[datensicherheit.de, 13.05.2020] Das Unternehmen Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft „Building the Future of Security Leadership“ (Aufbau künftiger Sicherheitsexperten). Dieser Bericht enthält exklusive Erkenntnisse und umsetzbare Empfehlungen für Unternehmen, damit diese ihre größte Herausforderung meistern können – die Einstellung, Bindung und Weiterentwicklung der nächsten Generation von Sicherheitsexperten. Entwickelt wurde der Bericht in Zusammenarbeit mit dem Client Advisory Council von Kudelski Security, einer Expertenkommission für Cybersicherheit bestehend aus Informationssicherheitsexperten von internationalen Unternehmen.

Gefragte Eigenschaften von CISOs

Im Bericht werden verschiedene Trends aufgezeigt, welche die Suche und Bindung qualifizierter Chief Information Security Officer (CISOs) und deren Mitarbeiter zu einer Herausforderung machen – eine Herausforderung, die durch die neuen standortunabhängigen Arbeitsumgebungen noch verschärft wird. Erfolgreiche CISOs sollten zum Beispiel über ein ausgeglichenes Verhältnis an technischen Kompetenzen und Soft Skills wie Kommunikationsfähigkeit, Aufbau von Beziehungen sowie die sogenannte Executive Presence verfügen. Der Bericht zeigt jedoch, dass eine solche Mischung nur extrem selten anzutreffen ist. CISOs benötigen diese Soft Skills, um neue Geschäftsmodelle effektiv umsetzen zu können, die wahrscheinlich auch nach Abklingen der aktuellen Krise auf standortunabhängiges Arbeiten setzen werden.

„Internationale Unternehmen müssen die neue Rolle des CISO jetzt mehr denn je verstehen, um Bedrohungen einen Schritt voraus zu sein und wettbewerbsfähig zu bleiben“, so Andrew Howard, CEO von Kudelski Security. „Wir sind fest davon überzeugt, dass die Cybersicherheitsbranche vom Austausch zwischen erfahrenen Experten profitieren kann. Die Mitglieder unseres Kundenbeirats haben unseren Kunden wertvolle Erkenntnisse geliefert und wir freuen uns, dass wir diese der breiten Sicherheits-Community zur Verfügung stellen können.“

Führungskräfte in der IT-Sicherheit gefragt, © Kudelski Security

Der Bericht enthält praktische Hinweise und Erkenntnisse für drei Hauptakteure: CISOs, angehende Sicherheitsexperten und Recruiter für Führungskräfte. Für die einzelnen Gruppen ergeben sich die folgenden wichtigen Erkenntnisse:

• CISOs: Angesichts der wachsenden Verantwortlichkeiten in ihrem Zuständigkeitsbereich sollten CISOs die Cybersicherheit in Rollen einbetten, die sie normalerweise nicht einschließen, sodass die Aufrechterhaltung und der Ausbau der Cyber-Resilienz zu einer organisationsweiten Verantwortung werden. Auf die Frage nach wichtigen Fähigkeiten von CISOs sahen 82 Prozent der Befragten die Kommunikationsfähigkeiten als kritisch an, während nur 52 Prozent der Meinung sind, dass praktische Erfahrungen in Technologien entscheidend sind.
• Angehende Sicherheitsexperten: Alle Experten, die die Position eines CISOs anstreben, sollten sich in der Branche einen Namen machen. Zudem sollten sie sich dauerhaft und bewusst um den Aufbau einer Reputation sowie mehr Präsenz in sozialen Medien bemühen. Auch wenn die meisten Befragten (29 Prozent) angaben, dass Positionen im Bereich Governance, Risk und Compliance die besten Vorstufen auf dem Weg zur Rolle des CISO sind, gibt es verschiedenste Rollen, die ebenfalls zu diesem Karriereziel führen. Im Bericht werden diese Rollen ausführlich untersucht.
• Recruiter für Führungskräfte: Durchweg alle befragten CISOs rieten Personaler, sich bei ihrer Suche nicht nur auf ihre eigene Branche zu beschränken. Das gilt besonders, wenn diese beim Thema Cybersicherheit im Rückstand ist. Fast die Hälfte der Befragten in den USA und 92 Prozent der Befragten in Europa gab an, dass die Einstellung eines CISO durchschnittlich sechs bis zwölf Monate dauert. Angesichts dieser beträchtlichen Zeitspanne sollten Recruiter für Führungskräfte in der Zwischenzeit einen Virtual CISO (vCISO) anstellen. Um die Risiken im Zusammenhang mit hoher CISO-Fluktuation und Entschädigungszahlungen zu minimieren, sollten sie bei Einstellungen weiterdenken und einen Talentpool fördern, der an Orten wie Universitäten, Technikschulen und dem Militär ansetzt.

Zusätzlich zu den Beiträgen der Mitglieder des Kundenbeirats von Kudelski Security stützt sich der Bericht auf Interviews und Umfragen, die im vorigen Jahr in den USA und Europa mit mehr als 110 CISOs von weltweit führenden Unternehmen geführt wurden. Der Kundenbeirat liefert Erkenntnisse und Anleitungen zu Lösungen, die Kudelski Security seinen Kunden bereitstellt. Zu den Mitgliedern des Beirats zählen Sicherheitsexperten der obersten Management- und VP-Ebene aus Unternehmen wie Aaron‘s, Inc., AES Corporation, BKW, Blue Cross Blue Shield, BNP Paribas, Capital One, Technicolor, Urenco und Zebra Technologies.

In zwei Webinaren von Kudelski Security am 14. Mai und 28. Mai sprechen die Advisory CISOs von Kudelski Security Joe Bennett (früher CISO bei Hertz) und Jason Hicks (früher CISO bei Ares Management) sowie der Digital Security CISO-as-a-Service Youssef Mahraoui über die wichtigsten Erkenntnisse im Bericht und beantworten Fragen zu den verschiedenen Karrieremöglichkeiten, mit denen die Position des CISO erreicht werden kann.

Weitere Informationen zum Thema:

Kudelski Security
Webinar: The Path to Becoming a CISO: 5 Things to Consider; 5 Mistakes to Avoid (14. Mai 2020)

Kudelski Security
Webinar: The Path to Becoming a CISO: 5 Things to Consider; 5 Mistakes to Avoid (28. Mai 2020)

Kudelski Security
Addressing the Security Leadership Talent Gap (Vollständiger Bericht)

[datensicherheit.de, 19.06.2019] Die Urheber massenhafter Cyber-Angriffe nutzen meist weit verbreitete Software-Produkte, um mit einfachen Mitteln möglichst viele Computer-Systeme mit Schadsoftware zu infizieren. Aufgrund ihrer großen Verbreitung stehen die Softwareprodukte der Microsoft-Office-Familie daher automatisch im Fokus von Cyber-Kriminellen, um Schwachstellen oder unsichere Konfigurationen von Standardfunktionen der Büro-Software möglichst breit ausnutzen zu können. Beliebte Angriffswege sind dabei die Makro-Funktion in Word-Dokumenten oder aktive HTML-Anzeigen in E-Mail-Programmen. Angriffe mit Ransomware oder mit Schadsoftware-Varianten wie Emotet haben über diese Angriffswege in den letzten Monaten auch in Deutschland zahlreiche Unternehmen getroffen und großen Schaden verursacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher Empfehlungen für eine sichere Konfiguration von Word, Excel, Outlook und Co. entwickelt und nun veröffentlicht. Damit können Organisationen die Angriffsfläche signifikant reduzieren: Die Deaktivierung von HTML in E-Mails sowie der sichere Umgang mit Makros in Dokumenten und anderen Dateien sind dabei nur zwei von zahlreichen Empfehlungen.

„Wir bieten Unternehmen und Organisationen mit diesen Umsetzungsempfehlungen eine konkrete Hilfestellung, um das IT-Sicherheitsniveau ihrer Netzwerke schnell und effizient zu erhöhen. Diese IT-Sicherheitsmaßnahmen sollten idealerweise Teil einer strukturierten Vorgehensweise zur Absicherung der Unternehmensnetzwerke sein, wie sie etwa der IT-Grundschutz des BSI empfiehlt. Die Allianz für Cyber-Sicherheit ist die richtige Anlaufstelle für Unternehmen und Organisationen jeder Größe, um sich über IT-Sicherheit zu informieren, sich mit Gleichgesinnten über Best-Practice-Beispiele auszutauschen und um von der Expertise des BSI zu profitiere“, so BSI-Präsident Arne Schönbohm.

Sieben Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office

Das BSI hat für den Einsatz auf dem Betriebssystem Microsoft Windows sieben Cyber-Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office 2013/2016/2019 erstellt. Diese behandeln zum einen übergreifende Richtlinien für Microsoft Office, zum anderen Richtlinien für sechs häufig genutzte Microsoft Office-Anwendungen:

• Microsoft Access 2013/2016/2019
• Microsoft Excel 2013/2016/2019
• Microsoft Outlook 2013/2016/2019
• Microsoft PowerPoint 2013/2016/2019
• Microsoft Visio 2013/2016/2019
• Microsoft Word 2013/2016/2019

Die Empfehlungen richten sich an mittelgroße bis große Organisationen, in denen die Endsysteme mit Gruppenrichtlinien in einer Active Directory-Umgebung verwaltet werden. Die dahinterliegenden Sicherheitsprinzipien gelten gleichermaßen für kleine Organisationen und Privatanwender. Die dargestellten Empfehlungen können ohne die Beschaffung zusätzlicher Produkte durchgeführt werden und sind mit vergleichsweise wenig Aufwand durchführbar.

Weitere Informationen zum Thema:

datensicherheit.de, 08.06.2019]
Smartphones: BSI warnt erneut vor vorinstallierter Schadsoftware

datensicherheit.de, 03.08.2018
Internet der Dinge: Aufbau sicherer Systeme

datensicherheit.de, 15.05.2019
Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

Von unserem Gastautor Markus Kahmen, Regional Director CE, Thycotic

[datensicherheit.de, 30.07.2018] Enstprechend einer aktuellen Umfrage von SAP Concur, hat mehr als jeder zweite Deutsche schon mal während seines Urlaubs gearbeitet. Neben dem Beantworten geschäftlicher E-Mails stehen dabei vor allem Telefonkonferenzen und das Erledigen administrativer Aufgaben auf der Ferienagenda. Immerhin können dank Diensthandy, Firmenlaptop, Clouddiensten und Webkonferenzen auch Hotelzimmer, Bahnhof, Strandbar oder Café zum potenziellen Arbeitsplatz werden. Für die Sicherheit der sensiblen Unternehmensdaten bedeutet das Holiday Office jedoch eine große Herausforderung, denn der Diebstahl oder Verlust von Geräten, aber auch ungeschützte WLAN-Netzwerke sind eine allgegenwärtige Bedrohung.

Bild: Thycotic

Datensicherheit: Sechs  Tipps für das sichere Arbeiten im Urlaub

Werden Firmengeräte auch im Urlaub und auf Reisen genutzt, sollten Mitarbeiter unbedingt folgende Empfehlungen berücksichtigen, um Datenverlust, Hackerangriffen und Spionage keine Chance zu geben.

1. Login-Daten niemals auf dem Gerät speichern
   Gerade in der Urlaubszeit häufen sich Verluste und Diebstahl mobiler Endgeräte wie Handys, Laptops oder Tablet-PCs, wobei nur rund 20 Prozent der verschwundenen Geräte auch wieder auftauchen. Sind Firmengeräte betroffen ist das umso ärgerlich, denn schlimmer als der materielle Verlust des Gerätes, ist dann in der Regel der Verlust der sensiblen Unternehmensdaten. Sind diese erst einmal in die falschen Hände geraten, kann dies ungeahnte Schäden nach sich ziehen. Neben klassischen Sicherheitsmaßnahmen wie dem Einrichten von Gerätepasswörtern, Bildschirmsperren und vollständigen Backups sollten Mitarbeiter vor Reiseantritt deshalb dafür sorgen, dass keine sensiblen Passwörter oder Logins für interne Geschäftsanwendungen auf den Geräten gespeichert sind, was Dieben schnell und unkompliziert Zugriff zu sensiblen Unternehmensdaten verschaffen kann.
2. Sicherheitsupdates installieren
   Vor Reiseantritt ist es zudem unerlässlich, dafür zu sorgen, dass sowohl das Betriebssystem als auch sämtliche Anwendungen sicherheitstechnisch auf dem neuesten Stand sind. Indem alle zur Verfügung stehenden Updates installiert und bekannte Sicherheitslücken und Schwachstellen so behoben wurden, lassen sich Hackerangriffe und Manipulationen eindämmen.
3. Vorsicht vor öffentlichem WLAN
   Gerade auf Reisen sind öffentliche WLAN-Hotspots besonders attraktiv, da sie unkompliziert und kostenlos Internetzugang ermöglichen. Hiervon profitieren jedoch nicht nur die Nutzer, sondern vor allem auch Betrüger. Denn da keine Authentifizierung erforderlich ist, um eine Verbindung zum Netzwerk herzustellen, erhalten Cyberkriminelle nahezu uneingeschränkten Zugriff auf ungesicherte Geräte. Indem sie sich zwischen das Gerät und den Zugriffspunkt schalten, haben sie die Möglichkeiten, sensible Informationen wie Passwörter oder Zugangsdaten auszulesen oder zu manipulieren. Generell sollten Mitarbeiter im Urlaub ungeschützte WLAN-Netzwerke deshalb strikt meiden.
4. Kritische Logins nur über VPN
   Ist ein ungesicherterer WLAN-Hotspot die einzige Option, sollen vertrauliche Informationen übermittelt oder Passwörter geändert werden, empfiehlt sich reisenden Mitarbeitern die Einwahl über eine virtuelle private Netzwerkverbindung (VPN). Diese verschlüsselt die Internetverbindung und sämtliche übertragenen Informationen in Echtzeit und verhindert so das schnelle Auslesen von Daten. Hundertprozentige Sicherheit kann auch VPN nicht bieten, doch eine Entschlüsselung ist hier sehr aufwendig und dürfte vor allem Gelegenheitshacker abhalten.
5. Kein Zugriff Dritter auf Firmengeräte
   Firmengeräte aber auch private Laptops und Tablets, auf denen sensible geschäftliche Unterlagen gespeichert sind, sollten nur bedingt und unter strenger Überwachung von unbefugten Personen oder Familienangehörigen genutzt werden. Vor allem Kinder und andere unerfahrene Nutzer stellen dabei ein nicht zu verachtendes Sicherheitsrisiko dar. So kann der Download eines scheinbar harmlosen Online-Spiels oder das Anklicken von Phishing-Links zu Malware-Infektion führen, die unter Umständen auf das gesamte Firmennetzwerk übergreifen und weitreichende Schäden verursachen.
6. Spezielle Reisegeräte einrichten
   Je weniger sensible Daten oder kritische Unternehmensanwendungen auf Reisen gehen, desto geringer ist die Gefahr, dass diese in falsche Hände geraten. Wenn möglich sollten Mitarbeiter, die auch im Urlaub einige geschäftliche Dinge erledigen möchten, daher spezielle Reiselaptops oder -Tablets einrichten, auf denen nur die nötigsten – und vor allem keine geschäftskritischen – Unterlagen gespeichert sind. So lassen sich im Falle eines Diebstahls oder Cyberangriffs weitreichende Schäden vermeiden.

Natürlich sind nicht nur die reisenden Mitarbeiter selbst, sondern auch die Unternehmen in der Pflicht, für größtmögliche IT-Sicherheit und Datenschutz zu sorgen. So sollten zum Beispiel grundsätzlich Sicherheitslösungen im Einsatz sein, die den Security-Verantwortlichen einen Überblick geben, welcher Nutzer sich wo und über welches Gerät Zugriff auf sensible Daten oder Geschäftsanwendungen verschafft, und zudem Benutzeraktivitäten auf Basis von individuellen Verhaltensmustern analysieren, so dass verdächtige und potenziell unautorisierte Zugriffe automatisch gemeldet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 26.07.2018
Incident Response Policy Template: Kostenlos Notfallpläne erstellen

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal

datensicherheit.de, 06.07.2017
Mobile Sicherheit: Verbraucher gerade im Urlaub zu sorglos

datensicherheit.de, 20.07.2017
BITKOM gibt Sicherheitshinweise zur Handy-Nutzung im Sommerurlaub

[datensicherheit.de, 25.04.2018] Wird jemand nachweislich Opfer eines Identitätsdiebstahls, stecken nicht selten Gruppen der Organisierten Kriminalität (OK) dahinter. Diese operiert länderübergreifend und ist selten dingfest zu machen. Meistens lässt sich zudem nicht mehr eindeutig ermitteln, zu welchem Zeitpunkt genau die Daten kompromittiert wurden.

Opfer eines Identitätsdiebstahls sollten selbst aktiv werden!

Allen von einem Identitätsdiebstahl Betroffenen rät Cylance, selbst aktiv zu werden und nicht auf Dritte zu hoffen.
Dabei müssten sich die Opfer mit einem vermutlich bisher ungekannten Ausmaß an Bürokratie auseinandersetzen und sehr viel Zeit investieren, bis sie annähernd „back to normal“ sind. Eine Identität zu stehlen sei eben sehr viel einfacher als sie zurückzubekommen.
Jon Gross, „Director of Threat Intelligence“, und Sascha Dubbel, „Senior Sales Engineer“, beide Cylance, geben aktuelle Empfehlungen: Diese sollen dazu beitragen, potenziell Betroffene in Zukunft besser zu schützen, und denen, die bereits betroffen sind, einige Maßnahmen an die Hand zu geben, ihre Angelegenheiten nach einem Identitätsdiebstahl wieder in den Griff zu bekommen.

Brisanz wird oft unterschätzt

Eine der jüngst bekannt gewordenen Datenschutzverletzungen größeren Ausmaßes soll beim Finanzdienstleistungsunternehmen Equifax, der größten Wirtschaftsauskunftei der USA, aufgetreten sein. Betroffen gewesen seien über die Hälfte aller US-Amerikaner. Vor Kurzem habe eine Senatsanhörung sogar erbracht, dass diese Datenschutzverletzung noch wesentlich weitreichender sei als von Equifax im September 2017 eingeräumt.
Auch laut der Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa) weise die polizeiliche Kriminalstatistik für 2015 in Deutschland rund 46.000 Fälle von Cyber-Kriminalität im engeren Sinne aus. Betrachtet man alle Fälle mit „Tatmittel Internet“, steige die Zahl sogar auf fast 250.000. Berücksichtigt seien in diesen Zahlen jedoch nur polizeilich registrierte Fälle.
Opfer von Cyber-Kriminalität erstatteten oft aber keine Anzeige, z.B. weil Reputationsverlust befürchtet oder der Schaden nicht bemerkt oder als zu gering erachtet werde. So habe eine Studie in Niedersachsen bereits 2013 errechnet, dass nur rund jeder zehnte Fall aktenkundig gemacht worden sei.
Nach einer repräsentativen Studie des Deutschen Instituts für Wirtschaftsforschung aus dem Jahr 2015 gingen die jährlichen Schäden durch Internetkriminalität in die Milliarden. In den vier besonders bedeutenden Kategorien Phishing, Identitätsbetrug, Waren- und Dienstleistungsbetrug sowie Angriffe mit Schadsoftware beliefen sie sich auf 3,4 Milliarden Euro.

12 Empfehlungen von Cylance:

1. Frieren Sie Ihre Guthaben ein!
   Selbst, wenn Sie nicht unmittelbar in der Lage sind, die geforderten Buchhaltungsauskünfte bereitzustellen, können Sie ihre Konten online immer sofort sperren.
   Angesichts millionenfacher Identitätsdiebstähle stellt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Informationen und Sicherheitstests zur Verfügung, mit denen besorgte Bürger überprüfen können, ob ihre E-Mail-Adresse tatsächlich betroffen ist. Um nicht von einem Rechtsanwalt oder einem Inkasso-Büro zu erfahren, dass man Opfer eines Identitätsdiebstahls geworden ist, kann man im Verdachtsfall selbst etwas tun. Sie können beispielsweise Internetregistraturen nach ihrem Namen durchsuchen, simple Google-Alerts setzen, um festzustellen wo und wann Ihr Name auftaucht oder auch eine umgekehrte Bildersuche in Google anstoßen. Wenn bei groß angelegten Identitätsdiebstählen Firmen oder Auskunfteien nicht sofort eine eigene Webseite bereitstellen, auf der Sie überprüfen können, ob Sie betroffen sind oder nicht, pflegt auch das Hasso-Plattner-Institut (HPI) eine übergreifende Datenbank.
2. Melden Sie den Fall bei den Strafverfolgungsbehörden und erstatten Sie Anzeige!
   Als nächstes sollten Sie auf jeden Fall bei der lokalen Polizeidienststelle Anzeige erstatten. Das müssen Sie persönlich tun sowie zusätzlich eine eidesstattliche Erklärung unterzeichnen, dass Ihre Angaben der Wahrheit entsprechen.
   Die polizeiliche Fall-ID ist die Voraussetzung, um weitere Informationen zur potenziellen Nutzung der betreffenden Identität zu bekommen. Aber auch, um bei den großen Auskunfteien wie beispielsweise Equifax oder der deutschen Schufa eine Betrugswarnung anbringen zu können.
   Erwarten Sie lieber nicht, dass groß angelegte Identitätsdiebstähle aufgeklärt werden. Das gelingt leider nur selten. Identitätsdiebstahl wird zudem nicht in allen Ländern als Verbrechen eingestuft, was die Aufklärungsquote nicht unbedingt nach oben treibt. Die Anzeige bei der Polizei und das entsprechende Aktenzeichen sind nötig, um den Schaden so weit wie möglich zu begrenzen und so viele Informationen wie möglich zu bekommen.
3. Setzen Sie eine Betrugswarnung!
   Mit dem Aktenzeichen der polizeilichen Strafanzeige sollten Sie dann eine Betrugswarnung bei den Kreditauskunfteien platzieren. Ihre Hausbank hilft Ihnen gegebenenfalls weiter, mit welcher Auskunftei Sie zusammenarbeiten müssen.
   Kreditauskunfteien sind verpflichtet, die jeweils anderen Auskunfteien in Kenntnis zu setzen, sobald sie von einer Betrugswarnung erfahren.
   90-Tage-Alarme sind in aller Regel kostenlos und man kann sie verlängern. Mit einem Aktenzeichen und zusätzlichen Informationen kann man den Zeitraum sogar erheblich ausdehnen.
4. Wie ist der aktuelle Stand bei Kreditanfragen?
   Solche Auskünfte sind entweder kostenfrei zu bekommen (wie in den USA ein Mal im Jahr), oder man erhält nach Zahlung einer vergleichsweise geringen Gebühr von der Kreditauskunftei eine Kopie des aktuellen Kreditstatus (Selbstauskunft). Den können allerdings auch die Identitätsdiebe selbst anfordern, denn sie sind ja im Besitz aller dazu notwendigen Informationen.
   Ein solcher Bericht listet sämtliche der neu eingegangenen Kreditanfragen auf. Man sollte sich die Mühe machen, jeden Anbieter persönlich zu kontaktieren. Zusätzlich können Sie anhand dieser Auskunft feststellen, ob in Ihrem Namen vielleicht noch weitere Konten eröffnet wurden. Leider kommt man nicht umhin, alle in Frage kommenden Kreditauskunfteien anzusprechen. Die Erfahrung lehrt, dass unterschiedliche Auskunfteien unterschiedliche Verläufe zeigen. Es kommt sogar vor, dass sich die Informationen widersprechen, oder ein Bericht verzeichnet eine zusätzliche Kontoeröffnung, ein anderer aber nicht.
   Das Nachvollziehen der Verläufe und Richtigstellungen im Detail kostet Zeit und Nerven – und nicht immer sind Kreditauskunfteien so entgegenkommend, wie sie es sein sollten, vor allem angesichts der Dimensionen, die der Diebstahl von Identitäten inzwischen angenommen hat.
5. Die Post
   Wenn Sie vermuten, Opfer eines Identitätsdiebstahls geworden zu sein, sollten Sie sich unbedingt auch an Ihr örtliches Postamt wenden und sicherstellen, dass Ihre Post nicht ohne zusätzliche Verifizierung oder von Ihnen bestätigte Informationen angenommen, gelagert und befördert wird.
6. Die Telefonnummer
   Es ist wenig überraschend, dass Cyber-Kriminelle Telefonnummern nutzen, um sich zu legitimieren. Etliche Online-Anbieter und Institutionen verwenden Telefonnummern als Mittel zur Verifikation.
   Dabei ist es wohl eher selten, dass diese Unternehmen prüfen, ob es sich bei der Person, die eine bestimmte Telefonnummer verwendet, tatsächlich um die dazu legitimierte handelt. Bei Identitätsdiebstählen wird gerne die Handy-Nummer verwendet. Sie ist inzwischen fast schon zu einem Synonym für die persönliche Identität geworden.
   Das Problem ist, dass Telefonnummern öffentlich zugänglich sind. Jede Art von öffentlichen Aufzeichnungen und Websites wird regelmäßig durchkämmt und die Ergebnisse weiter verkauft. Telefonnummern sollten deshalb unter keinen Umständen zur Authentifizierung und Verifizierung verwendet werden!
   Mit dem oder den Mobilfunkanbietern ist es noch komplizierter, und Kriminelle haben – technisch zwar nicht ganz unkompliziert – weitreichende Möglichkeiten, die verschiedenen Kommunikationskanäle zu infiltrieren, Nachrichten abzufangen oder auch Nummern auf andere Anbieter und Carrier zu portieren (mithilfe der PIN).
   Es kann sogar passieren, dass Kriminelle, neue, mithilfe der Identität des Opfers erstellte Konten, dann ironischerweise selbst mit einer PIN schützen. Das Opfer kann so gut wie nichts dagegen tun, schon gar nicht, wenn der Mobilfunkbetreiber sich nicht kooperativ zeigt.
   Dann hilft nur, sich mit übergeordneten Institutionen in Verbindung zu setzen, die ihrerseits eine Anfrage an den oder die Provider stellen. Anhand der Daten können Sie dann etwa darum bitten, dass keine neuen Konten in Ihrem Namen eröffnet werden, ohne dass die Anfrage zusätzlich geprüft wurde.
7. Online-Identität und kritische Konten sichern!
   Bei einem Identitätsdiebstahl ist potenziell die komplette Online-Identität betroffen. Im schlimmsten Fall erwischt es kritische Konten wie etwa Bank- und Finanzkonten. Auch wenn es wie eine Binsenweisheit klingt: Aktualisieren Sie alle Passwörter in allen Bereichen und verwenden Sie am besten einen Passwort-Manager!
   Falls vorhanden, stellen Sie sicher, dass Sie die Zwei-Faktor-Authentifizierung für jedes Konto aktivieren, das sie nutzen. Vorzugsweise mit einer neuen Telefonnummer, die durch einen Authentifizierungs-PIN geschützt ist.
   Ihr E-Mail-Konto dient zur Verifizierung und Authentifizierung gegenüber fast alle anderen Online-Identitäten. Verwenden Sie Zwei-Faktor-Authentifizierung oder andere Möglichkeiten der erweiterten Verifizierung. Verwenden Sie das betreffende E-Mail-Konto niemals auf öffentlichen Systemen. Konten von Versorgungsunternehmen sind ebenfalls kritische Accounts, und leider hapert es in der Branche noch an umfassenden IT-Sicherheitsmaßnahmen. Sperren Sie solche Konten, mindestens die unten aufgezählten:
   • Finanzkonten (Bank-, Investitions-, Hypotheken- und Rentenkonten)
   • Konten von Versorgungsunternehmen und Service-Providern (Strom, Wasser,Gas, Kabel, Telefon und was immer Sie sonst noch monatlich abrechnen)
   • E-Mail-Accounts
   • Online-Dienste (Netflix, YouTube, Amazon, Spotify, etc.)
   • Social-Media-Konten (facebook, XING, LinkedIn, Instagram und sämtliche andere Konten, die geeignet sind weitere Informationen einzusammeln)
8. Steuerrelevant
   Für Finanzämter hat das Thema Identitätsdiebstahl inzwischen höchste Priorität. Gestohlene Sozialversicherungsnummern dienen beispielsweise dazu, gefälschte Steuererklärungen einzureichen und betrügerische Rückerstattungen zu erwirken.
9. Kontonummern ändern!
   Im Falle eines Identitätsdiebstahls oder eines Verdachts kommen Sie nicht umhin, alle Banken und Finanzinstitute persönlich und unabhängig voneinander zu kontaktieren.
   Sie müssen die Kontonummern ändern und zwar auch die bei allen automatisierten Zahlungssystemen, etwa bei Versorgungsunternehmen, Kreditkartenanbietern und anderen Diensten. Unter Umständen ist es sinnvoll, Kredit- und Debit-Kartennummern zu ändern.
10. Geburtsurkunde
    Wenn jemand ihre Daten gestohlen hat, um sich eine Kopie der Geburtsurkunde zu beschaffen (was vergleichsweise einfach ist), wird in der Folge kaum noch die Echtheit der Angaben überprüft oder eine Authentifizierung durchgeführt – praktisch für Kriminelle.
11. Kostenträger benachrichtigen!
    Ein Identitätsdiebstahl verursacht neben anderen schwerwiegenden Folgen nicht zuletzt finanzielle Schäden. Ist es den Tätern vielleicht sogar gelungen, etwas derart Wertvolles wie einen Ausweis in die Finger zu bekommen, kann das Dokument multipel genutzt werden:
    Für Bestellungen im Internet, die man niemals getätigt hat, für Verträge, die man niemals abgeschlossen hat, etwa für Wohnungen und Handys, und nicht zuletzt um Straftaten zu begehen. Man sollte folglich wenigstens die Kostenträger informieren, mit denen man es regelmäßig zu tun hat. Dazu gehören insbesondere Versicherungen wie Kranken- und KFZ-Versicherungen.
    Speziell in Deutschland ist für den Fernabsatz oder das Abschließen von Finanzverträgen allerdings das PostIdent-Verfahren üblich, eine Ausweiskopie reicht nicht aus.
12. Online-Identität und personenbezogene Daten
    Die meisten Menschen machen sich im Alltag weniger Sorgen um ein einzelnes Dokument. Immer mehr Informationen werden aber in Online-Repositorien vorgehalten und entsprechend häufig kompromittiert. Das kann zu einem sehr viel größeren Problem werden als der Verlust eines einzelnen Dokuments. In jedem Fall handelt es sich um personenbezogene Daten, also die Art von Informationen über die man direkt einen Personenbezug herstellen kann.
    Mit der am 25. Mai 2018 endgültig wirksam werdenden EU-Datenschutz-Grundverordnung (EU-DSGVO) gibt es zudem eine Reihe von neuen Anforderungen – unter anderem die Meldepflicht bei einer Datenschutzverletzung.

Strafrechtliche wie zivilrechtliche Maßnahmen!

Es gebe viele Arten des Identitätsdiebstahls beziehungsweise des Identitätsmissbrauchs. Dabei könnten Vermögensschäden entstehen, aber auch Rufschäden und Cyber-Mobbing seien denkbar.
Ein großes Problem sei auch die Tatsache, dass niemand wisse, ob und wann die gestohlenen Daten tatsächlich benutzt werden. Liegen Anhaltspunkte vor, dass ein Angriff stattgefunden hat, sollte man schnell handeln und auch rechtliche Schritte in Betracht ziehen!
Grundsätzlich seien sowohl strafrechtliche wie zivilrechtliche Maßnahmen möglich, allerdings seien beide in der Praxis naturgemäß schwierig durchzusetzen. Das sollte einen aber trotzdem nicht abschrecken, bestehende Möglichkeiten auszuschöpfen!

Weitere Informationen zum Thema:

datensicherheit.de, 15.09.2011
BullGuard warnt vor ignoriertem Risiko des Online-Identitätsdiebstahls

datensicherheit.de, 26.07.2011
Warnung vor Identitätsdiebstahl: Symantec Intelligence Report Juli 2011 erschienen

[datensicherheit.de, 31.01.2018] Der TeleTrusT – Bundesverband IT-Sicherheit e.V. sieht Cyber-Sicherheit als einen entscheidender Faktor für die zukünftige internationale Wettbewerbsfähigkeit der deutschen Wirtschaft. So würden Lösungen für Industrie 4.0, intelligente Energienetze, digitalisierte Gesundheitswirtschaft, „Smart Home“ und Autonomes Fahren sich nur dann durchsetzen, wenn sie sowohl innovativ als auch vertrauenswürdig sind. Die nächste Bundesregierung müsse daher Cyber-Sicherheit zu einem Schwerpunkt ihrer Politik machen.

Investitionen in Cyber-Sicherheit und sichere Digitalisierung!

Wesentliche Lebensbereiche würden in den kommenden Jahren grundlegend digitalisiert und böten die Option, von Grund auf sichere Technologien zu entwickeln, ökonomisch zu skalieren und als Standards zu etablieren – die Verkehrssysteme, das Gesundheitswesen, die Energieversorgung, kommunale Infrastrukturen und staatliche Dienstleistungen.
Deutschland habe große Chancen, in der Legislaturperiode 2018 bis 2021 und aufbauend auf den bisherigen Ergebnissen der vergangenen Legislaturperiode, bei der Cyber-Sicherheit entscheidend voranzukommen. Die gute wirtschaftliche Lage und die günstige Haushaltslage von Bund und Ländern erlaubten erhebliche Investitionen in Cyber-Sicherheit und sichere Digitalisierung.

8-Punkte-Katalog für die neue Bundesregierung

Die Cyber-Sicherheitspolitik einer neuen Koalition im Bund sollte laut TeleTrusT u.a. folgende Schwerpunkte setzen:

1. Der volkswirtschaftlichen Schaden aufgrund mangelnder Informationssicherheit, im Jahr 2017 auf 55 Milliarden Euro beziffert, sollte bis zum Ende der Legislaturperiode mindestens halbiert werden. Hierzu fordert TeleTrusT die regierungsbildenden Parteien auf, ein jährliches Budget von mindestens einer Milliarde Euro für die Stärkung der Cyber-Sicherheit von Behörden und Wirtschaft in den Koalitionsvertrag aufzunehmen. Mit diesem Geld sollten dringend erforderliche finanzielle und organisatorische Maßnahmen ermöglicht werden, um das Cyber-Sicherheitsniveau in Unternehmen und Behörden deutlich zu erhöhen. Mit der geforderten Investition würde der digitale Standort Deutschland nachhaltig attraktiver werden – auch für ausländische Investoren; gleichzeitig könnte die neue Bundesregierung die Chance nutzen, die eigene IT-Sicherheitswirtschaft zu stärken und europäische und internationale Kooperationsprojekte aufzubauen.
2. Einrichtung eines Runden Tisches zur Erarbeitung und Nachhaltung einer Cyber-Sicherheitsstrategie mit konkreten, messbaren Zielen zur Erhöhung der Informationssicherheit gemeinsam mit Bund, Ländern, Wirtschaft und Wissenschaft.
3. Personelle Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Zulassungs- und Zertifizierungsverfahren müssten beschleunigt werden, um so nachweislich sichere digitale Prozesse, Produkte und Lösungen schneller den Anwendern zur Verfügung stellen zu können. Ferner sollte das BSI-Budget für die Entwicklung neuer gesamtwirtschaftlicher und staatlich erforderlicher Basis-Sicherheitsprodukte erhöht werden.
4. Neue Anreizsysteme, mit denen Behörden und Unternehmen die vom BSI empfohlenen, dem Stand der Technik entsprechenden IT-Sicherheitsmaßnahmen aufbauen können, und Etablierung breiter Programme für Wirtschaft und Behörden, um die vorhandenen Cyber-Sicherheitslösungen der deutschen IT-Sicherheitswirtschaft besser bekannt zu machen.
5. Informationssicherheit werde nicht ohne einen Paradigmenwechsel in der Digitalisierung gelingen. Daher seien beweisbar sichere Technologien („Security by design“) weiter in Forschung und Beschaffung zu fördern. IT-Hersteller und -Diensteanbieter sollten für Datenschutz- und IT-Sicherheitsmängel ihrer Produkte haften.
6. Investitionen in Kooperationsprogramme zwischen Anwendern und Industrie – bei der Erarbeitung von innovativen Lösungen, Maßnahmen und Produkten rund um die Cyber-Sicherheit sollten verstärkt Synergien zwischen Anwendern und IT-Sicherheitsindustrie genutzt werden. Usability- und Betriebsanforderungen großer IT-Architekturen müssten zudem an den Bedürfnissen des Mittelstandes ausgerichtet werden.
7. Förderung der Entwicklung vertrauenswürdiger IT- und Netz-Infrastruktur sowie sicherer Soft- und Hardware und sicherer Cloud-Technologie. Zudem sollten Fähigkeiten zur Bekämpfung von staatlichen und nichtstaatlichen Cyber-Bedrohungen geschaffen werden. Hierzu sollten auch Anbieter und Technologie-Startups zur Schaffung nationaler Schlüsselkompetenzen gezielt gefördert werden. Ferner empfohlen: Förderung von Open-Source-Technologien im Cyber-Sicherheitsbereich.
8. Die weitere Förderung der essenziellen Kompetenz auf dem Gebiet der Kryptosystemtechnologie zur kurzfristigen Nutzung von Staat und Industrie. Zusätzlich dazu sollte das Bundesministerium für Wirtschaft und Energie im Bereich IT-Sicherheit und Kryptotechnologie einen neuen wirtschaftspolitischen Strang zur Förderung dieser Bereiche anlegen. Zulassungs- und Zertifizierungsverfahren müssten beschleunigt werden, um so nachweislich sichere digitale Prozesse, Produkte und Lösungen schneller den Anwendern zur Verfügung stellen zu können. Auch Beratung und Unterstützung von Behörden und Wirtschaft müssten ausgebaut werden, um diese schon im Vorfeld oder bei akuten Angriffen besser zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 08.08.2017
„Bundestrojaner“: TeleTrusT kündigt Verfassungsbeschwerde an

Vin unserem Gastautor Pascal Cronauer, Country Manager DACH bei LogPoint

[datensicherheit.de, 15.09.2016] Am 25.5.2018 wird die DSGVO (EU Datenschutz Grundverordnung) für Unternehmen und Behörden in Kraft treten. Bis dahin haben alle Betroffenen Zeit entsprechende Maßnahmen zu ergreifen und ausgiebig zu testen. Die Verordnung bringt eine ganze Reihe von Änderungen mit sich, die zwar noch in nationales Recht der einzelnen EU-Mitgliedsstaaten umgewandelt werden muss, mit denen sich Unternehmen aber schon jetzt auseinandersetzen sollten.

Im Folgenden hat LogPoint die wichtigsten Punkte zusammengefasst, die Unternehmen bei der Vorbereitung auf die DSGVO unterstützen:

1. Unternehmen mit mehr als 250 Mitarbeitern müssen einen sogenannten Data Protection Officer benennen, der für die Einhaltung der Compliance verantwortlich zeichnet. Darüber hinaus muss ein Datenkontrolleur öffentlich bekannt gemacht werden, der im Falle einer Datenschutzverletzung oder eines Sicherheitsvorfalls in Bezug auf die Datensicherheit die zuständigen Stellen innerhalb von 72 Stunden informieren muss. Von dem Vorfall Betroffene müssen darüber hinaus in Kenntnis gesetzt werden.
2. Darüber hinaus sollen Absicherungsmechanismen in IT-Systeme eingebaut werden und zwar möglichst gleich zu Beginn der Entwicklung von Produkten und Services. Die wichtigsten Stichwörter in diesem Zusammenhang sind Privacy by Design und Privacy by Default.
3. Wer keine entsprechenden Maßnahmen ergreift, aber einen Sicherheitsvorfall erleidet und diesen nicht fristgemäß meldet, der muss mit Strafen rechnen, die sich an dem Umsatz eines Unternehmens orientieren und im Höchstfall 100 Millionen Euro betragen sollen.

Daraus abgeleitet empfiehlt LogPoint allen Unternehmen seine bestehenden Sicherheitsmaßnahmen und internen Datenschutzbestimmungen zu überprüfen und Rollen und Zuständigkeiten klar zu definieren. Darüber hinaus sollte ein Risiko Assessment erfolgen und ein Notfallplan erarbeitet werden, um im Sicherheitsfall schnell reagieren zu können. SIEM-Lösungen unterstützen Unternehmen nicht nur dabei die Folgen von Sicherheitsvorfällen abzumildern, indem durch eine zielgerichtete Log-Analyse und Reportings Vorfälle aufgeklärt werden können. Bereits bei der Infiltration können SIEM-Systeme die Eindringlinge und fremden Systeme schnell herausfiltern und die Sicherheitsverantwortlichen über entsprechende Alarme umgehend darüber informieren. Diese Warnmeldungen können auch für bestimmte Daten konfiguriert werden, so dass jeder Zugriff egal ob intern oder extern auf diese Daten eine Benachrichtigung auslöst.

Bild: LogPoint

Pascal Cronauer: Sicherheitsmaßnahmen und internen Datenschutzbestimmungen überprüfen und Rollen und Zuständigkeiten klar definieren

Die DSGVO kommt und Unternehmen sollten sich darauf vorbereiten, nicht nur durch die Einführung neuer Compliance-Regeln, sondern auch entsprechender Maßnahmen die bei der Einhaltung unterstützen und einen sauberen Prozess gewährleisten.

[datensicherheit.de, 05.02.2014] Beta Systems Software AG, langjähriger Anbieter im Bereich „Data Center Infrastructure“ (DCI), gibt 4 Tipps für den Aufbau eines modernen und intelligenten Rechenzentrums. Unternehmensdaten bergen viele „Schätze“ wie Geschäfts- oder Operations-Informationen in den Rechenzentren. Um ihre Wettbewerbsfähigkeit und Reaktionsgeschwindigkeit weiter zu erhöhen, setzen Unternehmen zunehmend auf die effiziente unternehmensweite und plattformübergreifende Auswertung und Nutzung dieser Daten. Gleichzeitig führt das ungebremste Wachstum der Unternehmensdaten zu einem starken Zuwachs von Daten auf der Non-z/OS-Seite. Welche Technologien sind erforderlich, um diese „Schätze“ zu heben und einen „Return-on-Data“ zu erzielen? Der Berliner Softwareanbieter Beta Systems gibt 4 Empfehlungen, worauf Unternehmen beim Aufbau eines modernen und intelligenten Rechenzentrums achten müssen:

1. Multi-Plattformfähigkeit für die Verbindung des Rechenzentrums mit dezentralen Welten nutzen
   Damit Unternehmen einen größtmöglichen Return-on-Investment aus ihrer IT ziehen, sollte die Multi-Plattformfähigkeit wichtiges Entscheidungskriterium bei der Wahl der Infrastruktursoftware sein. Diese sollte plattformübergreifend Informationen aus allen z/OS- und Non-z/OS-Quellen für die weitere Nutzung im Rechenzentrum aufbereiten und für Anwendungen und User aus allen Geschäftsbereichen öffnen.  XML- Daten können beispielweise mit Hilfe einer modernen Infrastrukturlösung im Intranet bereitgestellt und für Aufgaben wie Monitoring, Auditing Management und Accounting eingesetzt werden. Die Auswertung dezentraler wie auch zentraler Daten an einer Stelle im Rechenzentrum benötigt eine innovative Agententechnologie, die sich einheitlich für die Verarbeitung von Jobs, Dokumenten und Logs verwenden lässt.
2. Mit einem Single Point of Information Daten effizient auswerten und prüfen
   In einem täglich genutzten Produkt werden laufend Änderungen von Anwendern oder Administratoren durchgeführt. Je nach Aufgabenstellung und Zugriffsberechtigung können dabei auch grundlegende Einstellungen wie Scan-Definitionen, das Ein- oder Ausschalten von Systemkomponenten oder Batch-Prozesse modifiziert werden. Neben unkritischen arbeitsbezogenen Änderungen gibt es ein Spektrum an unerwünschten oder schädlichen Änderungen. Dieses reicht von temporären Änderungen, die nicht rückgängig gemacht werden, bis hin zu internem, unerlaubten Zugriff auf geschützte Daten oder böswillige Änderungen an Systemeinstellungen. Um diese begutachten zu können, müssen in einer Überwachungseinheit die durchgeführten Änderungen angezeigt werden. Voraussetzung für diese umfassende Aufgabe ist, dass alle Daten an einer Stelle plattformübergreifend zur Auswertung gebracht werden. Ermöglicht wird dies durch ein durchgängiges System, Daten zu sammeln und auszuwerten, zu dem auch ein integriertes Agentennetzwerk gehört.
3. Auf Lösungen mit hoher Usability setzen
   Bei der Auswahl ihrer Rechenzentrums-Infrastruktursoftware sollten Anwender auf höchstmögliche Standards hinsichtlich der Benutzerfreundlichkeit achten. Das Produkt sollte deutlich an dem Look-&-Feel moderner Web-Anwendungen orientiert sein und von seiner Usability vielfältige Funktionen wie private Favoriten (individueller Zugriff auf die am häufigsten benötigten Informationen), Kontext-Menüs oder Links auf Begleitdokumente in einer modernen Web-Oberfläche vereinen. Nicht zuletzt verringert sich dadurch auch der Schulungsbedarf der Mitarbeiter erheblich.
4. Lösung mit umfassender, integrierter Compliance-Funktionalität wählen
   Mit Gesetzen – wie z. B. dem geplanten IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) – will der Gesetzgeber sicherstellen, dass Unternehmen, die im Bereich der kritischen Infrastruktur (einer Volkswirtschaft) tätig sind wie Finanz- und Versicherungsinstitute, den nach dem Stand der Technik angemessenen Schutz ihrer IT-Systeme nachweisen. Nach Inkrafttreten der Rechtsverordnung müssen die Unternehmen mindestens alle zwei Jahre Sicherheitsaudits durch anerkannte Auditoren durchführen. Eine Aufstellung der Sicherheitsaudits einschließlich der aufgedeckten Sicherheitsmängel ist dem Bundesamt zu übermitteln.

Eine moderne Rechenzentrums-Software sollte daher bereits eine Vielzahl automatisierter Audit-Funktionen, unter anderem für häufig durchzuführende Prüfungen wie „Ungültige Anmeldeversuche“, Passwort-Einstellungen, Berechtigungen kritischer Systemressourcen etc. bieten. Mithilfe von Reports ist das Ergebnis jeder durchgeführten Prüfung auf einen Blick sichtbar. Diese Grundschutzprüfung sollte durch die Ergebnisse einer Eigenüberwachung der Infrastruktursoftware ergänzt werden. Zusammen ergibt dies für Unternehmen eine umfassende Sicht zum Status ihrer Compliance-Einhaltung. Weiterhin ist sinnvoll, dass die Software Daten für die Steuerprüfung von Daten, die dem Datenschutz unterliegen, trennt.

[datensicherheit.de, 04.11.2013] ENISA, die „Internet-Sicherheits“-Agentur der Europäischen Union, hat heute einen Bericht veröffentlicht, in dem empfohlen wird, dass alle Behörden die Verwendung von Kodierungsmaßnahmen verbreiten sollten, um den Schutz persönlicher Daten sicherzustellen.

Der Bericht beschreibt Wege, wie empfindliche und/ oder persönliche Daten, die auf legalem Wege erworben wurden, geschützt werden können. Hierbei wird der Zusammenhang zwischen Privatsphäre und Kryptografie hervorgehoben und demonstriert, welche Rolle letzteres beim Schützen persönlicher Daten sowie auf legalem Wege erworbenen empfindlichen oder vertraulichen Daten spielen kann.

Der Bericht bildet Sicherheitsmaßnahmen bezüglich persönlicher Daten sowie grundlegende kryptografische Techniken ab. Es sei darauf hingewiesen, dass Informationen zu Sicherheitsmaßnahmen und Mechanismen zugunsten des Schutzes persönlicher Daten angewendet werden können. Dennoch deckt Informations-Sicherheit nicht alle Aspekte bezüglich des Schutzes persönlicher Daten und Privatsphäre allgemein ab.
Persönliche/empfindliche Daten benötigen in verschiedenen Stufen ihres Lebenszyklus unterschiedliche Schutzmaßnahmen. In diesem Sinne stellt der Bericht einen Kurzabriss einer solchen Lebenszyklus-Beschreibung dar. Auch beschreibt der Bericht Sicherheitsmaßnahmen sowie eine Einführung in die grundlegenden kryptografischen Techniken.

Der Bericht wird ergänzt durch eine Reihe technischer Empfehlungen für Algorithmen, Schlüsselgrößen, Parameter und Protokolle. Die Zielgruppen dieser Empfehlungen sind Systementwickler und Instanthaltungsingenieure in wirtschaftlichen Bereichen, die mit der Notwendigkeit konfrontiert sind, Schutzmaßnahmen für Daten anzuwenden oder zu ersetzen.

Unter den Top Drei Erkenntnissen und Empfehlungen sind:

• Die kryptografischen Maßnahmen machen nur einen Teil eines Puzzles aus, wenn es um Privatsphäre und Datenschutz geht. Dennoch können Kodierungsmaßnahmen einen wichtigen, grundlegenden Schutzmantel im Bereich des Datenschutz darstellen und Auswirkungen eindämmen, wenn es zu Lücken im System kommt. Die relevanten Interessenvertreter (Behörden für Datenschutz, Behörden der EU Mitgliedsstaaten, und Dienstleistungsanbieter) sollten Nutzern und anderen empfehlen, Sicherheitsmaßnahmen für den Schutz persönlicher Daten einzusetzen und zugleich sich auf Lösungen, die dem neusten Stand der Technik entsprechen sowie eigens für diesen Zweck eingesetzte Einstellungen verlassen.
• All diese Interessenvertreter könnten die technischen Kodierungsmaßnahmen und Empfehlungen verwenden, die in einer anderen, kürzlich veröffentlichen ENISA Studie publiziert wurden und sich an Entscheidungsträger und Fachleute richtet.
• Fachpersonal wird benötigt, um die aktualisierten kryptografischen Schutzmaßnahmen richtig umzusetzen.

Der geschäftsführende Direktor der ENISA, Professor Udo Helmbrecht, sagte: „Kodierung ist eine alte Methode, Daten zu sichern und auch heutzutage noch ein effektives Mittel, um persönliche Daten online zu schützen.“

Hintergrund: Vorschrift No 611/2013 der Europäischen Kommission über Maßnahmen, die sich auf das Benachrichtigen im Fall von Lücken in persönlichen Daten übertragen lassen; die Vorschrift ist ein Teil der Direktive 2002/58/EC über private und elektronische Kommunikation

Weitere Informationen zum Thema:

ENISA
Recommended cryptographic measures – Securing personal data

ENISA, 29.10.2013
Algorithms, Key Sizes and Parameters Report

[datensicherheit.de, 22.06.2013] Mehr als ein Viertel (26 Prozent) aller Datenverluste in Unternehmen seien laut Kroll Ontrack auf menschliches Versagen und Bedienungsfehler zurückzuführen. Anders aber als Hardware-Ausfälle ließen sich diese Fehler vermeiden. Durch Virtualisierung, die Einbindung von Cloud-Storage und andere neue Technologien werden moderne Speichersysteme immer komplexer.
Gleichzeitig steigt die Menge und Bedeutung der gespeicherten Unternehmensdaten kontinuierlich. Diese Daten gewissenhaft zu schützen und sorgfältig zu dokumentieren ist deshalb essenziell. Unter einem so hohen Druck komme es häufig vor, dass bewährte Standards wie ITIL (Information Technology Infrastructure Library) von IT-Teams
vernachlässigt würden, erläutert Peter Böhret, „Managing Director“ bei Kroll Ontrack Deutschland. Denn oftmals stehe ausschließlich eine schnelle Problemlösung im Vordergrund, so dass das Risiko eines Datenverlusts fast schon bewusst eingegangen werde. Doch die Erfahrung aus den Datenrettungslaboren von Kroll Ontrack zeige, dass es immer wieder typische Fehler von IT-Administratoren gibt, die häufig zu einem kritischen Datenverlust führten.

Kroll Ontracks „Top 5“ der zum Datenverlust führenden Fehler:

1. Mangelhafte Dokumentation und lückenhafte Sicherheitsmaßnahmen
   Kroll Ontrack sehe regelmäßig die Folgen dieses nachlässigen Verhaltens. Egal ob ein Unternehmen einen Test-Server ans Netz nimmt, aber niemand der IT-Abteilung Bescheid gibt, dass ein Backup eingerichtet werden muss, oder ob aus Gründen lückenhafter Dokumentation ein SAN (Storage Area Network) abgeschaltet wird, das eigentlich noch im Betrieb ist – ein Datenverlust sei vorprogrammiert.
2. Mangelhafte Update-Politik
   Jeder IT-Administrator kenne dieses Problem. Eigentlich hätte man sich vorgenommen, endlich die Updates bei den Betriebssystemen und der Anti-Viren-Software vorzunehmen. Doch wegen des hohen Arbeitsaufkommens werde der Vorgang immer wieder verschoben, bis schließlich die entstandenen Sicherheitslücken zu einem Datenverlust führten.
3. Mangelhafte Backup-Politik
   Eine Kundenumfrage von Kroll Ontrack habe vor Kurzem gezeigt, dass es bei 60 Prozent der Befragten trotz existierendem Backup zu einem Datenverlust gekommen sei. Grund dafür sei in fast allen Fällen, dass die Datensicherung nicht ordnungsgemäß funktioniert habe. Damit ein Backup tatsächlich vor Datenverlust schützt, müssten Unternehmen umfangreiche Richtlinien zur Datensicherung etablieren und zudem die Integrität der Backups regelmäßig überprüfen.
4. Versehentliche Löschung von Daten
   Auch wenn es im ersten Moment vielleicht überraschend erscheint, müsse Kroll Ontrack sehr oft Daten wiederherstellen, die irrtümlich gelöscht worden seien. Oft passiere dies aufgrund lückenhafter Dokumentation. Vor jeder Datenlöschung sollten Administratoren deshalb immer überprüfen, ob die Daten tatsächlich gelöscht werden dürfen.
5. Mangelhafte IT-Sicherheitsmaßnahmen
   Selbst die kleinste Lücke in der IT-Sicherheit könne verheerende Auswirkungen mit hohen Kosten haben. Daher sollten Administrator-Passwörter einem kleinen, ausgewählten Mitarbeiterkreis vorbehalten sein und auf jeden Fall geändert werden, wenn ein IT-Administrator das Unternehmen verlässt. Kroll Ontrack habe es schon mit spektakulären Fällen von Datenverlust zu tun gehabt, die auf verärgerte Ex-Mitarbeiter zurückzuführen gewesen seien. Diese seien noch im Besitz eines aktiven Passworts gewesen und hätten damit absichtlich große Mengen wichtiger Unternehmensdaten gelöscht.

Kroll Ontracks Empfehlungen für richtiges Verhalten:

1. Keine Panik
   Auf der Suche nach einer Lösung sollten Sie auf keinen Fall übereilte Entscheidungen treffen, sondern immer die Auswirkungen und Konsequenzen berücksichtigen. Unüberlegte Entscheidungen könnten zu einem größeren Datenverlust und längeren Ausfallzeiten führen – von höheren Kosten und Ressourcenbedarf einmal abgesehen. Falls es einmal zu einem Datenverlust kommen sollte, stellen Sie auf keinen Fall die Daten wieder auf dem ursprünglichen Laufwerk her, denn damit kam es ja erst zum Datenverlust, und speichern Sie keine neuen Daten auf dem Laufwerk, denn es könnte korrupt oder beschädigt sein. Außerdem sollten Sie nie versuchen, eine Korruption durch Formatierung des betroffenen Datenspeichers zu lösen.
2. Selbstvertrauen haben
   Sie sind Teil der Lösung, nicht des Problems. Wenn Ihre Unternehmensführung Sie mit allen Mitteln dazu drängt, um jeden Preis die Systeme wieder zum Laufen zu bringen, argumentieren Sie als Experte. Helfen Sie Ihren Vorgesetzten dabei, Entscheidungen zu treffen, die weiteren Schaden vermeiden, und reagieren Sie schnell, wenn ein Datenverlust droht. Je schneller Sie das betroffene Laufwerk aus dem Betrieb nehmen desto besser, denn Daten werden schneller überschrieben, als Sie vielleicht glauben.
3. Einen Plan haben
   Halten Sie sich an bewährte ITIL-Prozesse und gehen Sie sicher, dass die Dokumentationen des Rechenzentrums immer komplett und auf dem Laufenden sind. Dabei sollten Sie immer beachten, dass während eines Datenverlusts keine Datenträger-Hilfsprogramme (CHKDSK/FSCK) oder Firmware-Updates laufen dürfen.
4. Bescheid wissen
   Sie müssen genau darüber Bescheid wissen, was Ihre Speicherumgebung verkraftet und wie schnell sie sich wieder erholen kann. Genauso müssen Sie sich im Klaren darüber sein, welche Daten kritisch oder unersetzlich sind, ob diese neu eingegeben oder ausgetauscht werden können, und was es kostet, den Betrieb zur vollen Zufriedenheit wiederherzustellen. Wägen Sie für das Krisenmanagement Kosten und Risiken ab – müssen die noch vorhandenen Daten geschützt werden oder ist es wichtiger, dass das System so schnell wie möglich wieder in Betrieb geht?
5. Im Zweifel einen Datenretter beauftragen
   Während Ihr Gerätehersteller für den Anfang ein guter Ansprechpartner zu sein scheint, liegen dessen Prioritäten oft anders. So kann er den Wert Ihrer Daten kaum genauso schätzen wie Sie und er denkt oft auch nicht an die Risiken eines Datenverlusts, wenn das System wieder aufgesetzt wird. Daher sollten Sie immer ein renommiertes Datenrettungs-Unternehmen hinzuziehen, wenn ein Datenverlust nicht auszuschließen ist.

Weitere Informationen zum Thema:

Der Datenrettungs-Blog by Kroll Ontrack, 21.06.2013
DAS PROBLEM IST DER MENSCH

[datensicherheit.de, 25.10.2012] In ihrem aktuellen Bericht untersucht die EU-Agentur für Internetsicherheit enisa 85 nationale und internationale Internetübungen aus dem Zeitraum 2002 und 2012. Ihr Bericht gibt auf dieser Basis sieben Empfehlungen.
Weltweit wurden Informationen über nationale und multinationale Internetübungen gesammelt und in diesem Bericht analysiert. Die enisa fand nach eigenen Angaben heraus, dass insgesamt 22 der europäischen Länder die nationale Internet-Sicherheitsübung während der letzten Jahre durchgeführt haben. Internetübungen hätten demnach zahlenmäßig in den letzten Jahren zugenommen; 71 Prozent der Übungen seien in den Jahren 2010 bis 2012 durchgeführt worden. Grund dafür sei der allgemeine politische Kontext, der Internetübungen fördere. Weitere Faktoren seien ein stärkerer Fokus der EU-Mitgliedstaaten auf diese Thematik sowie die zunehmende Bedrohung durch grenzüberschreitende Internetzwischenfälle und -angriffe. Kooperationsbemühungen in den Bereichen Internetsicherheit und Internetkrisen erhielten immer mehr Aufmerksamkeit. Es gebe ein wesentliches Bedürfnis, die öffentlich-private Zusammenarbeit für Internetübungen zu intensivieren, da die Eigentumsrechte der meisten kritischen Informationsinfrastrukturen in privaten Händen lägen. Die richtige Planung, Überwachung und Auswertung der Methoden seien entscheidend für eine wirksame Internetübung.
Einige statistische Merkmale hätten gezeigt, dass 64 Prozent der multinationalen Übungen mehr als zehn Länder involvierten. 13 Prozent beteiligten sechs bis zehn Länder und weitere 13 Prozent drei bis fünf Länder. In 57 Prozent der Übungen habe die Teilnahme sowohl des öffentlichen wie auch des privaten Sektors zugenommen, während 41 Prozent ausschließlich den öffentlichen Sektor involvierten. Zwei Drittel der analysierten Übungen seien nationale Übungen gewesen und ein Drittel multinationale Übungen. Dies zeige eine Tendenz für internationale Zusammenarbeit, wobei nationale Sicherheitsfragen meistens innenpolitische Belange seien.

Die sieben wichtigsten Empfehlungen des neuen enisa-Berichts:

1. Aufstellung einer stark integrierten globalen Gemeinschaft für Internetübungen.
2. Sicherstellung des Austauschs über bewährte Praktiken der Internetübungen, einschließlich der öffentlich-privaten Zusammenarbeit.
3. Förderung der Entwicklung des Übungs-Management-Tools für eine bessere Wahrnehmung, Planung, Durchführung und Auswertung.
4. Durchführung von komplexeren Internetübungen über Sektorgrenzen hinweg und auf internationalem sowie europäischem Level.
5. Ansetzen von fünf Übungen im Lebenszyklus der nationalen Krisen-Notfallpläne für das Internet.
6. Förderung guter Praxisbeispiele für nationale Übungen und Einführung einer Schritt-für-Schritt-Methode für grenzüberschreitende Internetübungen.
7. Entwickeln von Feedback-Mechanismen für nachhaltiges Lernen aus den Internetübungen.

Diese enisa-Studie zeige, dass ein breiter Konsens für Internetübungen ein wesentliches Instrument sei, um die Gemeinschaft auf Internetkrisen vorzubereiten und die Reaktionsfähigkeit von Interessengruppen gegen Vorfälle in kritischen Informations-Infrastrukturen zu verbessern, so der Geschäftsführende Direktor der enisa, Professor Udo Helmbrecht. Basierend auf diesem Bericht sähen sie an den Ergebnissen eine wachsende Zahl von multinationalen Übungen, wie ihre jüngste Übung „Cyber Europe 2012“, an der auch der private Sektor beteiligt sei.

Weitere Informationen zum Thema:

enisa
Cyber Exercises Survey and Analysis

European Commission
Critical Information Infrastructure Protection
http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/index_en.htm

European Commission
DIGITAL AGENDA FOR EUROPE
http://ec.europa.eu/digital-agenda/

EUROPÄISCHE KOMMISSION, 31.03.2011
MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN über den Schutz kritischer Informationsinfrastrukturen„Ergebnisse und nächste Schritte: der Weg zur globalen Netzsicherheit”
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0163:FIN:DE:HTML