten, einkauften oder einen Kurs belegten – für alle Online-Dienste benötigten wir derzeit ein Passwort. „Es ist lästig, sich für jeden Dienst ein anderes Passwort zu merken, und überfordert viele Nutzer“, so Professor Meinel.
Daher fiele die Wahl dann auch viel zu oft auf Passwörter, die man sich leicht merken könne. Ein zusätzliches Risiko sei die weit verbreitete Mehrfachnutzung von Passwörtern für unterschiedliche Dienste. Denn sie gestatte Kriminellen im Ernstfall gleich den Zugriff auf mehrere Konten. Jeder benötige heutzutage eine Passwortstrategie oder einen Passwortmanager.

178 Datenlecks wurden 2019 in den Identity Leak Checker eingepflegt

Das HPI veröffentlicht jedes Jahr die meistgenutzten Passwörter der Deutschen – Datengrundlage sind demnach dieses Jahr 67 Millionen Zugangsdaten aus dem Datenbestand des „HPI Identity Leak Checker“, die auf E-Mail-Adressen mit „.de“-Domäne registriert sind und 2019 geleakt wurden. Insgesamt seien dieses Jahr 178 Datenlecks in den „Identity Leak Checker“ eingepflegt worden, 96 davon seien von den Diensteanbietern bestätigt worden.
Das HPI weist seit vielen Jahren auf die Notwendigkeit sicherer Passwörter hin: Der Blick auf die „Top Twenty“ der in Deutschland meistgenutzten Passwörter 2019 zeige jedoch, dass schwache und unsichere Zahlenreihen weiterhin Spitzenplätze belegten.

Top Twenty deutscher Passwörter 2019

1. 123456
2. 123456789
3. 12345678
4. 1234567
5. password
6. 111111
7. 1234567890
8. 123123
9. 000000
10. abc123
11. dragon
12. iloveyou
13. password1
14. monkey
15. qwertz123
16. target123
17. tinkle
18. qwertz
19. 1q2w3e4r
20. 222222

HPI-Tipps zur Passwortwahl:

Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut nach eigenen Angaben:

• Lange Passwörter (> 15 Zeichen)
• Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
• Keine Wörter aus dem Wörterbuch
• Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
• Verwendung von Passwortmanagern
• Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
• Zwei-Faktor-Authentifizierung aktivieren, wenn möglich

Der Identity Leak Checker

Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich laut HPI mit seinem „Identity Leak Checker“ sehr leicht überprüfen. Seit 2014 könne dort jeder Internetnutzer kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichten den Abgleich mit mittlerweile mehr als zehn Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liege der Fokus auf Leaks, bei denen deutsche Nutzer betroffen sind. Dieses Angebot sei in Deutschland einzigartig.
Insgesamt hätten mehr als 14 Millionen Nutzer mithilfe des „Identity Leak Checkers“ die Sicherheit ihrer Daten in den letzten fünf Jahren überprüfen lassen. In mehr als drei Millionen Fällen hätten Nutzer darüber informiert werden müssen, „dass ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich war“.

Weitere Informationen zum Thema:

HPI Hasso-Plattner-Institut
Wurden Ihre Identitätsdaten ausspioniert?

datensicherheit.de, 16.12.2018
IT-Sicherheit: Die Top Ten der deutschen Passwörter

[datensicherheit.de, 05.12.2019] Der Europäische Datenschutzausschuss (EDSA) veröffentlichte laut einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, in seiner letzten Sitzung im Jahr 2019 erste Leitlinien zum Recht auf Vergessenwerden. Diese schließen sich demnach an eine Reihe von grundlegenden Entscheidungen des Ausschusses im Jahr 2019 an, beispielsweise zu Themen wie Videoüberwachung, Akkreditierung und Zertifizierung, oder „Privacy by Design“ und „Privacy by Default“.

Datenschutzgrundverordnung auch gegenüber großen internationalen IT-Unternehmen effektiv durchsetzen

Kelber blickt nach eigenen Angaben zufrieden auf sein erstes Jahr im EDSA zurück: Die 2019 im EDSA verabschiedeten Beschlüsse und Leitlinien zeigten, „was wir im europäischen Dialog für den Schutz der Privatsphäre der Bürgerinnen und Bürger erreichen können“.
Diese Zusammenarbeit der Europäischen Datenschutzaufsichtsbehörden müssten weiter ausgebaut werden. Vor allem müsse es gelingen, die Datenschutzgrundverordnung (DSGVO) auch gegenüber den großen internationalen IT-Unternehmen effektiv durchzusetzen. Kelber betont: „Deshalb wird der BfDI auch einen Teil der neu bewilligten Stellen gezielt für die weitere Stärkung seiner europäischen und internationalen Gremienarbeit einsetzen.“

Erster Teil einer gemeinsamen Leitlinie zum Recht auf Vergessenwerden verabschiedet

Bei der letzten Sitzung dieses Jahres habe der EDSA unter anderem den ersten Teil einer gemeinsamen Leitlinie zum Recht auf Vergessenwerden verabschiedet. In dieser werde dargelegt, wie Personen ihr Recht gegenüber Suchmaschinenbetreibern durchsetzen können, ganz oder teilweise aus deren Ergebnislisten gelöscht zu werden.
Die Aktualität dieses datenschutzrechtlich wichtigen Themas belegten unter anderem auch zwei Beschlüsse des Bundesverfassungsgerichts aus der letzten Woche.

Erneut Treffen mit Eidgenössischem Datenschutz- und Öffentlichkeitsbeauftragten Adrian Lobsiger

Am Rande des EDSA habe sich der BfDI zudem erneut mit seinem Schweizer Amtskollegen, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Adrian Lobsiger, getroffen, um sich über den aktuellen Stand der Entwicklung beim Thema „LIBRA“ zu informieren. Der EDÖB befasse sich aktuell intensiv mit facebooks Bestrebungen in das Bankengeschäft einzusteigen und suche hierzu mit seinen europäischen Kollegen einen engen Austausch.
Auch 2020 werde sich der EDSA mit wichtigen datenschutzrechtlichen Themen befassen. „Insbesondere werden die ersten Entscheidungen zu Beschwerden gegen facebook und WhatsApp erwartet“, so Kelber.

Weitere Informationen zum Thema:

edpb
European Data Protection Board

datensicherheit.de, 30.11.2019
Recht auf Vergessenwerden gilt auch gegenüber Online-Archiven / Bundesverfassungsgericht erweitert Anwendungsbereich datenschutzrechtlicher Ansprüche

datensicherheit.de, 19.09.2019
BfDI Ulrich Kelber empfing EDÖB Adrian Lobsiger in Bonn / Regelmäßiger Austausch des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit dem Eidgenössischen Datenschutzbeauftragten angestrebt

[datensicherheit.de, 30.11.2019] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) möchte mit seinem virtuellen Adventskalender 2019 „Licht auf den Datenschutz“ werfen: „Alle Jahre wieder läuten ganz besondere Rituale die Weihnachtszeit ein. Dazu gehört für viele das tägliche Öffnen eines Türchens im Adventskalender“, so der LfDI RLP. Viele der im virtuellen Adventskalender des LfDI RLP behandelten Themen beträfen Menschen in ihrem zunehmend digitalisierten Alltag.

Abbildung: Screenshot Webseite https://www.datenschutz.rlp.de/de/themenfelder-themen/adventskalender/

Adventskalender des LfDI RLP: Themen betreffen Menschen im zunehmend digitalisierten Alltag

Hinter jedem digitalen Türchen ein Datenschutzthema

Am 1. Dezember 2019 eröffnet demnach der virtuelle Adventskalender des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz 24 Blicke auf den Datenschutz, die Informationsfreiheit und die Arbeit des LfDI.
In diesem Adventskalender soll bis Weihnachten hinter jedem der digitalen Türchen ein Datenschutzthema behandelt werden: Das Recht am eigenen Bild, Apps auf Rezept, Videoüberwachung, Tracking im Internet, Geschäftsgeheimnisse, Informationsfreiheit, Auskunftsrechte, E-Mail-Zugriff durch den Arbeitgeber, die Folgen eines Brexit, Künstliche Intelligenz…

Die eigene Weihnachtszeit datenschutzgerecht gestalten

„Viele digitale Vorgänge sind uns selbstverständlich geworden, dennoch sollte man wissen, dass nicht alles, was technisch geht, immer auch zulässig ist oder hingenommen werden muss“, so der Landesbeauftragte, Prof. Dr. Dieter Kugelmann.
Die Digitale Gesellschaft brauche und habe Regeln – und es sei gut, „wenn man sich dessen bewusst ist“. Mit Hilfe des Adventskalenders könne die eigene Weihnachtszeit datenschutzgerecht gestaltet werden.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Adventskalender

datensicherheit.de, 03.08.2019
Auch LfDI RLP begrüßt EuGH-Urteil zum Like Button

[datensicherheit.de, 06.11.2019] Von der Keynote der Bundesministerin der Verteidigung, Annegret Kramp-Karrenbauer, am ersten Kongresstag berichtet Dirk Pinnow als Repräsentant des Medienpartners „datensicherheit.de“ auf der „Cybersecurity 2019“ in Berlin. Auch im Kontext der Digitalisierung gelte es, die bürgerliche Freiheit und den Datenschutz zu erhalten.

Foto: Dirk Pinnow

Annegret Kramp-Karrenbauer über die Erschließung des Cyberspace‘ als Gestaltungsraum der Sicherheitspolitik

Cyberspace – ein von Menschen gemachter Raum

Die Bundesministerin griff eingangs zwei Themen des ersten Kongresstages auf: Das angesprochene BSI-Jahrbuch „Die Lage der IT-Sicherheit in Deutschland“ und der live von Sebastian Schreiber, Geschäftsführer der Syss GmbH, vorgeführte Hacking-Angriff auf Verkehrsampeln seien exemplarisch für die Angreifbarkeit unserer Gesellschaft.
Es dürfe nicht vergessen werden, dass auch der sogenannte Cyberspace ein von Menschen gemachter Raum sei, in dem konkurrierende Interessen ausgetragen würden. Dieser sei indes keineswegs nur virtuell, denn irgendwo in der materiellen Welt befänden sich die notwendigen Server, verliefen die verbindenden Kabel.

Frage nach digitaler Gestaltungsmacht stellen

Es gelte in diesem Zusammenhang die Frage nach der digitalen Gestaltungsmacht zu stellen. Sie warnte beispielhaft vor dem sogenannten Social Scoring, einem in der Volksrepublik China bereits betriebenen Sozialkredit-System: Systemkonformes Verhalten werde belohnt, abweichendes Verhalten durch Abwertung bestraft – die Folge für die Betroffenen könnte ein stark verminderter Handlungsspielraum hinsichtlich Geschäftsfähigkeit und Mobilität sein. Kramp-Karrenbauer betonte die Notwendigkeit, auch im Kontext der Digitalisierung die bürgerliche Freiheit und den Datenschutz zu erhalten.
Bei der Entwicklung digitaler Technologie bleibe Deutschland derzeit unter seinen Möglichkeiten. Sie rief zu einem Zusammenwirken von Politik, Wirtschaft, Wissenschaft und Gesellschaft auf. Die Entwicklung digitaler Systeme sei ein Teil der sicherheitspolitischen Verantwortung – denn es gehe letztendlich um die Digitale Souveränität. Die Bürger müssten Vertrauen in die digitale Infrastruktur haben können.

Gemeinsames Cyber-Lagebild als politische Entscheidungsgrundlage

Im Zuge der Digitalisierung tue sich eine Grauzone auf – Innere und Äußere Sicherheit seien immer schwerer scharf voneinander abzugrenzen. So könnten Cyber-Angriffe auf primär zivile Ziele sehr wohl auch mittelbar die Bundeswehr betreffen.
Aber es komme auch täglich zu direkten Cyber-Angriffen auf die Bundeswehr. Kampfflugzeuge seien heute mit Dutzenden Computern ausgestattet und von vielen Kilometern Kabeln durchzogen. Schiffe der Marine glichen im Prinzip schwimmenden Rechenzentren… Die Cyber-Sicherheitsvorsorge sei eine gesamtstaatliche Aufgabe – als politische Entscheidungsgrundlage müsse es ein gemeinsames, bewertetes Cyber-Lagebild geben.

Einsatz im Cyberspace mit denselben rechtlichen Grundlagen wie in der materiellen Welt

Die Erschließung des Cyberspace‘ als sicherheitspolitischer Gestaltungsraum sei so bedeutend wie seinerzeit der Vorstoß in den Luftraum. Künstliche Intelligenz (KI) könne dabei helfen, eine Krisenfrüherkennung zu etablieren.
Kramp-Karrenbauer brachte Beispiele für die Notwendigkeit der Bundeswehr, im Cyberspace zu wirken: Das Aufspüren von Sprengfallen in Einsatzgebieten, welche oft per Mobilfunk gezündet werden, oder das Vorgehen gegen ehrabschneidende Falsch-Meldungen u.a. Sie stellte aber klar, dass der Einsatz im Cyberspace denselben rechtlichen Grundlagen genügen müsse wie in der materiellen Welt.

Bundeswehr übernimmt Mitverantwortung für mehr Sicherheit im Cyberspace

Auch die Bundeswehr sei heute vom IT-Fachkräftemangel betroffen und müsse sich dem Wettbewerb stellen – in diesem Zusammenhang benannte sie beispielhaft die Universität der Bundeswehr München.
Sie kündigte an, dass eine neue Agentur für Innovation in der Cybersicherheit im Bereich der Inneren und Äußeren Sicherheit in Leipzig errichtet werden soll. Die Bundesverteidigungsministerin bekannte sich zur Bundeswehr als Teamplayerin im Kontext der gemeinschaftlichen Aufgabe für mehr Sicherheit auch im Cyberspace.

Weitere Informationen zum Thema:

Die Bundesregierung, 09.10.2019
Agentur für Innovation in der Cybersicherheit / Errichtung einer Agentur für Innovation in der Cybersicherheit im Bereich der Inneren und Äußeren Sicherheit

bitkom, 03.07.2019
Bitkom zur geplanten Agentur für Innovationen in der Cybersicherheit

datensicherheit.de, 06.11.2019
Digitalisierung – die ersten gefährdeten Schritte im Cyberspace / Beobachtungen von der „9. Handelsblatt Jahrestagung Cybersecurity“ in Berlin

datensicherheit.de, 05.11.2019
Cyberspace: Virtueller Raum mit realer Gefahr / Notizen von ds-Herausgeber Dirk Pinnow vom 1. Tag der „9. Handelsblatt Jahrestagung Cybersecurity“ im Hotel Bristol Berlin

datensicherheit.de, 14.10.2019
9. Handelsblatt Jahrestagung Cybersecurity in Berlin

[datensicherheit.de, 06.11.2019] ds-Herausgeber Dirk Pinnow hat als Repräsentant des Medienpartners „datensicherheit.de“ an der „Cybersecurity 2019“ im Hotel Bristol Berlin teilgenommen und berichtet nachfolgend über den Vortrag von Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), am ersten Kongresstag. Für mehr Sicherheit im Zuge der Digitalisierung, welche als deren Erfolgsgrundlage gilt, könnte ein regulatorischer Eingriff des Staates zu einem erwünschten Kulturwandel führen.

Foto: Dirk Pinnow

Dr. Gerhard Schabhüser (Bildmitte): Im Prinzip kann jeder IT-Anwender irgendwann Opfer werden

Cyber-Sicherheit grundlegend für Gelingen der Digitalisierung

Über den Beitrag des BSI zur Cyber-Sicherheit in Deutschland sprach dessen Vizepräsident, Dr. Gerhard Schabhüser. Er betonte eingangs, dass wir mit der Digitalisierung erst auf dem Weg seien – indes sei Cyber-Sicherheit grundlegend für deren Gelingen. Die mit der Digitalisierung einhergehende Vernetzung erfolge horizontal und vertikal.
In den damit entstehenden Meta-Netzwerken suchten Angreifer nach den einfachsten Wegen für maliziöse Zugänge. In diesem Zusammenhang verwies er auf die aktuelle BSI-Publikation „Die Lage der IT-Sicherheit in Deutschland 2019“. Er stellte klar und warnte zugleich: Die Methoden für sogenannte Phishing-Attacken würden immer mehr verfeinert, so dass im Prinzip jeder IT-Anwender irgendwann Opfer werden könnte.

Bisher noch Marktversagen statt Security-by-Design

In Hinblick auf die Sicherheit müssten heute IT-Systeme überwiegend noch mit „mangelhaft“ bewertet werden – Dr. Schabhüser sprach von einem „Marktversagen“. Informations- und Kommunikationsausrüstung sei noch lange nicht auf dem Sicherheitsniveau wie etwa materielle Maschinen. Er forderte, dass Sicherheit bereits vor dem Markteintritt geboten werden müsste („Security-by-Design“). Zertifizierung sollte integraler Teil des Innovations- und Entwicklungsprozesses sein.
So sehe der am 27. Juni 2019 in Kraft getretene „EU Cybersecurity Act“ eine Zertifizierung nach den drei Sicherheitsniveaus „niedrig“, „mittel“ und „hoch“ vor – diese werde dann in allen EU-Staaten anerkannt. Der BSI- Vizepräsident nahm aber nicht nur die Anbieter in die Pflicht – auch auf Seiten der Anwender erwartet er eine notwendige Verhaltensänderung. Schabhüser forderte zur Verbesserung der Sicherheitslage einen „Kulturwandel“ – auf Seiten der Hersteller und Dienstleister einerseits und der Anwender andererseits. Er wies als Hilfestellung für Unternehmen auf die Publikation „Management von Cyber-Risiken: Handbuch für Unternehmensvorstände und Aufsichtsräte“ der Allianz für Cyber-Sicherheit hin.

Mit Bußgeld bewehrter regulatorischer Eingriff als Wegbereiter für mehr Sicherheit

In der sich seinem Impuls unmittelbar anschließenden kurzen Diskussion zog er die zum 1. Januar 1976 in der damaligen Bundesrepublik verfügten allgemeinen Anschnallpflicht auf Pkw-Vordersitzen heran, der damals viele Westdeutsche ablehnend gegenüberstanden. Ausschlaggebend war damals die hohe Anzahl an Verkehrstoten (über 21.000 im Jahr 1971 – im Prinzip eine deutsche Kleinstadt).
Sicherheit habe sich damals zunächst schlecht verkauft – heute seien Sicherheits-Features in den PKW sehr wohl gute Verkaufsargumente. Es habe also eines mit Bußgeld bewehrten regulatorischen Eingriffs des Staates bedurft, um die Sicherheitslage auf den Straßen zu verbessern. Schabhüser gab seiner Hoffnung Ausdruck, dass es im Cyberspace ähnlich verlaufen könnte.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Publikationen / Die Lage der IT-Sicherheit in Deutschland

Allianz für Cyber-Sicherheit
Management von Cyber-Risiken: Handbuch für Unternehmensvorstände und Aufsichtsräte

datensicherheit.de, 05.11.2019
Cyberspace: Virtueller Raum mit realer Gefahr / Notizen von ds-Herausgeber Dirk Pinnow vom 1. Tag der „9. Handelsblatt Jahrestagung Cybersecurity“ im Hotel Bristol Berlin

datensicherheit.de, 14.10.2019
9. Handelsblatt Jahrestagung Cybersecurity in Berlin