[datensicherheit.de, 16.05.2025] Der Deutsche Anwaltverein (DAV) befürchtet „massive Eingriffe in Bürgerrechte“ und fordert in seiner Stellungnahme vom 5. Mai 2025 zum Thema Verschlüsselung, dass eine EU-Regulation nur mit Expertenbeteiligung erfolgen dürfe. Mit der „Technology Roadmap on Encryption“ will die EU-Kommission demnach Verschlüsselungstechnologien standardmäßig schwächen. Der DAV kritisiert das gemeinsam mit anderen Organisationen in einem Schreiben an die zuständige Vizepräsidentin der Kommission.

Schlupflöcher in der Verschlüsselung für Behörden öffnet diese auch Kriminellen und anderen böswilligen Dritten

„Die ,ProtectEU’-Strategie birgt große Gefahren“, betont Rechtsanwalt Dr. David Albrecht, Mitglied im DAV-Ausschuss „Recht der Inneren Sicherheit“. Ermittlungsbehörden Zugriff auf verschlüsselte Daten zu gewähren, sei nicht nur ein heftiger Eingriff in die Bürgerrechte.

Denn wenn man bei einer Verschlüsselung Schlupflöcher für Behörden schafft, könnten diese auch von Kriminellen und anderen böswilligen Dritten ausgenutzt werden, so Albrechts eindringliche Warnung.

Digitale Massenüberwachung und beabsichtigte Schwachstellen in der Verschlüsselung gefährden Sicherheit der Bürger

Darüber herrsche große Einigkeit in der Wissenschaft. Auch die neuesten Verfahren – wie das „Client-Side-Scanning“ – fielen bei Tests von Experten durch. „Digitale Massenüberwachung und das bewusste Kreieren von Schwachstellen schaffen nicht mehr Sicherheit. Im Gegenteil: Dadurch entstehen für die meisten Bürgerinnen und Bürger sogar mehr Risiken!“

Die Unterzeichner des gemeinsamen Schreibens senden deshalb einen Appell an die EU-Kommission: An der Ausarbeitung von Gesetzgebung zur Cybersicherheit sollten dringend Vertreter von Zivilgesellschaft und Wissenschaft, Technologieexperten sowie Digital- und Menschenrechtsanwälte beteiligt werden. „Gemeinsam können wir technische und nicht-technische, langfristige Lösungen für Probleme in der europäischen Cybersicherheit finden“, so Albrecht abschließend.

Weitere Informationen zum Thema:

Digitale Gesellschaft, 05.05.2025
Offener Brief: Technology Roadmap on Encryption

DeutscherAnwaltVerein, 05.05.2025
Academics, technologists and other experts call for a key role in EU Technology Roadmap on encryption

datensicherheit.de, 26.04.2024
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte / Warnung des eco vor Gefährdung des Schutzes der persönlichen Daten jedes Einzelnen in Europa

datensicherheit.de, 21.10.2021
Starke Verschlüsselung: Einmischung gefährdet Öffentlichkeit und Wirtschaft / Zivile Organisationen und Technologieunternehmen aus aller Welt haben sich am ersten Globalen Verschlüsselungstag zusammengeschlossen

datensicherheit.de, 18.11.2020
Offener Brief: Verschlüsselung nicht in Frage stellen / Reporter ohne Grenzen und Netzwerk Recherche fordern Regierungen der EU-Staaten auf, Verschlüsselung bei Messenger-Diensten zu wahren

datensicherheit.de, 11.11.2020
DAV warnt vor Hintertüren: Schwächung der Ende-zu-Ende-Verschlüsselung droht / Rechtsanwalt Dr. Eren Basar, Mitglied des Ausschusses „Gefahrenabwehrrecht“ des Deutschen Anwaltvereins (DAV), nimmt Stellung

[datensicherheit.de, 09.10.2019] Eine neue Symantec-Studie empfiehlt Unternehmen Cyber-Security-Experten einzustellen, die bereits eigene Erfahrungen mit vermeidbaren Sicherheitsvorfällen gemacht haben. Die Studie zeigt, dass nachdem die Spezialisten solche Vorfälle bereits erlebt haben, sich das Verhalten dieser Mitarbeiter positiv verändert. Sie werden selbstbewusster und insgesamt aufmerksamer.

Die Studie basiert auf einer Befragung von 3.045 Cyber-Security-Entscheidern aus Frankreich, Deutschland und Großbritannien. Durchgeführt wurde sie von Dr. Chris Brauer, Director of Innovation bei Goldsmiths, University of London, und seinem Team im Auftrag von Symantec. Die Ergebnisse zeigen nach Angaben von Symantec deutlich: Ein überstandener Sicherheitsvorfall reduziert die künftige – gefühlte – Belastung am Arbeitsplatz der Security-Experten erheblich und erhöht gleichzeitig die Wahrscheinlichkeit, dass sie ihre Erfahrungen mit erfolgreichen Angriffen teilen, um dem gesamten Team diesen Erfahrungsschatz zugänglich zu machen.

„Es mag zunächst widersprüchlich klingen“, kommentiert Darren Thomson, CTO, Symantec EMEA, „aber wenn ich Ihnen zwei CISO-Kandidaten mit identischen Fähigkeiten anbieten würde, aber einer von ihnen den Umgang mit Regulierung weniger stressig findet, weniger wahrscheinlich an Burnout leidet und eher bereit ist, das selbst Gelernte – und dazu zählen auch Misserfolge – zu teilen, wen werden Sie wählen?“

Bei Cyber-Security-Experten, die bereits einen vermeidbaren Sicherheitsvorfall erlebt haben, ist es:

• 24% weniger wahrscheinlich, dass sie das Gefühl haben, „ausgebrannt“ zu sein.
• 20% weniger wahrscheinlich, dass sie gegenüber ihrer Arbeit Gleichgültigkeit empfinden.
• 15% weniger wahrscheinlich, dass sie sich persönlich für einen Vorfall verantwortlich fühlen, der hätte vermieden werden können.
• 14% weniger wahrscheinlich, dass sie sich ständig „zum Scheitern verurteilt“ fühlen.
• 14% eher wahrscheinlich, dass sie ihre Lernerfolge teilen.
• 14% weniger wahrscheinlich, dass sie darüber nachdenken, ihren Job zu kündigen.

Aus Fehlern lernen

Ein Ergebnis ist für Cyber-Security-Teams besonders positiv: Experten, die bereits einen Sicherheitsvorfall erlebt haben, teilen ihre Erfahrung zu 14 Prozent häufiger mit ihren Kollegen. Dies ist enorm wichtig, da die Studie gleichzeitig einen Mangel an strategischem und operativem Informationsaustausch innerhalb der Branche zeigt.

Schwerwiegende Sicherheitsvorfälle sind entscheidende Momente der Laufbahn von Cyber-Security-Experten. Aufgrund des fehlenden Informationsaustauschs, den die Studie aufdeckte, ist es schwierig, aus den Erfahrungen anderer zu lernen.

• 54 Prozent diskutieren bewusst nicht über Vorfälle oder Angriffe mit Kollegen innerhalb der Branche
• 50 Prozent berichten von einem deutlichen Mangel eines branchenübergreifenden Informationsaustausches hinsichtlich des Umgangs mit Sicherheitsvorfällen. Dies ist ein deutlicher Kontrast zu ihren Gegnern – den Cyber-Kriminellen – die Malware austauschen und auch anderweitig zusammenarbeiten.

Ein Grund für den mangelnden Informations- und Wissensaustausch scheint die Sorge um den eigenen Ruf zu sein. Dies ist allerdings nicht der einzige Faktor. 36 Prozent der Befragten geben an, dass sie besorgt sind, dass ein Angriff unter ihre Aufsicht sich negativ auf ihre Karriere auswirken kann. Daher tauschen sie sich nicht mit Kollegen oder potenziellen Arbeitgebern dazu aus.

In jeder Krise steckt auch eine Chance

Fast die Hälfte der Befragten sieht eine Krise als unvermeidlich an – es ist nur eine Frage der Zeit, bis sie stattfindet. Cyber-Security-Experten, die einen Sicherheitsvorfall erlebt haben, sind jedoch aufmerksamer. Gleichzeitig priorisiert die Geschäftsleitung in solchen Unternehmen die Implementierung von Security-Maßnahmen.

Darren Thomson empfiehlt: „Mein Rat an CEOs ist: Sie sollen bei Cyber-Security-Experten die Tatsache, dass sie bereits einen Sicherheitsvorfall erlebt haben, als Vorteil ansehen und nicht als Schwäche. Die aus dem Sicherheitsvorfall resultierende Erfahrung wirkt sich positiv auf die Eignung eines Kandidaten aus: Sie sind weniger emotional, können besser mit Druck umgehen und unterstützen ihre Kollegen besser.“ 

Ben King, Chief Security Officer, Symantec EMEA, ergänzt, „Mein Rat an CISOs ist, aus jeder „Krise in der IT-Sicherheit“ etwas zu lernen. Ein Sicherheitsvorfall bietet Unternehmen die Möglichkeit, neue und verbesserte Abläufe und Services einzuführen. Cyber-Security-Teams erhalten durch einen Vorfall die seltene Chance, Kollegen die Security-Herausforderungen und sich wandelnden Angriffsmethoden zu verdeutlichen. Weiterhin ist es eine Chance, höhere Budgets und meist dringend benötigte Team-Mitglieder einzufordern. Cyber-Security-Experten erhalten so die Möglichkeit, Veränderungen voranzutreiben, die im normalen Tagesgeschäft nur schwer durchzusetzen sind.“

Aus der qualitativen Forschung, die aus intensiven Gesprächen mit Sicherheitsverantwortlichen im Rahmen der High-Alert-Studie gewonnen wurde, ergaben sich fünf wichtige Empfehlungen, um den Umdenkungsprozess im Unternehmen voranzutreiben und um nach einem Breach, die Katastrophe in eine Chance zu entwickeln.

Über die Studie

Die High Alert-Studie wurde von Symantec in Zusammenarbeit mit Dr Chris Brauer, Director of Innovation, Goldsmiths, University of London, und der Forschungs-Beratung Thread durchgeführt. Die Forschungsarbeit wurde von Dr Chris Brauer und Dr Jennifer Barth begleitet und von Sean Duggan geleitet. Die deutschen und französischen Zahlen für die quantitative Studie stammen von Censuswide; die britischen Zahlen von YouGov.

Die Feldarbeit wurde im Winter 2018 durchgeführt. Die Forschung verwendete quantitative Methoden, um die Einschätzungen von Cyber-Security-Experten in Führungspositionen in den drei Ländern Frankreich, Deutschland und Großbritannien zu messen, auszuwerten und zu differenzieren.
Die Befragungen wurde an 3.045 Personen in Frankreich (1.002 Teilnehmer), Deutschland (1.003 Teilnehmer) und in Großbritannien (1.040 Teilnehmer) in mittleren oder oberen Führungspositionen mit einer Entscheider-Rolle im Cyber-Security-Bereich verteilt.

Die Ergebnisse basieren auf einer Sekundärerhebung, der erfahrenen Cyber-Security-Experten einen persönlichen Einblick gaben. Die Umfrage bestand aus 43 Punkten, die in neun Fragegruppen organisiert waren, mit einer fünf-stufigen Antwortskala, die es den Befragten ermöglicht, im Rahmen dieser spezifischen Untersuchung selbst zu berichten. Die Umfrage enthielt auch Fragen zur Erhebung demographischer Daten.

Weitere Informationen zum Thema:

Symantec
NACH DEM ANGRIFF – Wie man aus einer Katastrophe einen Erfolg macht

datensicherheit.de, 28.04.2019
Symantec-Studie: Wachsender Druck auf Security-Experten

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 16.01.2017
Erster CISO-Ratgeber zur Analyse des Benutzerverhaltens vorgestellt

[datensicherheit.de, 18.10.2018] Die „Cybersecurity Workforce Study 2018“ von (ISC)² stellt fest, dass weltweit eine Lücke von 2,93 Millionen Cyber-Sicherheitsexperten in der Arbeitswelt herrscht. Ganze 59% der befragten Cybersicherheitsmitarbeiter sind der Ansicht, dass diese Personalknappheit ihre Organisation entweder extrem oder mäßig gefährdet.

Bild: Vectra

Zu Folgen und Lösungen nimmt Gérard Bauer, VP EMEA bei Vectra wie folgt Stellung:

„Die große Nachfrage nach Fachkräften für Cybersicherheit bedeutet, dass es Möglichkeiten für Neueinsteiger in allen Bereichen gibt. Dennoch wird immer noch davon ausgegangen, dass bestimmte Qualifikationen wie fundiertes IT-Wissen und Mathematik für die Arbeit in der Cybersicherheit unerlässlich sind. Tatsächlich verlangen viele Arbeitgeber immer noch eine Zertifizierung wie etwa (ISC)². Dies muss jedoch nicht immer wirklich notwendig sein und verschärft nur unnötig das Problem des Fachkräftemangels in diesem Bereich. In Wirklichkeit brauchen wir Cybersicherheitsexperten, die nicht nur schnell lernen und sich anpassen können, sondern auch ein kontextuelles Verständnis des Unternehmens aufbauen, das sie schützen sollen. Somit geht es nicht nur um technische Fähigkeiten und Spezialwissen.

Ein stärkerer Einsatz von Technologie auf Basis künstlicher Intelligenz (KI) kann einen wesentlichen Beitrag zur Überbrückung des mangelnden Cyberwissens und der Ressourcenlücke leisten, die im jüngsten (ISC)2-Bericht festgestellt wurden. KI erweitert die menschlichen Fähigkeiten, in einem größeren Maßstab zu arbeiten und manuelle Ansätze zu beschleunigen, was auf herkömmlichem Wege nicht machbar wäre. Da Zeitmangel als eines der wichtigsten Probleme von IT- und Sicherheitsexperten genannt wird, wäre dies von unschätzbarem Wert. Viele der im Bericht identifizierten zeitaufwändigen Aufgabenbereiche der Sicherheitsanalytik, Netzwerküberwachung, Intrusion Detection und Forensik können erheblich optimiert werden, indem KI in den Mix einbezogen wird. Wenn die Arbeitsbelastung der Analysten um das 36-Fache reduziert wird – was durchaus realistisch ist, gewinnen sie wichtige Zeit für eine wertvollere, eher handwerkliche Sicherheitsarbeit, statt wie am Fließband endlose Warnmeldungen abzuarbeiten.

Neben Produktivitätssteigerungen kann die KI auch dazu beitragen, die Zahl der verfügbaren Cybersicherheitsexperten zu erhöhen. KI senkt die technischen Qualifikationsbarrieren für den Berufseinstieg und ermöglicht es auch weniger qualifizierten Anwärtern, an vorderster Front im Kampf um die Cybersicherheit effektiv zu sein. So setzen Unternehmen bereits KI-Plattformen ein, um Nachwuchskräfte an vorderster Front der Cybersicherheitsoperationen zu unterstützen. In einigen Fällen werden hier auch studentische Praktikanten und Trainees beschäftigt. Das sind alles Mitarbeiter, die ohne eine fundierte Weiterbildung, berufliche Entwicklung und umfangreiche Erfahrung normalerweise nicht in der Lage wären, diese Aufgaben zu übernehmen. Hier gibt es schon Beispiele aus der Praxis. Dies ermöglicht es ihnen, sich schnell zu einem produktiven Mitglied des Cybersicherheitsteams zu entwickeln. Sie nutzen dabei KI, um ihre eigenen Fähigkeiten zu stärken.“

Weitere Informationen zum Thema:

Vectra
DACH-Region

(ISC)²
Cybersecurity Workforce Study, 2018

datensicherheit.de, 10.10.2018
Lücken bei der Cyber-Kompetenz überwinden

datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke

datensicherheit.de, 15.08.2017
(ISC)² meldet Rekord: 125.000 Mitglieder-Marke geknackt

datensicherheit.de, 20.02.2017
Weltweiter Fachkräftemangel gefährdet Cyber-Sicherheit

[datensicherheit.de, 09.07.2018] Der Branchenverband Bitkom meldet „gute Jobaussichten für Datenschutzexperten“ – auf dem Arbeitsmarkt seien sie derzeit gefragt wie selten. Das sei das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen. So gäben sechs von zehn Unternehmen (61 Prozent) in Deutschland an, dass die Rekrutierung von Datenschutzexperten sehr schwierig sei. Ähnlich viele Unternehmen (57 Prozent) sagten, dass der Markt für Personal im Bereich Datenschutz „nahezu leergefegt“ sei.

E-Privacy-Verordnung als nächste Herausforderung

„Die Umsetzung der Datenschutz-Grundverordnung hat den Bedarf an qualifiziertem Personal rapide ansteigen lassen“, berichtet Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Die neuen Vorschriften würden die Unternehmen noch monatelang beschäftigen und sorgten für langfristigen Mehraufwand.
„Mit der kommenden E-Privacy-Verordnung steht den Unternehmen die nächste regulatorische Datenschutzherausforderung noch bevor“, so Dehmel.

Investitionen in Aus- und Weiterbildung

Laut Bitkom bekämpfen viele Unternehmen den Fachkräftemangel, indem sie hohe Summen in die Aus- und Weiterbildung ihres Datenschutzpersonals investieren: Nahezu die Hälfte (44 Prozent) habe dies angegeben.
Mit den eigenen Mitarbeitern im Bereich Datenschutz seien hingegen fast alle Unternehmen zufrieden – neun von zehn (88 Prozent) stimmten der Aussage zu, dass ihre Mitarbeiter über die notwendigen Fähigkeiten und Kenntnisse verfügten, um stets konform mit geltendem Recht zu sein.
„Unternehmen stehen vor einer großen Herausforderung. Sie müssen die neuen Datenschutzregeln bestmöglich umsetzen, finden aber derzeit kaum geeignetes Personal oder qualifizierte Berater.“ Dies sei bedenklich, so Dehmel, denn bei Verstößen gegen geltendes Datenschutzrecht drohten hohe Bußgelder.

DSGVO seit dem 25. Mai 2018 vollumfänglich gültig

Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) vollumfänglich gültig. Sie sieht erweiterte Informationspflichten und strengere Vorgaben für die Einwilligung bei der Verarbeitung personenbezogener Daten vor. Entsprechend müssen Unternehmen ihre Datenschutzerklärungen und die Einwilligungserklärungen anpassen.
Darüber hinaus gibt es neue Meldepflichten bei Datenpannen und neue Portabilitätsvorschriften. Unter dem Stichwort „Privacy by Design“ muss der Datenschutz bei der Entwicklung neuer Produkte und Dienste berücksichtigt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 27.05.2018
Datenschutzregeln: Zwei Drittel der Unternehmen sehen sich behindert

[datensicherheit.de, 06.10.2016] Zielgerichtete Cyberangriffe werden teils unter falscher Flagge durchgeführt. Dabei kommen zunehmend diverse Täuschungstechniken wie gefälschte Zeitstempel, Sprachketten oder Malware zum Einsatz, mit denen die Zuschreibung einer Cyberattacke erschwert wird. Operationen können so unter dem Deckmantel nicht existierender Akteure durchgeführt werden. Diese Erkenntnisse gehen aus einer aktuellen Analyse von Kaspersky Lab [1] hervor.

Wachsende Komplexität und Unsicherheit bei der Zuordnung von Cyberbedrohungen

Wer tatsächlich hinter einer Cyberattacke steckt, ist eine Frage, die beantwortet werden will; auch wenn es schwer bis unmöglich ist, exakt zu bestimmen, wer die Täter sind. Um die wachsende Komplexität und die Unsicherheiten bei der Zuordnung heutiger Cyberbedrohungen zu demonstrieren, haben Experten von Kaspersky Lab untersucht, wie fortschrittliche Bedrohungsakteure Operationen unter falscher Flagge durchführen, um Opfer und Sicherheitsexperten zu täuschen.

„Die Zuordnung zielgerichteter Angriffe ist kompliziert, unzuverlässig und subjektiv. Bedrohungsakteure versuchen zunehmend, gängige Indikatoren zu manipulieren, um Spuren zu verwischen“, erklärt Brian Bartholomew, Sicherheitsforscher bei Kaspersky Lab. „Wir glauben daher, dass eine genaue Zuordnung oftmals nahezu unmöglich ist.“

Indikator Zeitstempel

Malware-Dateien enthalten Zeitstempel, die einen Hinweis auf das Erstellungsdatum liefern. Werden genug verwandte Malware-Samples gesammelt, können Rückschlüsse auf die Arbeitszeiten der Entwickler gezogen werden und damit auf die Zeitzone, in der sie arbeiten. Laut des Kaspersky Labs sind Zeitstempel allerdings sehr einfach zu fälschen, beispielsweise um eine falsche Spur zu legen.

Indikator Sprache

Malware-Dateien enthalten oft Zeichenketten und Debug-Pfade. Die dort verwendete Sprache beziehungsweise das Niveau der Sprache könnten Hinweise auf den Autor des Codes geben. Auch enthalten Debug-Pfade teils Nutzer- sowie interne Projekt- und Kampagnennamen. Bei Phishing-Dokumenten können zudem Metadaten entnommen werden, die Statusinformationen über den Computer des Autors enthalten.

Allerdings können Angreifer diese Hinweise leicht manipulieren und für Verwirrung sorgen. Ein Beispiel: die Malware des Bedrohungsakteurs ,Cloud Atlas‘ [2] enthielt falsche Sprachhinweise, arabische Zeichen bei der BlackBerry-Version, Hindi-Zeichen in der Android-Version sowie die Wörter ,JohnClerk‘ im Projektpfad der iOS-Version. Dennoch hatten viele eine Gruppe mit osteuropäischen Verbindungen im Verdacht. Der Bedrohungsakteur ,Wild Neutron‘ [3] nutzte sowohl rumänische als auch russische Sprachketten, um für Verwirrung zu sorgen.

Indikator Infrastruktur

Eine Command-and-Control-Server (C&C)-Infrastruktur kann teuer und schwer zu unterhalten sein. Die Folge: auch finanziell gut ausgestattete Akteure greifen gerne auf bestehende C&C-Systeme oder Phishing-Infrastrukturen zurück. Backend-Verbindungen können ebenfalls einen flüchtigen Blick auf die Angreifer geben, wenn diese bei den durchgeführten Operationen nicht adäquat anonymisiert werden. Allerdings können auch so falsche Fährten gelegt werden, geschehen bei ,Cloud Atlas‘ [2], wo zur Täuschung südkoreanische IP-Adressen verwendet wurden.

Indikator verwendete Tools

Angreifer setzen auf öffentliche, aber auch auf selbst entwickelte Tools wie Backdoors oder Exploits, die sie wie ihre Augäpfel hüten, Forschern jedoch Hinweise auf deren Ursprung geben könnten. Das machte sich der Bedrohungsakteur ,Turla‘ [4] zu Nutze, indem die im Opfersystem eingeschleuste Malware ein seltenes Exemplar einer chinesischen Malware installierte, die mit einem in Peking lokalisierten System kommunizierte. Während das Vorfalluntersuchungsteam der falschen Fährte nachging, deinstallierte sich die eigentliche Malware im Hintergrund und verwischte alle Spuren auf den Opfersystemen.

Indikator Opfer

Die von den Angreifern attackierten Zielobjekte werden für Interpretationen und Analysen verwendet. Die Liste der Opfer im Fall ,Wild Neutron‘ [3] war jedoch so heterogen, dass sie bei möglichen Zuordnungsversuchen nur für Verwirrung sorgte.

Darüber hinaus nutzen manche Bedrohungsakteure das öffentliche Verlangen nach einer Verbindung von Angreifern und ihren Opfer aus, indem sie unter dem Deckmantel einer – oft nicht existenten – Hacktivisten-Gruppierung operieren. So versuchte sich die ,Lazarus‘-Gruppe [5], als die Hacktivisten-Gruppe ,Guardians of Peace‘ zu tarnen, als sie im Jahr 2014 Sony Pictures Entertainment attackierte. Bei dem unter dem Namen ,Sofacy‘ bekannten Bedrohungsakteur wird von vielen eine ähnliche Taktik vermutet, weil er sich als unterschiedliche Hacktivisten-Gruppen in Szene setzte.

Auch gab es Fälle, bei denen Angreifer versuchten, einen anderen Bedrohungsakteur mit einer Attacke in Verbindung zu bringen. Dies geschah beim bisher nicht zugeordneten Akteur ,TigerMilk‘ [6], der seine verwendeten Backdoors mit demselben gestohlenen Zertifikat signierte, das auch bei Stuxnet verwendet wurde.

Weitere Informationen zum Thema:

SECURELIST.COM
Report „Wave your false flags!“

[1] https://securelist.com/analysis/publications/76273/wave-your-false-flags/

[2] https://de.securelist.com/blog/analysen/58714/cloud-atlas-apt-roter-oktober-ist-wieder-im-spiel/

[3] https://de.securelist.com/blog/analysen/68609/wild-neutron-wirtschaftsspionage-bedrohung-kehrt-mit-neuen-tricks-zurck/

[4] https://de.securelist.com/analysis/veroffentlichungen/59356/die-epic-turla-operation-aufklrung-einiger-mysterien-rund-um-snakeuroburos/

[5] https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed/

[6] Ein Bericht über TigerMilk steht Kunden der APT Threat Intelligence Services von Kaspersky Lab zur Verfügung.

[datensicherheit.de, 05.02.2015] Auch im Frühjahr 2015 sollen sich wieder hochkarätige Vortragende beim „Security Forum am FH OÖ Campus Hagenberg“ aktuellen Themen der IKT-Sicherheit widmen. Im Fokus der Veranstaltung, die am 22. und 23. April 2015 stattfindet, stehen neben Cyberwar und -attacken auch Aspekte des IT-Sicherheitsmanagements, rechtliche Herausforderungen und die Rolle des Menschen in der IT-Sicherheit. Ab sofort können sich Interessierte zur kostenpflichtigen Teilnahme online anmelden.

Beim „13. Security Forum“ in Hagenberg sind Experten aus Österreich und dem Ausland, unter anderem von der bekannten US-Militärakademie West Point, zu Gast. Sie werden zu aktuellen Management- und Technik-Aspekten der Sicherheit in der Informations- und Kommunikationstechnologie (IKT) referieren. Die Veranstaltung richtet sich in erster Linie an Sicherheitsverantwortliche, Sicherheitsforscher, IT-Leiter und IT-Administrator sowie Geschäftsführer von Klein- und Mittelunternehmen (KMU). Organisiert wird sie vom „Hagenberger Kreis zur Förderung der digitalen Sicherheit“, dem Studentenverein der FH-OÖ-Studiengänge „Sichere Informationssysteme“.

Den Auftakt bildet ein Vortrag mit Werner Preining von Interpool Security Ltd., der im Anschluss an die Eröffnungsrede zum Thema „Cybercrime“ referieren wird und dabei auch zum kritischen Denken und präventiven Agieren aufrufen will.
Als Keynote-Speaker am ersten Veranstaltungstag spricht Antonio Forzieri über Methoden zur Errichtung eines Verteidigungszentrums als Schwerpunkt von IT-Sicherheitsstrategien. Neben seiner Arbeit bei Symantec ist er auch Vortragender am „Politecnico de Milano“.
Am zweiten Veranstaltungstag wird Robert Clark vom Army Cyber Institute der United States Military Academy in West Point eine Keynote über „Cyberwars“ und deren Legalität halten. Dabei wird er vor allem auf Open-Source-Materialien eingehen und anhand von Beispielen den Ablauf einer Cyber-Offensive beschreiben.

Wie jedes Jahr gibt es zwei parallele Vortragsreihen, die wieder beide Veranstaltungstage umfassen.
Im Management-orientierten Teil werden die Faktoren Recht und Sicherheit der unter dem Stichwort „Bring your own device“ bekannten, zunehmend umfangreicheren Nutzung privater mobiler Geräte für dienstliche Zwecke gegenübergestellt. Weitere Themen sind das technische wie auch nicht-technische Einbrechen in Unternehmen, die Neuerungen im IT-Grundschutz sowie die rechtliche Versicherung gegen Cyber-Risiken. Im Mittelpunkt von weiteren Vorträgen stehen der Mensch als schwächstes Glied in der Abwehr und die nächste Stufe von Cyber Security, nämlich „Cyber Resilience“. Abgerundet wird dieser Track mit einem Beitrag zu „Social Engineering“, also der zwischenmenschlichen Beeinflussung, um an vertrauliche Daten zu gelangen.
In der zweiten, technischen, Vortragsreihe stehen z.B. die Auswirkungen des Computerwurms „Stuxnet“ und seine Folgen für die Industriesicherheit, sowie die Probleme, die Solid State Drives (kurz SSD) für die IT-Forensik darstellen, im Fokus. Dabei wird vor allem das Thema „Garbage Collection“ in Augenschein genommen. Weitere Themen sind IPMI-Sicherheit, das SSL-Dilemma, die Auswirkungen einer Schockwelle und die Sicherheit von kabellosen Heimautomationssystemen. Im Vortrag „Geeks are different“ wird zudem auf Probleme eingegangen, die entstehen können, wenn „Geeks“, also „Hacker“ bzw. „Nerds“, Security-Software für „Non-Geeks“ schreiben.

Foto: Hagenberger Kreis

„Security Forum“ am FH OÖ Campus Hagenberg mit hochkarätigen Beiträgen zur IKT-Sicherheit

Weitere Informationen zum Thema:

Security Forum 2015
22. – 23. April 2015

[datensicherheit.de, 10.11.2013] 39.000 offene Stellen für IT-Spezialisten gibt es derzeit in Deutschland. Häufig werden IT-Sicherheitsexperten gesucht. Für jede fünfte offene Stelle für Softwareentwickler in IT-Unternehmen werden einer BITKOM-Befragung zufolge ausdrücklich Kenntnisse im Bereich IT-Sicherheit erwartet. „Der Aus- und Weiterbildungsbedarf ist hoch, aber häufig fehlt es an geeigneten Angeboten“, sagt BITKOM-Sicherheitsexperte Marc Fliehe. „Klagen hilft nicht, die Branche muss selbst aktiv werden.“ Aus diesem Grund unterstützt der BITKOM das Projekt Open C3S, das Open Competence Center for Cybersecurity. Von 2014 an starten vier Ausbildungsprogramme, die alle berufsbegleitend ausgelegt sind und überwiegend online mit nur wenigen Präsenzphasen absolviert werden können. Hierzu gehören Zertifikatsmodule, die auf ein späteres Studium angerechnet werden können, ein Studium Initiale sowie ein Bachelorstudiengang „IT-Sicherheit“ und ein Masterstudiengang „IT-Governance, Risk and Compliance Management“. Dank einer Förderung durch das Bundesministerium für Bildung und Forschung fallen zunächst bis März 2015 dabei keine Studiengebühren an.

Das Studium Initiale soll beruflich Qualifizierten die Voraussetzungen zur Aufnahme eines Studiums in IT-Fächern ermöglichen. Auch Teilnehmer ohne klassische Hochschulzugangsberechtigung sollen im Anschluss zu einem entsprechend ausgerichteten Informatik-Studiengang an den Hochschulen zugelassen werden. Dies gilt etwa für den Bachelorstudiengang IT-Sicherheit an der Friedrich-Alexander-Universität Erlangen-Nürnberg. Der Bachelorstudiengang „IT-Sicherheit“ ist berufsbegleitend angelegt und soll neue Zielgruppen für ein Studium im Bereich Cyber Security gewinnen. Auch der Masterstudiengang „IT-Governance, Risk and Compliance Management“ an der Hochschule Albstadt-Sigmaringen kann neben Beruf und Familie absolviert werden. Er richtet sich an Fachleute, die bereits beruflich mit Themen wie IT-Strategie oder IT-Security zu tun hatten und einen ersten Studienabschluss mitbringen. Daneben wird es ein Zertifikatsprogramm geben, um Mitarbeitern in Unternehmen und Behörden die Möglichkeit zu geben, sich in für sie relevanten Themengebieten wie zum Beispiel Kryptologie, Computer-Strafrecht oder Forensik fortzubilden.

Inhaltlich getragen wird das Projekt durch neun Hochschulen, darunter die Technische Universität Darmstadt, die Ludwig-Maximilians-Universität München die Ruhr-Universität Bochum sowie die Freie Universität Berlin. Alle Informationen zu den Aus- und Weiterbildungsmöglichkeiten und zur Bewerbung gibt es im Internet unter https://www.open-c3s.de/bewerbung

[datensicherheit.de, 27.10.2011] Einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren treffen sich vom 8. bis 10. Februar 2012 auf der IT-Sicherheitskonferenz „IT-Defense“ in München, um über aktuelle IT-Sicherheitsthemen zu referieren:
Die „IT-Defense“ findet nun bereits zum zehnten Mal statt und ist eine der größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland. Das Programm der „IT-Defense“ ist bewusst als eine Mischung aus sehr technischen Vorträgen, strategischen Präsentationen und unterhaltsamen Referenten rund um das Thema IT-Sicherheit gestaltet. Gleichzeitig sollen hochwertige Abendveranstaltungen einen Austausch mit Referenten und anderen Teilnehmern garantieren.
Zum zehnjährigen Jubiläum sollen sich prominente IT-Security-Profis ein Stelldichein geben. So werde Bruce Schneier, als „Security-Guru“ weltweit anerkannt, wird eine Keynote halten. Ebenso Kevin Mitnick, der in seinem Vortrag über sein unglaubliches Leben als der weltweit meistgesuchte Hacker berichten werde. Weitere renommierte Referenten seien Adam Laurie (Security Researcher), Mikko Hypponen (Antiviren-Experte, der als einer der 50 wichtigsten Personen im Internet bezeichnet wird), Prof. Dr. Gunter Dueck (Autor satirisch-philosophischer Bücher über das Leben, die Menschen und Manager) sowie Prof. Dr. Thomas Hoeren (vielseitig engagierter und anerkannter Experte im IT-Recht).
Diese und weitere bekannte Researcher und IT-Sicherheitsprofis sollen an zwei Kongresstagen aktuelle Fragen der IT-Sicherheit diskutieren und Einblicke in Strategien und Sicherheitskonzepte geben. Am dritten Tag der Veranstaltung sind Gesprächsrunden (Round Tables) geplant – dort hätten die Teilnehmer die Möglichkeit, ausführlich mit den Referenten ins Gespräch zu kommen und Einzelthemen zu vertiefen. Herausragende Themen seien für 2011 „Hardware Hacking“, „Data-Mining-Methoden“ und „Aktuelle Bedrohungen und Risiken und warum Cyberstrategien nicht funktionieren!“.
Die „IT-Defense 2012“ findet vom 8. bis 10. Februar 2012 im Hotel „Leonardo Royal“ im Herzen von München statt. Die Teilnehmerzahl ist auf 200 Personen begrenzt.

Weitere Informationen zum Thema:

IT-DEFENSE 2012
8. – 10. Februar 2012 / PROGRAMM

[datensicherheit.de, 28.07.2011] In Deutschland fehlten derzeit Fachleute für IT-Sicherheit – der Mangel werde voraussichtlich in den kommenden Jahren deutlich größer werden, so das Fazit einer aktuelle Umfrage des BITKOM unter IT-Sicherheitsexperten:
Erfahrene Spezialisten für IT-Sicherheit seien schon heute schwer zu finden, das erschwere den Kampf von Unternehmen und Behörden gegen die wachsende Zahl der Cyber-Angriffe und bedrohe mittelfristig den weltweit guten Ruf von „IT-Security made in Germany“, so BITKOM-Präsident Prof. Dieter Kempf. Der aktuelle Mangel an Sicherheitsexperten wirke sich schon heute aus – in vielen Unternehmen werde deshalb notwendigen Sicherheitsmaßnahmen nicht die gebührende Aufmerksamkeit entgegengebracht. So besitze nur jedes dritte mittelständische Unternehmen derzeit ein Sicherheitskonzept.
Die Nachfrage betreffe alle Wirtschaftsbereiche. Besonders ausgeprägt sei der Bedarf indes bei den Anbietern von IT-Sicherheitsprodukten und -dienstleistungen. Jedes zweite Unternehmen aus diesem Bereich gehe von Zuwächsen von mehr als zehn Prozent bei ihren Beschäftigten aus. Bei Anwendern aus der Wirtschaft und Behörden solle jede vierte Sicherheitsabteilung in ähnlichem Maße personell verstärkt werden. Angesichts der wenigen vorhandenen Qualifizierungsangebote werde es schwer, geeignetes Fachpersonal zu rekrutieren Wir brauchten nicht nur Experten für die technische Sicherheit, sagt Prof. Kempf, sondern auch Fachleute für die Organisation von Sicherheit in den Anwenderunternehmen, also Sicherheitsmanager. So fordert er, dass IT-Sicherheit und das Management von IT-Risiken in der technischen und betriebswirtschaftlichen Ausbildung an Hochschulen stärker berücksichtigt werden sollten. In einer Umfrage Ende 2008 unter Studenten der Informatik und benachbarter Studiengänge habe jeder Vierte gesagt, dass es zur IT-Sicherheit an seiner Hochschule gar keine Lehrangebote gebe.
Der BITKOM hat für die aktuelle Studie die Antworten von 63 führenden IT-Sicherheitsexperten ausgewertet; rund die Hälfte davon aus der ITK-Branche, je ein Viertel von Behörden sowie aus Anwenderbranchen wie Banken. Die Befragung fand im Juni 2011 statt.

[datensicherheit.de, 02.02.2011] Das Thema „Cloud Security“ wird in deutschen Unternehmen immer wichtiger – das zeige eine branchenübergreifende Experten-Befragung des Verbandes der deutschen Internetwirtschaft (eco):
Demnach hielten 58 Prozent der Befragten „Sicherheit in der Cloud“ für ein wichtiges oder sehr wichtiges Sicherheitsthema dieses Jahres – elf Prozent mehr als im Vorjahr. „Cloud Security“ sei damit das am stärksten wachsende Thema im Bereich der Internet-Sicherheit.
„Cloud Services“ seien in deutschen Unternehmen angekommen, entsprechend rücke auch die Sicherheitsfrage in den Vordergrund, so Dr. Kurt Brand, Leiter des Arbeitskreises Sicherheit bei eco und Geschäftsführer der Pallas GmbH. Desto wichtiger seien jetzt Angebote wie das „SaaS-Gütesiegel“ von „EuroCloud“, die den Markt transparenter machten und Vertrauen in die „Cloud“-Technologie schafften.
An erster Stelle bei den technischen Sicherheitsthemen stehe wie im Vorjahr Schadsoftware im Web, was 76 Prozent für ein wichtiges oder sehr wichtiges Sicherheitsthema für 2011 hielten. „Smartphone Security“ stehe mit 61 Prozent an zweiter Stelle und habe im Vergleich zu 2010 um fünf Prozent zugelegt. Top-Thema bei den organisatorischen Sicherheitsfragen sei nach wie vor der Datenschutz, den 92 Prozent der Experten für wichtig oder sehr wichtig hielten, gefolgt von Mitarbeiter-Sensibilisierung (88 Prozent) und Konzeption/Compliance (81 Prozent). Bei den eher organisatorischen Sicherheitsthemen habe die Befragung keine signifikanten Unterschiede zum Vorjahr ergeben, demgegenüber habe sich die Bewertung der technischen Themen teilweise stark verändert.
Insgesamt sehen 35 Prozent die Bedrohungslage im Internet als stark wachsend an (gegenüber 22 Prozent im Jahr 2010), während die Sicherheitsausgaben unverändert blieben und Sicherheitsthemen etwas stärker als 2010 ausgelagert würden.

Weitere Informationen zum Thema:

eco, Januar 2011
Internet-Sicherheit 2011: Eine Umfrage des eco Arbeitskreises Sicherheit