[datensicherheit.de, 20.08.2025] „Vor wenigen Tagen hat das Better Business Bureau (BBB) eine Warnung vor einer neuen Betrugswelle ausgesprochen“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Demnach erhalten seit geraumer Zeit immer mehr sogenannte Influencer und hochkarätige Mitarbeiter von Unternehmen Fake-Einladungen zu einem Auftritt als Gast in einem populären Podcast. „Tatsächlich handelt es sich aber um eine abgewandelte Form des ,Tech Support’-Betrugs!“, warnt Krämer. Die Angreifer versuchten, sich Zugriff auf die „Social Media“-Accounts und Desktops ihrer Opfer zu verschaffen, um dann deren Konten zu infiltrieren, zu blockieren und Daten zu entwenden.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Betrüger locken u.a. „Influencer“ damit an, dass man sogar für den zeitlichen Aufwand eine finanzielle Entschädigung gewähren könnte

Köder für Opfer: Angeblich auch einige bekannte Prominente oder „Influencer“ in der Sendung zu Gast

Krämer berichtet: „Zu Beginn des Angriffs erhalten die Opfer eine E-Mail – angeblich vom Management-Team einer beliebten Podcast-Reihe. Sie werden eingeladen, als Gast in einer Sendung aufzutreten. Häufig werden sie damit gelockt, dass auch einige bekannte Prominente oder ,Influencer’ in der Sendung zu Gast sein würden.“

• Das Opfer, seine Geschichte, seine Erfahrungen und seine Erkenntnisse würden thematisch perfekt in die angepeilte Episode passen. Das Publikum würde sich sehr für ihre Perspektive interessieren. Man sei sogar bereit und in der Lage, sie, als teilnehmende Gäste, für den zeitlichen Aufwand finanziell zu entschädigen.

Sobald ein Opfer seine Teilnahme zusagt, werde es gebeten – im Vorfeld des Podcasts – an einem virtuellen oder telefonischen Meeting teilzunehmen. „Denn vor der Sendung, so das Fake-Management-Team, müssten die technischen Geräte des Gastes – Mikrofon, Kopfhörer und Kamera – ausgiebig auf ,Herz und Nieren’ geprüft werden.“

Nicht nur „Influencer“ im Visier – sondern eben auch und gerade Fach- und Führungskräfte von Unternehmen

Während solcher Tests täuschten die Angreifer dann technische Probleme vor oder erklärten, komplexere Änderungen an den Einstellungen vornehmen zu müssen. „Hierzu müsste das Opfer ihnen vorübergehend Zugriff auf sein ,Social Media’-Konto oder den Desktop gewähren – zum Beispiel über eine Fernzugriffssoftware.“

• Erteilen ihnen die Opfer die Zugriffsrechte, könnten die Kriminellen ihre Systeme infiltrieren, die Opfer aus ihren Konten aussperren, Passwörter stehlen und sogar versuchen, weitere Konten zu übernehmen.

Problematisch sei an dieser Betrugsmasche vor allem, dass es die Täter längst nicht nur auf „Influencer“ abgesehen hätten, sondern eben auch und gerade auf Fach- und Führungskräfte von Unternehmen. Deren Mitarbeiter-Accounts bildeten eine ideale Ausgangsbasis, um – unbemerkt von der IT-Sicherheit der Unternehmen – tief in deren Systeme vorzustoßen. Dies sei im Prinzip der klassische Tech-Support-Betrug.

Das BBB rät zu folgenden präventiven Maßnahmen:

• Bei Einladungen per E-Mail mit seltsamer Formatierung und Sprache Vorsicht walten lassen!
• Stets die E-Mail-Adresse der Organisation, die eine Einladung verschickt hat, auf ihre Richtigkeit prüfen!
• Vorsichtig sein, wenn eine unbekannte Person oder Organisation Geld anbietet!
• Niemals einem Fremden die Kontrolle über Computer oder Konten übertragen!

Viele Cyberkriminelle haben Social-Engineering-Künste über die Jahre perfektioniert

„Doch Vorsicht will gelernt sein. Viele Cyberkriminelle haben ihre Social-Engineering-Künste über die Jahre perfektioniert“, so Krämer. Um hierbei effektiv gegenzusteuern, müssten die Cybersicherheitsverantwortlichen von Unternehmen der gesamten Belegschaft Schulungen und Trainings zur Anhebung des -bewusstseins anbieten.

• Diese sollten mit den aktuellen Entwicklungen in den Bereichen „Social Engineering“ und Phishing Schritt halten. Effektiv helfen könne hierbei ein modernes „Human Risk Management“ (HRM).

HRM-Anti-Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI) mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. „Moderne Anti-Phishing-E-Mail-Technologien kombinieren KI mit ,Crowdsourcing’, um neueste ,Zero Day’-Bedrohungen aufzuspüren und zu neutralisieren.“ Es gelte, über die gesamte Belegschaft hinweg „Human Risks“ eines Unternehmens zurückzudrängen und die eigenen Mitarbeiter zur besten Verteidigungslinie im Kampf gegen Cyberbedrohungen zu machen.

Weitere Informationen zum Thema:

BBB Better Business Bureau
BBB Business Scam Alert: Podcast impostors target influencers and businesses

knowbe4
What is KnowBe4?

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

knowbe4, Security Awareness Training Blog, Roger Grimes, 20.11.2024
Beware of Fake Tech Support Scams

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 10.08.2025
Social Engineering laut Unit 42 Haupteinfallstor 2025 / In mehr als einem Drittel der über 700 analysierten Fälle weltweit nutzten Angreifer „Social Engineering“ als Einstieg – also den gezielten Versuch, Opfer durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 19.12.2023
Gefährliche Post: Schutz vor Phishing-Attacken über Social Media / Es sollten technische Maßnahmen ergriffen und Aufklärungsarbeit betrieben werden

[datensicherheit.de, 20.03.2025] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) widmet sich angesichts aktueller geopolitischer Spannungen und wachsender Cyber-Bedrohungen der Frage, wie die Europäische Union (EU) ihre Digitale Souveränität stärken kann, welche Abhängigkeiten von außereuropäischen Anbietern bestehen und welche Investitionen für eine resiliente IT-Sicherheitsstrategie erforderlich sind. So sollen im neuen TeleTrusT-Pod­cast „IT Security made in EU“ (s.u.) unter anderem die Kapazitäten der EU bezüglich IT-Sicherheit näher beleuchtet werden.

Erörterung u.a., warum die EU noch keine Souveränität in der IT-Sicherheit erreicht hat

In diesem neuen TeleTrusT-Podcast „IT Security made in EU“ behandeln Moderator Carsten Vossel (CCVOSSEL) und Interview-Gast Thorsten Urbanski (ESET) u.a. diese Inhalte:

• Welche aktuellen Veränderungen haben Auswirkungen auf die IT-Sicherheit im EU-Raum?
• Hat die EU die Ressourcen, um bei IT-Sicherheit Souveränität zu erlangen?
• Weshalb hat Europa bisher noch keine Souveränität in der IT-Sicherheit erreicht?
• Wie abhängig ist die EU von außereuropäischen Anbietern?
• Welche Aussagekraft hat das Vertrauenszeichen „IT Security made in EU“ und für wen?
• Wieviel investieren Unternehmen in der EU in IT-Sicherheit pro Kopf und allgemein?

IT-Sicherheit sollte bei allen EU-Mitgliedstaaten ganz oben auf der Agenda stehen

Thorsten Urbanski, „Director of Marketing ESET DACH“ und Leiter der TeleTrusT-Arbeitsgruppe „IT Security made in EU“, führt hierzu aus: „IT-Sicherheit muss bei allen EU-Mitgliedstaaten ganz oben auf der Agenda stehen! Eine umfassende europäische Cyber-Sicherheitsstrategie ist zwingend erforderlich, wenn wir die Digitale Souveränität in Europa schützen wollen.“ Unternehmen und staatliche Institutionen müssten wissen, auf welche Hersteller sie zukünftig technologisch und geopolitisch setzen können.

Keine Kompromisse eingehen und bewusst auf „IT Security made in EU“ setzen

Wenn man die vergangenen Jahre genau analysiere, so müsse man resümieren, „dass die vielfach proklamierte Zeitenwende bereits weit vor dem Ukraine-Krieg in der IT-Sicherheit begonnen hat“. Von daher sollten die politischen und ökonomischen Verantwortlichen keine Kompromisse mehr eingehen und bewusst auf „IT Security made in EU“ setzen. „Im Vergleich zu anderen Technologiebereichen sind wir hier hervorragend aufgestellt“, kommentiert Urbanski.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
TeleTrusT-Podcast

datensicherheit.de, 03.03.2025
Neue Bitkom-Publikationsreihe: Studienbericht zur Digitalen Souveränität erschienen / 90 Prozent der Unternehmen mit Bezug digitaler Technologien oder Leistungen aus dem Ausland können darauf nicht verzichten

datensicherheit.de, 29.11.2024
Datensouveränität: Bedeutung der Self Sovereign Identities / Annahme der novellierte eIDAS-Verordnung durch das EU-Parlament

datensicherheit.de, 03.01.2022
Stärkung der Digitalen Souveränität Europas: Eine Reihe von Initiativen der Europäischen Kommission / Online-Diskussion der Europäischen Akademie für Informationsfreiheit und Datenschutz zum Europäischen Datenschutztag

datensicherheit.de, 16.06.2021
TeleTrusT veröffentlicht Handreichung: Secure Platforms für Digitale Souveränität / Technische Empfehlungen des TeleTrusT-Arbeitskreises „Secure Platform“ für das europäische IT-Ökosystem

[datensicherheit.de, 19.04.2024] Die NIS-2-Richtlinie bringt offensichtlich auch neue Anforderungen an die Lieferkette mit sich – laut ESET ein schwieriges Thema, denn schließlich sei der Begriff „Lieferkette“ nicht in dieser Richtlinie definiert. „Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen?“ Dieser und weiteren Fragen widmet sich Christian Lueg in der aktuellen Episode von „WeTalkSecurity“ mit dem IT-Rechtsanwalt Stefan Sander – Sander ist demnach Fachanwalt für Informationstechnologierecht und gilt aufgrund seiner Doppelqualifikation (abgeschlossenes IT-Studium und Fachanwalt für IT-Recht) deutschlandweit als „gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz“.

Abbildung: ESET

ESET-Podcast „WETALKSECURITY“, Episode 21 vom 18.04.2024

Englischer Begriff der Supply Chain von der Bedeutung umfangreicher als das deutsche Wort Lieferkette

Im Podcast wird erläutert, dass der englische Begriff „Supply Chain“ sich als Teilbereich der Logistik über den Fluss von Waren oder Dienstleistungen – vom Rohmaterial-Lieferanten bis zum Endverbraucher – erstreckt, mithin alle Prozesse, Aktivitäten, Ressourcen und Organisationen umfasst, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen. Im Unterschied zum klassischen deutschen Begriff „Lieferkette“ ist „Supply Chain“ also weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS-2-Richtlinie verknüpft nun ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette – was überraschen könnte. Unternehmen, insbesondere „Managed Service Provider“ (MSPs), welche IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich dieser Richtlinie. „Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.“

Betroffenheit von Unternehmen basiert nicht nur auf deren Rolle in der Lieferkette

Im Wesentlichen gebe es zwei Hauptvoraussetzungen zu beachten: Erstens müsse eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant sei, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt – solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähne der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als „besonders kritisch“: Damit würden MSPs in diesem Sektor reguliert, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert seien. „Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.“

Spannend werde es vor allem für den deutschen Mittelstand: „Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme.“ Unternehmen überschritten den Schwellenwert, „wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten“. Die Mitarbeiteranzahl sei ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet würden. Das Ziel sei es, eine faire Behandlung zu gewährleisten. Die EU habe dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren könnten (s.u.).

Betroffene Unternehmen unter den Vorgaben von NIS-2 müssen geeignete Maßnahmen treffen, um die Lieferkette zu schützen

Um kleine Unternehmen (d.h. mit weniger als 50 Mitarbeitern) zu fördern, fielen diese nicht unter die NIS-2-Richtlinie – „außer sie gehören zu einem Konzern oder einer Konzerngruppe“ (die Gesamtzahl der Mitarbeiter addiere sich hier aus allen Mitarbeitern aller Unternehmen der Gruppe). „Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5.000, zählen diese 5.000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS-2 (bei einem Beteiligungsverhältnis von über 50 Prozent).“ Komplizierter werde es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote würden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

„Nicht jedes Unternehmen, das als Zulieferer für ein großes fungiert, fällt automatisch unter NIS-2.“ Es könne aber vorkommen, dass größere Unternehmen von ihren Zulieferern erwarteten der Richtlinie zu entsprechen. „Wenn das eigene Unternehmen unter die Vorgaben von NIS-2 fällt, muss es automatisch geeignete Maßnahmen treffen, um die Lieferkette zu schützen.“ Im Umkehrschluss müssten sich Unternehmen auch vor Gefahren schützen, welche aus anderen Teilen der Lieferkette kommen könnten. Dies treffe insbesondere auf die IT-Sicherheit zu. Der Gedanke dahinter sei: „Die Volkswirtschaft und Arbeitsplätze vor Gefahren zu schützen, die aus der Störung der Lieferkette entstehen.“

Maßnahmen zur Sicherung der Lieferkette zu ergreifen bedeutet, sowohl eigene Systeme als auch die der Lieferanten zu schützen

„Wer keine Angst vor Gesetzestexten hat, kann in die Artikel 20, 21 und 23 der Richtlinie schauen.“ Artikel 21 beschreibe die Technischen und Organisatorischen Maßnahmen (TOM) in puncto Risikomanagement, „die mit der Richtlinie auf Unternehmen zukommen werden“. Im Kern gehe es darum, die größtmögliche Qualität vorzuweisen. Weitere Informationen dazu gebe es im ESET-Whitepaper zum Stand der Technik und zu NIS-2 (s.u.). Selbst regulierte Unternehmen seien gemäß Artikel 21 Absatz 2 verpflichtet, Maßnahmen zur Sicherung ihrer Lieferkette zu ergreifen. „Dies bedeutet, dass sie sowohl ihre eigenen Systeme als auch die ihrer Lieferanten schützen müssen.“

Aus Sanders Sicht reichen die Maßnahmen aus – „eine NIS-3-Richtlinie müssen Unternehmen in Europa erst einmal nicht befürchten“. Abschließend rät er dringend, sich rechtzeitig um die Umsetzung von NIS-2 kümmern – „nicht nur, um auf der sicheren Seite zu sein, sondern auch, weil eine starke IT-Sicherheit dem eigenen Unternehmen zugutekommt“.

Link zum Podcast und weitere Informationen zum Thema:

WETALKSECURITY, 18.04.2024
Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette / Herausforderungen und Möglichkeiten für Unternehmen

eSET, März 2024
WHITEPAPER: IT-Security auf dem Stand der Technik 2. Auflage / Wie sind Unternehmen, CISOs, Vorstände und Geschäftsführer in Zukunft sicher aufgestellt?

WETALKSECURITY, 14.06.2023
Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis

EUROPÄISCHE KOMMISSION
Benutzerleitfaden zur Definition von KMU

datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

[datensicherheit.de, 17.04.2024] Laut einer aktuellen Meldung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) sind Sicherheitsverletzungen in OT-/IT-Netzwerken oft „das Resultat von nicht erkannten Sicherheitslücken“. Im neuen TeleTrusT-Podcast „OT-/IT-Sicherheitsvorfälle und Schutzmaßnahmen“ wird soll anhand von praktischen Beispielen dargelegt werden, „welche Sicherheitsrisiken am häufigsten übersehen werden und wie diese reduziert werden können“.

TeleTrusT-Podcast zu OT-/IT-Sicherheitsvorfällen und Schutzmaßnahmen erörtert diverse Fragen

Im derzeit neuesten TeleTrusT-Podcast „OT-/IT-Sicherheitsvorfälle und Schutzmaßnahmen“ behandeln Moderator Carsten Vossel (CCVOSSEL) und die Interviewgäste Christoph Przygoda (TG alpha GmbH) und Klaus Mochalski (Rhebo GmbH) demnach u.a. folgende Fragen:

• Wie wirken sich die verschiedenen Sicherheitsvorfälle auf die OT-/IT-Community aus bzw. wie werden diese untereinander gehandhabt?
• Wie werden Unternehmen auf Sicherheitslücken geprüft?
• Wie wird ein Pentest definiert?
• Welche Vorbehalte gibt es gegenüber Pentests und warum?
• Was sind die am häufigsten festgestellten Schwachstellen?
• Welche sind die effektivsten Sicherheitsmaßnahmen für Unternehmen, um OT-/IT-Sicherheitsrisiken zu vermeiden?

Christoph Przygoda rät im TeleTrusT-Podcast den Unternehmen zu gestaffeltem CyberSecurity-Programm

Christoph Przygoda, „Cyber Security Consultant“ bei TG alpha, führt aus: „CyberSecurity ist kein Sprint, sondern mehr als eine Staffel zu sehen. Jedes Unternehmen sollte sich ein Programm aufbauen, wie das Thema ,Security’ in Anlagen und Maschinen angegangen wird.“

Der erste Schritt sei oft der schwierigste und doch gebe es bewährte Phasenmodelle, welche hierbei unterstützen könnten: Analyse, Konzept, Umsetzung. „Wenn der Weg beschrieben ist, fällt auch der erste Schritt der Umsetzung leichter und das Unternehmen und ihre Produkte werden ,smart, safe and secure’“, so Przygoda.

Klaus Mochalski votiert im TeleTrusT-Podcast zur Zusammenarbeit

Klaus Mochalski, „Strategic Advisor & Founder“ von Rhebo, ergänzt: „,OT Security’ birgt viele neue, fachübergreifende Herausforderungen. Ohne gute Zusammenarbeit zwischen allen Beteiligten, insbesondere aus der IT-Abteilung, dem Anlagenbetrieb und dem Management, ist eine signifikante und nachhaltige Verbesserung der Cyber-Sicherheit in Industrieanlagen nicht zu erreichen.“

Mochalski unterstreicht abschließend, dass hierbei das Risiko von Cyber-Angriffen wie jedes andere unternehmerische Risiko bewertet und entsprechend gemanagt werden müsse.

Weitere Informationen zum Thema (Lonk zum TeleTrusT-Podcast):

TeleTrusT auf SOUNDCLOUD
OT-/IT-Sicherheitsvorfälle und Schutzmaßnahmen

[datensicherheit.de, 21.07.2021] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) lädt zum Anhören seines neuen Podcasts zur „Self-Sovereign Identity“ ein und erläutert hierzu: „,Self-Sovereign Identity‘ (SSI) ermöglicht Personen, Organisationen oder Geräten, eine eigenkontrollierte Digitale Identität, ohne dass es einer zwischengeschalteten Vermittlungsentität bedarf.“ Diese verschaffe Kontrolle darüber, „inwieweit personenbezogene Daten geteilt und verwendet werden“. In dem aktuellen TeleTrusT-Podcast zu diesem Thema erläutert der TeleTrusT-Vorsitzende, Prof. Dr. Norbert Pohlmann, demnach die Funktionsweise, Einsatzmöglichkeiten und Chancen, die sich aus dieser Technologie ergeben.

SSI für den TeleTrusT auch ein Beitrag zur technologischen Souveränität

„Self-Sovereign Identity“ stehe in engem Zusammenhang mit den Themen Blockchain, Plattformökonomie, eIDAS und DSGVO. Für Europa biete sich die Chance, die Abhängigkeit von nichteuropäischen Plattformanbietern zu reduzieren. „Insofern ist SSI auch ein Beitrag zu technologischer Souveränität.“

TeleTrusT-Podcast zur Self-Sovereign Identity auf SOUNDCLOUD online

TeleTrusT-Podcasts seien als Interviews angelegt: „Fachleute aus Wirtschaft, Forschung, Beratung, Politik und Verwaltung werden eingeladen, um zu einem bestimmten Thema befragt zu werden.“

TeleTrusT-Podcast „Self-Sovereign Identity“
Gesprächspartner: Prof. Norbert Pohlmann, TeleTrusT-Vorsitzender
Interviewerin: Franziska J. Bock, TeleTrusT

In diesem jetzt veröffentlichten TeleTrusT-Podcast werden laut TeleTrusT u.a. folgende Fragen behandelt:

• Wer sind die Akteure im SSI-Ökosystem?
• Welche praktischen Anwendungen bietet SSI?
• Welchen Beitrag kann SSI zur angestrebten technologisch-digitalen Souveränität der EU leisten?
• Warum kann SSI helfen, die Privatsphäre gegenüber zentralen eID-Providern zu stärken?
• Was leistet SSI als Digitalisierungsbeschleuniger?
• Wie wirkt SSI einer Monopolisierung des eID-Managements entgegen?
• Inwieweit ist SSI ein Beitrag zu größerer Vertrauenswürdigkeit von Online-Dienstleistungen?
• Wo steht Deutschland mit dieser Anwendung?
• Welche Ziele verfolgt die EU mit SSI?

TeleTrusT betont Rolle des europäischen SSI-Ökosystems

Pohlmann erläutert: „Ich freue mich sehr, dass wir jetzt den ersten TeleTrusT-Podcast veröffentlichen.“ „Self-Sovereign Identity“ (SSI) sei ein wichtiges und zukunftsorientiertes Thema, mit dem wir uns alle intensiv beschäftigen müssten, um frühzeitig ein Teil des „europäischen SSI-Ökosystems“ zu werden.

Weitere Informationen zum Thema:

datensicherheit.de, 16.06.2021
TeleTrusT veröffentlicht Handreichung: Secure Platforms für Digitale Souveränität

TeleTrusT auf SOUNDCLOUD
Self-Sovereign Identity

[datensicherheit.de, 17.12.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) berichtet in seiner aktuellen Mitteilung über einen neuen Medien-Mix zur Information der Bürger: Mit einem Kurzcomic, Podcast-Folgen und Videos wird demnach das Informationsangebot ausgebaut.

Abbildung: LfDI RLP

LfDI-Kurzcomic: „ARTICLE-15-MAN UND DIE RECHTE DER PATIENTEN“

LfDI möchte Bürger für ihre Rechte sensibilisieren

Der LfDI RLP, Prof. Dieter Kugelmann, erläutert: „Da im Zeitalter der Digitalisierung und neuer technologischer Entwicklungen immer größere Datenberge aufgetürmt werden, wird auch das Recht auf Informationelle Selbstbestimmung immer wichtiger. Als Datenschutzbehörde wollen wir Bürgerinnen und Bürger, egal welchen Alters, für ihre Rechte sensibilisieren und nutzen dafür neue Formen der Vermittlung.“

LfDI-Mitarbeiter haben für ihren Adventskalender Kurzcomic entworfen

Aus diesem Grund hätten Mitarbeiter dieses Jahr für ihren Adventskalender 2020 ein Kurzcomic entworfen – wahrscheinlich das erste einer deutschen Datenschutzbehörde. Es gehe darin um den Datenschutz im Gesundheitsbereich und das Recht eines jeden Patienten auf Auskunft. Szenisch werde verdeutlicht, dass Patienten im Rahmen ihrer Behandlung ein gesetzliches Recht auf eine Kopie ihrer Akte (ihrer „Behandlungsdokumentation“) hätten.

LfDI möchte auch in Zukunft öfters ungewohnte Wege beschreiten, Bürger zu informieren

Dieses Recht leite sich aus dem Auskunftsanspruch nach Artikel 15 Datenschutz-Grundverordnung (DSGVO) ab. Die Kopie sei innerhalb eines Monats nach Antrag kostenlos und bei Bedarf vollständig zur Verfügung zu stellen. Das Comic zeigt laut Professor Kugelmann: „Datenschutz und Comic passen zusammen. Meine Kolleginnen und Kollegen und ich werden auch in Zukunft öfters ungewohnte Wege beschreiten, um Datenschutz bekannter zu machen. Auch 2021 setzen wir auf Medienformate wie Comics, Podcast-Folgen und Videos.“

Weitere Informationen zum Thema:

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Kurzcomic: „ARTICLE-15-MAN UND DIE RECHTE DER PATIENTEN“

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Datenfunk: Der Podcast des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

[datensicherheit.de, 03.08.2020] In der aktuellen Podcast-Episode vom TÜV SÜD wirft der US-amerikanische Experte Matthew Rosenquist einen Blick auf das „New Normal“ in der Cybersecurity – insbesondere bei kleinen und mittleren Unternehmen (KMU). Diese seien noch allzu oft ein leichtes Ziel für Angreifer. Mit ein paar grundlegenden Maßnahmen könnten sich diese aber effektiver schützen, auch ohne dabei teure IT-Lösungen einzusetzen.

Abbildung: TÜV SÜD

Podcast „Folge #20 (Englisch): What’s next in Cybersecurity – and how SMEs can protect themselves“

Irrtum: KMU gehen davon aus, kein attraktives Ziel für Angreifer zu sein

Cyber-Sicherheit sei ein Thema, welches viele KMU oft leider immer noch verdrängten. Sie gingen davon aus, kein attraktives Ziel für Angreifer zu sein, oder glaubten, dass wirksame Schutzmaßnahmen zu komplex oder zu teuer für ihr Unternehmen seien.
„Aber wenn sensible Daten erst einmal in die Hände erpresserischer Cyber-Krimineller gefallen sind, dann ist es definitiv zu spät für Schutzmaßnahmen.“ Denn tatsächlich seien viele KMU gerade deshalb ein attraktives Ziel für Cyber-Kriminelle, „weil sie leicht angreifbar sind“.

Anregungen, wie sich KMU besser schützen können

Im aktuellen TÜV-SÜD-Podcast „Safety First“ wird den Fragen nachgegangen, was die Trends in der Cybersecurity sind und wie sich KMU besser schützen können.
„In dieser Episode spricht der international anerkannte Cyber-Sicherheitsexperte Matthew Rosenquist über das ,New Normal‘ in der Cyber-Ssicherheit nach ,Covid-19‘, über aktuelle Markttrends und darüber, wie KMU ihre Cyber-Sicherheit mit grundlegenden Schritten deutlich verbessern können.“

KMU helfen, Bedrohungen, Kosten und Benutzerfreundlichkeits-Faktoren auszubalancieren

Rosenquist ist laut TÜV SÜD „Chief Information Security Officer“ (CISO) bei Eclipz; er habe lange Jahre bei Intel Corp. gearbeitet, zuletzt als Cyber-Sicherheitsstratege, und verfüge über eine dreißigjährige Erfahrung in der Cyber- und IT-Sicherheit.
„Er etablierte und leitete Intels erstes globales ,24×7 Security Operations Center‘ und war Intels erster ,Incident Commander‘ für weltweite IT-Notfallreaktionen.“ Als Cyber-Sicherheitsstratege habe er aufkommende Risiken und Möglichkeiten identifiziert, um Unternehmen dabei zu helfen, Bedrohungen, Kosten und Benutzerfreundlichkeits-Faktoren auszubalancieren und so ein optimales Sicherheitsniveau zu erreichen.

Egal, ob privat, als Angestellter oder KMU: Risiken der Digitalisierung kennen!

Im Podcast „Safety First“ von TÜV SÜD geht es demnach um „Cybersecurity, Datenschutz und mehr“. Er erscheine zweimal im Monat mit einer neuen Episode.
Ob als Privatmensch, im Job oder als selbständiger Unternehmer: „Jeder, der die Chancen der Digitalisierung bestmöglich für sich nutzen möchte, sollte auch ihre Risiken kennen und mit ihnen umgehen können.“

Weitere Informationen zum Thema:

TÜV SÜD
Herzlich willkommen zu Safety First, dem Podcast zu Cybersecurity, Datenschutz und mehr von TÜV SÜD!

[datensicherheit.de, 01.07.2020] In der aktuellen – englischsprachigen – Podcast-Episode von „Safety First“ erläutert der Cybersecurity-Experte Mirko Ross, woran es dem sogenannten Internet of Things, dem IoT, beim Thema Sicherheit fehlt und wie dies verbessert werden könnte. Denn die Gefahren für die immer zahlreicher werdenden IoT-Geräte seien zwar unsichtbar aber trotzdem sehr real, so der TÜV SÜD. Der Podcast „Safety First“ von TÜV SÜD widmet sich der „Cybersecurity“, dem Datenschutz und „mehr“ – zweimal im Monat. Egal, ob als Privatperson, im Beruf bzw. als selbständiger Unternehmer: „Jeder, der die Chancen der Digitalisierung bestmöglich für sich nutzen möchte, sollte auch ihre Risiken kennen und mit ihnen umgehen können“, betont TÜV SÜD.

Abbildung: TÜV SÜD AG

Mirko Ross: Daran krankt das Internet of Things…

IoT: Mit der Verbreitung wächst auch die Gefährdung

Das IoT wächst weiter – für das Jahr 2020 werden laut Statista weltweit bereits rund 20,4 Milliarden vernetzte Geräte prognostiziert. Indes laufen Cyber-Angriffe auf IoT-Geräte „längst im großen Stil und automatisiert ab“.
Sogenannte Botnets greifen Millionen von IoT-Geräten an – viele Angriffe auf IoT-Geräte blieben zudem unentdeckt, die Gefahr sei zwar unsichtbar aber trotzdem real, so Ross, Geschäftsführer des IoT-Sicherheitsunternehmens Asvin und Mitglied der IoT-Expertengruppe der ENISA (European Union Agency for Cybersecurity).

Folgen unterschiedlicher Lebenszyklen der Soft- und Hardware für die Sicherheit im IoT

In dem aktuelle Podacast geht Mirko Ross auch auf die Frage ein, was ein Sicherheitslabel auf IoT-Geräten leisten kann. Zudem erörtert er die Möglichkeiten, wie sich seitens der Hersteller die Sicherheitsstandards von IoT-Geräten erhöhen lassen, und ob mehr Regulierung der einzige Weg sei oder auch Anreize für Hersteller helfen könnten.
Ferner widmet er sich u.a. folgenden Fragen: „Was können aufgeklärte Endverbraucher mit ihrer Kaufentscheidung bewirken? Welche Folgen haben unterschiedliche Lebenszyklen von Software und Hardware für die Sicherheit im IoT?“

Weitere Informationen zum Thema:

TÜV SÜD Podcast, 01.07.2020
Episode #18: The IoT is broken

datensicherheit.de, 15.06.2020
TÜV SÜD: Podcast zu Safety und Security für die Industrie 4.0

datensicherheit.de, 06.03.2020
Schatten-IoT: Wie man Licht ins Dunkel bringt / Bedrohungslandschaft im ständigen Wandel

datensicherheit.de, 04.10.2019
IoT Inspector: Firmware von IoT-Geräten auf dem Prüfstand / Vorstellung auf der „it-sa 2019“ in Nürnberg

datensicherheit.de, 19.08.2019
IoT: 90% der Firmware mit kritischer Sicherheitslücke / Einfallstore für Hacker und Vergrößerung der Cyber-Angriffsfläche von Unternehmen

[datensicherheit.de, 15.06.2020] Im aktuellen TÜV-SÜD-Podcast „Safety First: Safety oder Security?“ wird erläutert, warum für die Industrie 4.0 beides wichtig ist und worin der Unterschied zwischen diesen beiden Sicherheitsaspekten besteht. Exemplarisch wird zur Darstellung ein autonom fahrender Rollstuhl von Andreas Michael, Projektleiter „Smart Automation Industrie 4.0“ bei TÜV SÜD Product Service. herangezogen.

Abbildung: TÜV SÜD AG

Andreas Michael: Safety oder Security? Safety und Security für die Industrie 4.0!

TÜV SÜD: Viele Hersteller tun sich noch schwer mit dem Aspekt Security

Die mit den englischen Begriffen Safety und Security gekennzeichneten Sicherheitsaspekte sind gleichermaßen relevant, wenn es um die Sicherheit der Industrie 4.0 geht. „Viele Hersteller tun sich allerdings immer noch schwer damit, Security, also Gefahren für die technischen Systeme von außen, ausreichend zu berücksichtigen“, erläutert der TÜV SÜD.
Denn bisher hätten sie sich in der Produktion hauptsächlich um Safety kümmern müssen – also darum, dass die Technik den Menschen keinen Schaden zufügt.

TÜV SÜD: Safety und Security gleichermaßen relevant für die Industrie 4.0

Für die Industrie 4.0 müssten beide Aspekte ebenbürtig berücksichtigt werden, wie erklärt Andreas Michael in seiner aktuellen Podcast-Episode, der nach eigenen Angaben für TÜV SÜD Product Service als Projektleiter „Smart Automation Industrie 4.0“ im Centrum Industrial IT (CIIT) in Lemgo tätig ist.
Das als eingetragener Verein tätige CIIT e.V. sei ein „Science-to-Business-Center“ im Bereich der industriellen Automation – TÜV SÜD sei dort einer von mehreren namhaften Partnern aus Wirtschaft, Wissenschaft und Forschung. Diese Partner hätten für ihre Forschung unter anderem Zugriff auf eine anwendungsorientierte smarte Demofabrik.

TÜV Süd: Podcast „Safety First“ mit autonom fahrenden Rollstuhl als Beispiel

Am konkreten Beispiel eines autonom fahrenden Rollstuhls erklärt Michael im aktuellen Podcast, „wie die Risikoabschätzungen für die Interaktion zwischen Mensch und Maschine systematisch umgesetzt werden kann“: Im Podcast „Safety First“ von TÜV SÜD gehe es um „Cybersecurity, Datenschutz und mehr“.
Er erscheine zweimal im Monat mit einer neuen Episode. Ob als Privatmensch, im Job oder als selbständiger Unternehmer: „Jeder, der die Chancen der Digitalisierung bestmöglich für sich nutzen möchte, sollte auch ihre Risiken kennen und mit ihnen umgehen können.“

Weitere Informationen zum Thema:

CIIT
10 Jahre gemeinsam innovativ

TÜV SÜD
Herzlich willkommen zu Safety First, dem Podcast zu Cybersecurity, Datenschutz und mehr von TÜV SÜD!

datensicherheit.de, 15.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten