[datensicherheit.de, 22.04.2024] Keeper hat in einer Stellungnahme von Mtte März 2024 vor Cyber-Risiken gewarnt, welche insbesondere die Online-Sicherheit von Reisenden gefährden können und gibt folgenden Rat: „In Zeiten der umfassenden Digitalisierung und Vernetzung gilt es auch während eines Urlaubs oder einer Reise verantwortungsvoll mit der eigenen digitalen Sicherheit umzugehen.“ Dies sei nun im Prinzip keine neue Botschaft – allerdingshabe eine aktuelle Studie von Keeper bestätigt, „dass viele Nutzer von Computern, Tablets oder Mobilgeräten noch keinen genügenden Schutz für ihre Passwärter etabliert haben, um den digitalen Zugang zu sensiblen privaten und geschäftlichen Applikationen und Daten sicherzustellen“. Weltweit 64 Prozent der Befragten nutzten entweder nur schwache Passwörter oder Variationen von Passwörtern zum Schutz ihrer Online-Konten. Gleichzeitig seien aber 80 Prozent der Datenschutzverletzungen auf kompromittierte Anmeldeinformationen zurückzuführen. Um die digitale Sicherheit auch auf Reisen und in ungeschützten Umgebungen aufrecht zu erhalten, gibt Keeper hilfreiche Tipps – denn die bevorstehenden Pfingst- und Sommerferien seien u.a. auch „Hochsaison für Cyber-Kriminelle“.

Reiselust statt Cyber-Frust

„Laut einer aktuellen Untersuchung der Stiftung für Zukunftsfragen nimmt die Reiselust der Deutschen weiter zu: Mehr als sechs von zehn Bundesbürgern planen bereits ihren nächsten Urlaub und die Reisefrequenz hat inzwischen das Vor-,Corona’-Niveau von 61 Prozent erreicht und liegt sogar drei Prozentpunkte über dem Vorjahresniveau.“

Egal, aus welchem Grund man reist – in jedem Fall komme der Sicherheit von Online-Konten, persönlichen sowie Finanzdaten eine große Bedeutung zu. Scheinbar harmlose Gewohnheiten wie schlechte Passwörter, das Speichern von Passwörtern in unsicheren Dokumenten oder „Tools“ oder etwa das Veröffentlichen eines Reiseziels in Sozialen Medien könnten nun dazu führen, dass sensible Informationen oder wichtige Kontendaten von versierten Cyber-Kriminellen missbraucht werden.

5 Tipps zur Cyber-Sicherheit, um sich vor -angriffen zu schützen:

1. Gerätesicherheit steht an erster Stelle
Stellen Sie sicher, dass alle elektronischen Geräte mit den neuesten Sicherheitsupdates und Patches ausgestattet sind. Achten Sie auf wichtige Benachrichtigungen und installieren Sie Updates möglichst umgehend.
Am einfachsten ist es, wenn man die automatische Update-Funktion aktiviert. Mit Software-Updates werden nicht nur bestehende Funktionen verbessert, Fehler behoben und die Leistung erhöht, sondern auch Sicherheitslücken geschlossen und neue Sicherheitsmaßnahmen hinzugefügt – deshalb sind sie wichtiger Bestandteil einer Sicherheitsstrategie.

2. Online-Konten bestmöglich schützen
Legen Sie sichere und eindeutige Passwörter fest, die mindestens 16 Zeichen lang sind – welche keine gängigen Wörter, Muster oder fortlaufende Zahlen enthalten, sondern aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen bestehen.
Die Sicherheit eines Kontos lässt sich außerdem durch eine Zwei-Faktor-Authentifizierung (2FA) deutlich verbessern. Diese zusätzliche Schutzebene stellt sicher, dass selbst bei einer Kompromittierung des Passworts ein unbefugter Zugriff verhindert wird. Erleichterung bietet an dieser Stelle ein Passwort-Manager. Er kann sichere Passwörter erstellen, speichern und automatisch ausfüllen.

3. VPN first – öffentliche Ladestationen und Wi-Fi meiden
Vermeiden Sie öffentliche USB-Ladestationen, um „Juice Jacking“-Angriffe zu verhindern. Denn Cyber-Kriminelle können Malware auf diese Ladestationen laden und damit auf fremde Geräte zugreifen. Zudem sollte das automatische Verbinden von WLAN- und „Bluetooth“-Verbindung ausgeschaltet sein und öffentliche WLAN-Netzwerke vermieden werden, weil sie meist ungesichert und anfällig für Angriffe sind.
Verwenden Sie stattdessen die Hotspot-Funktion Ihres Telefons und nutzen Sie ein virtuelles privates Netzwerk (VPN), um Ihre Verbindung zu verschlüsseln und sich vor Cyber-Bedrohungen zu schützen, wenn Sie von unterschiedlichen Standorten aus auf Ihre Konten zugreifen.

4. Achtsamer Umgang mit den Sozialen Medien
Im Umgang mit den Sozialen Medien sollte man vorsichtig sein und keine Reisepläne und Urlaubsinformationen veröffentlichen. Die Bekanntgabe eines Standorts in Echtzeit kann Sie zur Zielscheibe von Cyber-Angriffen und physischen Straftaten machen:
Sie geben nicht nur Ihren Standort und Ihre persönlichen Daten preis, sondern machen Diebe auch darauf aufmerksam, dass Sie nicht zuhause sind. Am besten ist es, wenn Sie diese Informationen nur mit vertrauenswürdigen Kontakten austauschen und Reisedetails erst nach der Rückkehr posten.

5. Für den Notfall: Zugriff auf wichtige Dokumente einrichten
Das Risiko, dass wichtige Finanz-, Ausweis- und andere Dokumente verloren gehen oder gestohlen werden, ist auf Reisen besonders hoch. Reisende sollten sich deshalb Sicherheitskopien wichtiger Karten und Dokumente machen und diese in einen sicheren Passwort-Manager hochladen.
Alternativ kann auch ein verschlüsselter Dienst (wie z.B. „One Time Share“) genutzt werden, um wichtige Informationen sicher an ein Familienmitglied oder eine vertrauenswürdige Person weiterzugeben, damit diese im Notfall darauf zugreifen kann.

Umsetzung robuster Cyber-Sicherheitspraktiken auch auf Reisen unerlässlich

„Da die Cyber-Kriminalität immer und überall präsent ist, ist die Umsetzung robuster Cyber-Sicherheitspraktiken auf Reisen unerlässlich“, betont Darren Guccione, „CEO“ und Mitbegründer von Keeper. Daher möchte Keeper den Menschen „Tools“ an die Hand zu geben, welche ihre digitale Widerstandsfähigkeit erhöhen. „Mit einem sicheren Passwort-Manager können sich Reisende auf ein unbeschwertes und sicheres Reiseerlebnis freuen“, so Gucciones Rat.

Keeper kenne die dynamische Natur von Cyber-Bedrohungen und empfiehlt deshalb „zusätzlich zur Einhaltung von ,Best Practices’ auch die Förderung der digitalen Kompetenz und Bereitschaft, sich mit den Herausforderungen der Cyber-Kriminalität auseinander zu setzen“. Keeper bietet deshalb nach eigenen Angaben „zahlreiche Wissensbeiträge zu Cyber-Sicherheitsthemen, die von Tipps zu Reisevorbereitungen bis hin zu Cyber-Angriffen reichen.“

Weitere Informationen zum Thema:

KEEPER
Passwortverwaltungsbericht: Wahrnehmung und Realität

KEEPER
What To Look for in a Password Manager

Stiftung für Zukunftsfragen, 06.02.2024
Stiftung für Zukunftsfragen stellt 40. Deutsche Tourismusanalyse vor / Deutsche Tourismusanalyse 2024: Die Reisewelle rollt

datensicherheit.de, 10.08.2023
Urlaubszeit als Festsaison für Cyber-Kriminelle: Warnende Erkenntnisse von NordVPN / Adrianus Warmenhoven, Experte für Cyber-Sicherheit bei NordVPN, erläutert die Gefahren der Veröffentlichung von Urlaubsfotos im Internet

datensicherheit.de, 21.06.2023
Cybersecurity auch im Urlaub: Schutz vor Datenverlust, Identitätsdiebstahl und Malware-Infektionen / Besondere Vorsicht ist in unbekannten Umgebungen geboten – insbesondere im Urlaub

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone

Die Un-Kultur der Nichteinhaltung unverständlicher bzw. umständlicher IT-Sicherheitsmaßnahmen erhöht die Anfälligkeit für Cyber-Attacken

[datensicherheit.de, 18.04.2024] Lothar Geuenich, „VicePresident Central Europe / DACH“ bei Check Point Software Technologies, erläutert in seiner aktuellen Stellungnahme zur betrieblichen IT-Sicherheit, „wie man durch internes Marketing das Bewusstsein für Sicherheitspolicies im gesamten Unternehmen stärkt“ und gibt hierzu fünf Tipps zur Verbesserung der IT-Sicherheitskultur im Unternehmen.

Foto: Check Point

Lothar Geuenich rät zu Anleihen aus der Werbung, um IT-Sicherheit besser zu vermitteln…

Überlastete Mitarbeiter empfinden IT-Sicherheitsmaßnahmen eher als lästig

„Frustration wegen Sicherheitsrichtlinien eines Unternehmens ist nichts Neues“, so Geuenich. Ursprünglich einfach gehaltene Regeln seien als Reaktion auf die zunehmenden Cyber-Bedrohungen stetig komplexer geworden und hätten sich oft zu einem großen Hindernis für Produktivität und Effizienz entwickelt.

Geuenich warnt daher: „Mitarbeiter, die mit komplizierten Verfahren überlastet sind und nicht wissen, was dahintersteckt, empfinden Sicherheitsmaßnahmen eher als lästig denn als notwendig.“

Infolgedessen habe sich eine Art „Kultur der Nichteinhaltung“ entwickelt, die natürlich die Anfälligkeit für Cyber-Attacken erhöhe. Ein Verständnis dafür zu schaffen und Aufklärung zu betreiben, sei unumgänglich geworden. „Dabei helfen Anleihen aus der Werbung“, so Geuenichs Rat.

Belegschaft zu Wachsamkeit und Zusammenarbeit ermutigen und so IT-Sicherheit stärken

Um die Kluft zwischen der IT-Sicherheit und der Benutzerfreundlichkeit zu überbrücken, sei „internes Marketing“ eine wirksame Lösung: „So wie externes Marketing einem Unternehmen dabei hilft, Zielgruppen zu überzeugen, kann internes Marketing die Mitarbeiter in die Lage versetzen, sich bewusst an Sicherheitsmaßnahmen zu beteiligen.“

Durch effektive Kommunikation könnten Unternehmen die Bildung einer sicherheitsbewussten Belegschaft fördern, „was zu Wachsamkeit und Zusammenarbeit ermutigt“.

Durch die Erläuterung der Gründe für IT-Sicherheitsrichtlinien könnten Firmen außerdem deren Einhaltung fördern und einen kulturellen Wandel herbeiführen, „bei dem Sicherheit zu einem integralen Bestandteil der Unternehmensethik wird“.

IT-Sicherheit als integraler Bestandteil der Unternehmensethik bringt viele Vorteile mit sich:

1. Eine sicherheitsbewusste Belegschaft
Regelmäßige Kommunikation über bewährte Sicherheitsverfahren schule und erinnere die Mitarbeiter an ihre wichtige Rolle beim Schutz der Unternehmenswerte und legitimiere diese. Sie fühlten sich den Regeln nicht mehr „ausgeliefert“.

2. Die Förderung der Wachsamkeit
Ein gut informierter Mitarbeiter sei eher in der Lage, potenzielle Bedrohungen zu erkennen und sofort zu handeln, wodurch das Risiko von Verstößen verringert werde.

3. Die Förderung eines kollaborativen Umfelds
Das Teilen von Wissen und Verantwortung im Bereich der Sicherheit stärke die Team-Arbeit und schaffe eine gemeinsame Front gegen Bedrohungen.

4. Die Förderung der Einhaltung
Das Verständnis des Grundes hinter den Sicherheitsrichtlinien fördere deren Einhaltung und mache sie zu einem gemeinsamen Ziel – statt zu einem von oben auferlegten Befehl. „Wer versteht, warum eine Regel existiert, und ihren Sinn erkennt, ist eher bereit, sich daran zu halten“, betont Geuenich.

5. Der Kultureller Wandel
Der Fokus auf Sicherheit könne die Unternehmenskultur dahingehend verändern, „dass diese als Aufgabe aller Mitarbeiter gesehen wird, nicht nur der IT-Abteilung“.

Mitarbeitern erklären, warum IT-Sicherheitsrichtlinien sinnvoll sind und deren Einhaltung das Unternehmen schützt!

Geuenichs Fazit: „Somit lässt sich sagen, dass die Förderung der Sicherheit innerhalb des Unternehmens nur gelingt, wenn den Mitarbeitern erklärt wird, warum Sicherheitsrichtlinien sinnvoll sind und deren Einhaltung die Firma schützt.“ Dieses Sicherheitsbewusstsein erreiche man durch den Einsatz interner Marketing-Strategien.

So könne die Cyber- bzw. IT-Sicherheit in die Unternehmensidentität integriert werden und entwickele sich zu einer gemeinsamen Verantwortung auf allen Ebenen des Unternehmens.

Durch die Einführung bewährter interner IT-Sicherheitspraktiken schütze sich die Firma außerdem nicht nur selbst, sondern stärke auch die kollektive Widerstandsfähigkeit aller Mitarbeiter und angeschlossener Unternehmen, sowie der Lieferkette, gegen IT-Bedrohungen aller Art.

Weitere Informationen zum Thema:

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur / Definition und Umsetzung sind jedoch umkämpft

datensicherheit.de, 17.09.2019
CI4-Akteur Dirk Pinnow: Sicherheit 4.0 undenkbar ohne Lernkultur / Auf dem Weg zur Industrie 4.0 bevorzugt aus fremden Fehlern lernen, aber auch auf Zwischenfälle gut vorbereitet sein

datensicherheit.de, 15.04.2019
Kulturträger: Wege das Sicherheitsbewusstsein im Unternehmen zu stärken / Vorbilder für Security Awareness

[datensicherheit.de, 17.04.2024] Laut einer aktuellen Meldung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) sind Sicherheitsverletzungen in OT-/IT-Netzwerken oft „das Resultat von nicht erkannten Sicherheitslücken“. Im neuen TeleTrusT-Podcast „OT-/IT-Sicherheitsvorfälle und Schutzmaßnahmen“ wird soll anhand von praktischen Beispielen dargelegt werden, „welche Sicherheitsrisiken am häufigsten übersehen werden und wie diese reduziert werden können“.

TeleTrusT-Podcast zu OT-/IT-Sicherheitsvorfällen und Schutzmaßnahmen erörtert diverse Fragen

Im derzeit neuesten TeleTrusT-Podcast „OT-/IT-Sicherheitsvorfälle und Schutzmaßnahmen“ behandeln Moderator Carsten Vossel (CCVOSSEL) und die Interviewgäste Christoph Przygoda (TG alpha GmbH) und Klaus Mochalski (Rhebo GmbH) demnach u.a. folgende Fragen:

• Wie wirken sich die verschiedenen Sicherheitsvorfälle auf die OT-/IT-Community aus bzw. wie werden diese untereinander gehandhabt?
• Wie werden Unternehmen auf Sicherheitslücken geprüft?
• Wie wird ein Pentest definiert?
• Welche Vorbehalte gibt es gegenüber Pentests und warum?
• Was sind die am häufigsten festgestellten Schwachstellen?
• Welche sind die effektivsten Sicherheitsmaßnahmen für Unternehmen, um OT-/IT-Sicherheitsrisiken zu vermeiden?

Christoph Przygoda rät im TeleTrusT-Podcast den Unternehmen zu gestaffeltem CyberSecurity-Programm

Christoph Przygoda, „Cyber Security Consultant“ bei TG alpha, führt aus: „CyberSecurity ist kein Sprint, sondern mehr als eine Staffel zu sehen. Jedes Unternehmen sollte sich ein Programm aufbauen, wie das Thema ,Security’ in Anlagen und Maschinen angegangen wird.“

Der erste Schritt sei oft der schwierigste und doch gebe es bewährte Phasenmodelle, welche hierbei unterstützen könnten: Analyse, Konzept, Umsetzung. „Wenn der Weg beschrieben ist, fällt auch der erste Schritt der Umsetzung leichter und das Unternehmen und ihre Produkte werden ,smart, safe and secure’“, so Przygoda.

Klaus Mochalski votiert im TeleTrusT-Podcast zur Zusammenarbeit

Klaus Mochalski, „Strategic Advisor & Founder“ von Rhebo, ergänzt: „,OT Security’ birgt viele neue, fachübergreifende Herausforderungen. Ohne gute Zusammenarbeit zwischen allen Beteiligten, insbesondere aus der IT-Abteilung, dem Anlagenbetrieb und dem Management, ist eine signifikante und nachhaltige Verbesserung der Cyber-Sicherheit in Industrieanlagen nicht zu erreichen.“

Mochalski unterstreicht abschließend, dass hierbei das Risiko von Cyber-Angriffen wie jedes andere unternehmerische Risiko bewertet und entsprechend gemanagt werden müsse.

Weitere Informationen zum Thema (Lonk zum TeleTrusT-Podcast):

TeleTrusT auf SOUNDCLOUD
OT-/IT-Sicherheitsvorfälle und Schutzmaßnahmen

Der „Security Culture Report 2024“ beschreibt, wie sich Sicherheitsmaßnahmen tatsächlich auf Organisationen sowie die Art und Weise auswirken, wie Menschen bei der Arbeit handeln und fühlen

[datensicherheit.de, 15.04.2024] KnowBe4 hat am 27. März 2024 die Veröffentlichung des „Security Culture Report 2024“ bekanntgegeben. Dieser Bericht dokumentiert demnach die Untersuchungsergebnisse, wie sich Sicherheitsmaßnahmen tatsächlich auf Organisationen sowie die Art und Weise auswirken, wie Menschen bei der Arbeit handeln und fühlen. Er liege in einer globalen und einer regionalen Version für Nordamerika, Südamerika, Europa, Afrika, Asien und Ozeanien vor und berücksichtige die regionalen Nuancen, Verhaltensweisen und Einstellungen zur Cyber-Sicherheit am Arbeitsplatz.

Foto: KnowBe4

Dr. Martin J. Krämer rät, Cyber-Sicherheit als abteilungsübergreifende gemeinsame Anstrengung wahrzunehmen…

Erfüllung der Compliance-Anforderungen wird allmählich als strategische Initiative zur Förderung starker Sicherheitskultur begriffen

Die Ergebnisse zeigten, „dass Organisationen in ganz Europa im Allgemeinen verstehen, dass der Mensch Bestandteil ihrer Verteidigungsstrategie sein müssen, um das Niveau der Widerstandsfähigkeit zu erhöhen“. „Social Engineering“ bleibe darüber hinaus eine der größten Bedrohungen.

Unternehmen betrachteten „Security Awareness“ nicht mehr als eine Checkbox-Übung zur Erfüllung der Compliance-Anforderungen, sondern zunehmend als eine strategische Initiative zur Förderung einer starken Sicherheitskultur. Allerdings werde das Thema Cyber-Sicherheit oft noch als Aufgabe eines einzelnen Teams oder einer Abteilung betrachtet – „und nicht als gemeinschaftliche Anstrengung, was es schwierig macht, sich durchzusetzen“.

Der Bericht beschreibt u.a. den unterschiedlichen Reifegrad der Cyber-Sicherheit in Europa

Darüber hinaus zeige der Bericht, dass die Europäische Union (EU) zwar bei der Gestaltung globaler Cyber-Sicherheitsstandards durch strenge Gesetze und Vorschriften eine Vorreiterrolle einnehme, „dass jedoch eine schnellere Annahme und Umsetzung erforderlich ist, um sie für Unternehmen wirksam zu machen“. Der Bericht untersuche Themen wie den unterschiedlichen Reifegrad der Cyber-Sicherheit in Europa – „und was dies für Unternehmen bedeutet“. Er verdeutliche den Mangel an Kommunikation in Unternehmen und wie dieser eben Cyber-Angriffe begünstige sowie die Gesetzgebung und ihre Umsetzung.

Er befasse sich auch mit der prognostizierten Zunahme der Qualität und Quantität der Cyber-Angriffe und der Frage, wie diese bekämpft werden könnten. „Darüber hinaus befasst er sich mit dem großen Problem der sprachlichen Lokalisierung spezifischer Compliance- und rechtlicher Anforderungen auf dem gesamten Kontinent.“ Untersucht worden sei zudem der Einfluss der Künstlichen Intelligenz (KI) auf die Zunahme von Desinformation und Fehlinformation sowie ausgefeilterer und effektiverer Cyber-Angriffe.

Aus- und Weiterbildung auf dem Gebiet der Cyber-Sicherheit in Unternehmen eine Notwendigkeit

„Social Engineering“ sei nach wie vor eine der drei größten Bedrohungen in Europa. Aus- und Weiterbildung im Bereich der Cyber-Sicherheit in Unternehmen sei eine Notwendigkeit, um den sich ständig weiterentwickelnden Strategien und Taktiken der Cyber-Kriminellen einen Schritt voraus zu sein. „Während es in den am stärksten digitalisierten Sektoren Europas einen bemerkenswerten Aufwärtstrend bei ,Security Awareness’ gibt, unterscheiden sich das Verständnis und die Umsetzung der Sicherheitskultur in den verschiedenen Branchen stark“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4.

Dennoch sei es offensichtlich, dass viele Organisationen bei der Einführung einer proaktiven Sicherheitskultur noch hinterherhinkten. Dr. Krämer kommentiert: „Wir beobachten jedoch, dass europäische Organisationen beginnen, die entscheidende Rolle der Integration der ,Security Awareness’ in ihre Unternehmenskultur zu erkennen und anzuerkennen.“ Sie hätten verstanden, dass sie damit die Widerstandsfähigkeit stärkten. Sein abschließender Rat: „Dennoch müssen wir die fortbestehenden Hürden in Sektoren angehen, in denen Cyber-Sicherheit nicht als abteilungsübergreifende gemeinsame Anstrengung wahrgenommen wird.“

Weitere Informationen zum Thema:

KnowBe4, 27.03.2024
SECURITY CULTURE REPORT 2024

[datensicherheit.de, 15.04.2024] Wenn sich draußen der Frühling ankündigt, fühlen sich viele Menschen motiviert, einen „Frühjahrsputz“ zu machen – und nicht mehr gebrauchte Dinge auszusortieren. ESET empfiehlt, sich gleichermaßen auch digital um eine gründliche Reinigung der eigenen IT zu kümmern: „Spätestens jetzt ist an der Zeit, Apps, Daten und Konten auf den Prüfstand zu stellen. Smartphone, PC und Tablet aufzuräumen, lohnt nämlich gleich in dreifacher Hinsicht: Es sorgt für besseren Schutz vor Cyber-Kriminellen, schnellere Geräte und digitales Wohlbefinden.“ IT-Sicherheitsexperten von ESET geben nachfolgend Tipps für den „Digitalen Frühjahrsputz“:

IT-Sicherheitsexperte warnt vor Missbrauch des digitalen Fußabdrucks

Christian Lueg, IT-Sicherheitsexperte bei ESET, warnt: „Jeder Nutzer hinterlässt einen digitalen ,Fußabdruck’. Diese Informationen dürfen nicht in die falschen Hände geraten!“ Er rät Nutzern deshalb, alte Datenspuren wie zum Beispiel nicht mehr verwendete Social-Media-Konten zu löschen und auf ihren Geräten für Ordnung zu sorgen.

Gleichzeitig sei es essenziell, alle Geräte auf dem neuesten Stand zu haben und regelmäßig Updates zu installieren. „Am einfachsten ist das über automatische Updates – sowohl für das Betriebssystem als auch für die installierten Apps“, betont Lueg.

Sicherheit durch Übersicht: Nicht mehr Genutztes sollte weg!

Wie beim analogen Entrümpeln gilt laut ESET: „Alles, was über eine gewisse Zeit an Apps oder Konten nicht mehr verwendet wurde, sollte ausgemistet werden!“ Sonst bestehe eine sehr hohe Wahrscheinlichkeit, dass sich unzählige Apps und Dienste auf dem Smartphone oder Tablet ansammelten.

„Oder wie oft hat man sogar mehrere Apps für ein und denselben Zweck auf dem Gerät?“ Auch für solche Fälle könnte man eine Regel festlegen: Für jede Anwendung, die neu installiert wird, müsse eine andere gehen. Dies habe einen großen Vorteil: „Vor Neuanschaffung setzt man sich mit der Frage auseinander, ob man die App auch wirklich benötigt.“

IT-Geräte sollten rund ums Jahr auf dem Stand von Sicherheit und Technik sein!

Lueg führt aus: „Der wichtigste Tipp vorab: Der Frühjahrsputz ist nur der Startschuss für regelmäßiges Entrümpeln! Bleiben Sie das ganze Jahr dran und achten Sie darauf, dass Ihre Geräte auf dem Stand von Sicherheit und Technik sind!“

Nach dem Frühjahrsputz sollte wie auch im realen Leben nicht Schluss sein: „Nutzer könnten nach der Grundreinigung einen ‚Sicherheitstag‘ pro Monat oder einer ‚Sicherheitsstunde‘ pro Woche analog zum Veggie- oder Umwelttag im realen Leben einrichten.“

Einfache Tipps von ESET für mehr IT-Sicherheit beim Digitalen Frühjahrsputz und darüber hinaus:

Konten prüfen!
Die meisten Internetnutzer hätten bei verschiedensten Websites Konten, welche sich über die Zeit ansammelten. „Es empfiehlt sich, regelmäßig ungenutzte Online-Accounts zu löschen.“ Auch die Datenschutz- und Privatsphäre-Einstellungen bei Social-Media-Profilen könnten dabei noch einmal auf den Prüfstand gestellt werden.

Zugangsdaten effektiv absichern!
Nutzer sollten Passwörter auf ihre Sicherheit hin prüfen und ändern. „Für deren Verwaltung bietet sich ein Passwortmanager an, der starke Passwörter erstellt und sie sicher abspeichert.“ Aber nur die Passwörter zu ändern, reiche heutzutage kaum noch nicht aus. Weitaus sicherer sei es, eine Zwei-Faktor-Authentifizierung zu verwenden: Diese schütze Online-Konten zusätzlich, indem sie die Kombination aus Nutzernamen und Passwort um einen weiteren sicheren Faktor erweitere, zum Beispiel per SMS-Einmal-Code, Authenticator-App, Fingerabdruck oder Gesichtserkennung.

Ungenutzte Programme und Dateien löschen!
„Gibt es alte Dokumente, die vielleicht auch noch doppelt auf den Geräten sind?“ Das Löschen dieser Programme und Dateien sorge für einen besseren Überblick und mehr freien Speicherplatz. Dazu gehörten auch alte E-Mails oder Newsletter, welche das Postfach unnötig füllten.

Browser aufräumen!
Es lohne sich, regelmäßig alte Cookies und den Cache, Verlauf und ungenutzte Browser-Add-ons zu löschen.

Heimnetzwerk absichern!
„Über die Sicherheitslösung oder die Weboberfläche des Routers können alle Geräte angezeigt werden, die mit dem Heimnetzwerk verbunden sind.“ Unbekannte oder nicht mehr benutzte Geräte könnten dann abgetrennt werden.

Sicherheitslösung einsetzen!
„Eine starke Sicherheitssoftware ist ein Muss für alle PCs, Macs und ,Android’-Geräte.“ Diese biete Schutz vor Spam, Phishing und Schadprogrammen. Außerdem beinhalte sie oft weitere nützliche Funktionen wie Diebstahlschutz, Kindersicherung oder Datenverschlüsselung. Nach der digitalen Reinigung empfehle sich ein umfangreicher Viren-Scan.

Backups erstellen!
„Nutzer sollten regelmäßig Backups erstellen, um bei Verlust eines Gerätes die darauf gespeicherten Daten nicht gleich mitzuverlieren!“ Dafür gebe es zahlreiche kostenlose wie auch -pflichtige Lösungen. Für die meisten Nutzer dürften allerdings die Bordwerkzeuge auf ihren Geräten ausreichen, z.B. „Microsoft OneDrive“ bei „Windows“-Geräten. Auch eine Datensicherung per externer Festplatte oder einem USB-Stick genüge in den meisten Fällen vollkommen. „Wichtig dabei: Das beste Backup bringt nichts, wenn die gesicherten Daten von Viren infiziert wurden. Auch deshalb ist eine Sicherheitslösung unabdingbar.“

Alte Datenträger richtig löschen!
„Nicht mehr genutzte Festplatten, egal ob Sie sie verkaufen, an Bekannte und Familie weitergeben oder entsorgen wollen, müssen richtig gelöscht werden!“ Den „Papierkorb“ zu leeren oder den Datenträger zu formatieren, reiche bei weitem nicht aus. Die Daten könnten so von Fremden wiederhergestellt werden. „Nutzer sollten spezielle Programme verwenden, die eine gründliche Reinigung vornehmen. Das BSI hat dazu eine umfangreiche Anleitung zusammengestellt.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Daten auf Festplatten und Smartphones endgültig löschen

Aktuell mangelt es an einer Reaktion auf neue Technologien, welche über eine kurzfristige Anpassung des Cyber-Sicherheitsniveaus hinausgeht

[datensicherheit.de, 13.04.2024] „Die Fristen für die Einhaltung der NIS-2-Richtlinie und des ,Digital Operations Resilience Act’ (DORA) rücken rasch näher und dementsprechend stehen Bestrebungen zur Einhaltung der Auflagen rund um die Regulierung der Cyber-Sicherheit für viele Unternehmen derzeit im Fokus. Während diese Direktiven die Hoffnung auf positive Veränderungen hinsichtlich des Schutzniveaus der Betreiber Kritischer Infrastrukturen in Europa wecken, fehlt es ihnen dennoch an einer entscheidenden Komponente – einer Vision zur Transformation der weltweiten Cyber-Sicherheit“, moniert Nathan Howe, „GVP Innovation“ bei Zscaler, in seiner aktuellen Stellungnahme. Zwar seien Regulierungsbestrebungen von Natur aus immer eine Reaktion auf Veränderungen, aber dennoch könnten sie etwas visionärer ausfallen. Aktuell mangele es allerdings noch an einer Reaktion auf neue Technologien, welche über eine kurzfristige Anpassung des Sicherheitsniveaus hinausgehe. Howe kommentiert: „Wieder einmal überschreitet die Innovationstätigkeit die Geschwindigkeit, mit der Regularien implementiert werden können.“

Foto: Zscaler

Nathan Howe: Regulierung und Innovation sollten Hand in Hand gehen!

Es sind nicht Cyber-Regularien, welche Unternehmen zu höherer Innovationstätigkeit veranlassen

Auch die Diskussionen auf dem „World Economic Forum“ in Davos hätten einmal mehr gezeigt, dass Entscheidungsträger und Politiker Regularien eher aus Angst denn aus Innovationsfreude auf die Tagesordnung setzten. Howe: „Nicht bedacht wurde, dass Regulierung und Innovation Hand in Hand gehen sollten, um den Schritt in die Zukunft ohne Angst und mit weniger Risiken angehen zu können.“ Das Entstehen von Regularien sei ein zyklischer Prozess – angetrieben durch die Evolution neuer Standards. Hinter einem solchen Prozess stehe eine bestehende Technologie, welche in vielerlei Hinsicht vorhersehbar sein sollte.

KI-gestütztes „5G“ sei ein gutes Beispiel für eine solch neue Technologie, welche bald neue Regularien erforderlich machen werde, „wenn sie in Form von ,6G’ mit einer ganzen Reihe neuer Funktionen aufwartet“. Die technologische Marschrichtung von Unternehmen erhalte durch Regularien Vorschub, welche über die Reaktion auf Sicherheitsvorfälle hinausgehe und zu strategischer Planung führen sollte. „Es ist jedoch wichtig zu erkennen, dass es nicht die Regularien sind, die Unternehmen zu höherer Innovationstätigkeit veranlassen. Vielmehr zwingen sie jegliche Organisation dazu, den Status Quo einzuhalten“, so Howe.

Organisationen betrachten Cyber-Regulierung oft nur als Mittel, den Status Quo zu erhalten

Echte Innovation könne dann entstehen, „wenn Führungskräfte und Visionäre dazu bereit sind, herkömmliche Herangehensweisen angetrieben vom Wunsch nach dem Erhalt von Wettbewerbsfähigkeit grundlegend zu überdenken“. Er führt hierzu aus: „Ein Unternehmen, das Lebensmittel oder Getränke herstellt, wird normalerweise immer Technologien zur Verbesserung der Produktionsprozesse gegenüber IT-Sicherheitsprozessen den Vorrang geben.“ Solche Organisationen betrachteten die Regulierung als Mittel, um den Status Quo zu erhalten. Sie nutzten sie nicht als Gelegenheit, um eine Modernisierung der Abläufe und die Erschließung gänzlich neuer Möglichkeiten auf den Weg zu bringen.

Howe gibt zu bedenken: „Aus diesem Grund erfolgt ein größerer Wandel oft nur aufgrund eines katastrophalen Moments, der droht, ein unsinkbares Schiff zum Kentern zu bringen. Oder er erfolgt eben durch den Anstoß von außen, der durch Regularien losgetreten wird.“ In diesem Sinne spiele die Regulierung eine wichtige Rolle bei der Beschleunigung der technologischen Evolution von denjenigen Unternehmen, „deren Hauptaugenmerk darauf liegt, den Motor am Laufen zu halten, zu verkaufen und zu produzieren“.

NIS-2 und DORA u.a. haben ihre Berechtigung, denn sie fördern Wissen und Verständnis für Cyber-Sicherheit – aber es gebricht ihnen an visionärer Kraft

Regulierungen wie aktuelle NIS-2 und DORA hätten ihre Berechtigung, denn sie trügen dazu bei, das Wissen und das Verständnis für Cyber-Sicherheit zu beschleunigen. „Sie setzen neue Grenzen und führen zu neuen Kontrollmechanismen und aktualisierten Reports zum Datenverkehr. Schlussendlich sind sie aber nicht die transformative Kraft, die Unternehmen dabei hilft, mit dem Tempo der technologischen Entwicklung und der Innovation Schritt zu halten.“

Howe erläutert: „In ihrer jetzigen Form ist es unwahrscheinlich, dass diese Art der Regulierung die Welt unter dem Gesichtspunkt der Informationssicherheit grundlegend verbessern wird. Ohne eine Vision, die die Innovationstätigkeit in den Vordergrund stellt, wird sie das Sicherheitspostulat nicht revolutionieren.“ Sie diene lediglich dazu, Unternehmen bei der Problembeseitigung zu unterstützen, aber nicht bahnbrechend zu transformieren.

Sein Fazit: „Damit Unternehmen innovative Cyber-Sicherheit wirklich vorantreiben, müssen Innovation und Regulierung zusammenspielen und eine zukunftsorientierte Denkweise fördern!“ Nur so würden Unternehmen dazu befähigt, sich im Einklang mit dem Tempo neuer, transformativer Technologien zu modernisieren. Dazu bedürfe es einer echten Vision im heutigen Zeitalter, in dem kein Jahrzehnt hinsichtlich der technologischen Entwicklung mehr vergleichbar sei mit dem vorangegangenen.

[datensicherheit.de, 05.04.2024] Cyber-Angriffe stellen offensichtlich eine erhebliche Bedrohung für Unternehmen, Regierungen und Privatpersonen dar: „Im Jahr 2023 wurden die Folgekosten von Cyber-Angriffen weltweit auf acht Billionen US-Dollar geschätzt.“ In diesem Jahr – 2024 – wird diese Zahl laut Cybersecurity Ventures voraussichtlich auf 9,5 Billionen US-Dollar ansteigen. Zudem werde der Aufstieg der KI-Technologie die Kosten wohl noch weiter in die Höhe treiben: Prognosen gehen demnach von einem Anstieg auf 10,5 Billionen US-Dollar im Jahr 2025 aus. In einer aktuellen Untersuchung ist ExpressVPN nach eigenen Angaben der Frage nachgegangen, wie viel Länder für Cyber-Sicherheit ausgeben, um diesen Gefahren zu entgehen. „ExpressVPN vergleicht in einer Analyse die Investitionen und stellt die entscheidende Frage: Führen mehr Ausgaben tatsächlich zu mehr Sicherheit?“

Große Bandbreite: Investitionen der Länder in Cyber-Sicherheit

Die Investitionen in die Cyber-Sicherheit der einzelnen Länder fallen laut ExpressVPN sehr unterschiedlich aus. „Besonders bemerkenswert ist aber zum Beispiel die Entwicklung Indiens. Indien wird bis 2028 Volkswirtschaften wie die Niederlande, Brasilien, Italien und Spanien in Bezug auf die Ausgaben für Cyber-Sicherheit überholen und setzt damit ein deutliches Zeichen.“ Dieser Anstieg spiegele das Bestreben der indischen Regierung wider, den Digitalen Sektor zu stärken und mit der schnell wachsenden Technologiebranche Schritt zu halten.

Im Gegensatz dazu hätten kleinere Nationen wie die Seychellen einen schweren Stand. Mit einem durchschnittlichen Cyber-Sicherheitsbudget von 1,3 Millionen US-Dollar (das bis 2028 auf 2,6 Millionen US-Dollar ansteigen solle) würden die Herausforderungen der Ressourcen-Zuweisung in kleineren Volkswirtschaften deutlich. Ähnliche Szenarien spielten sich in Ländern wie Sierra Leone, Tadschikistan und Kambodscha ab, welche angesichts der zunehmenden Cyber-Bedrohungen mit begrenzten Budgets zu kämpfen hätten. Dieses Muster sei in afrikanischen und südamerikanischen Regionen besonders ausgeprägt, „wo wirtschaftliche und andere nationale Prioritäten gegenüber dem Bedarf an digitaler Verteidigung schwerer wiegen“.

Deutschland gilt als Schlüsselakteur der europäischen Cyber-Verteidigung

Deutschlands Investitionen in die Cyber-Sicherheit in Höhe von rund 412 Millionen US-Dollar seien eine strategische Entscheidung, welche die zentrale Rolle der Bundesrepublik in der europäischen Sicherheitsarchitektur widerspiegele.

Diese im EU-Kontext bedeutsame Investition unterstreiche auch den Beitrag Deutschlands zur kollektiven digitalen Sicherheit der NATO. Der Ansatz ziele darauf ab, interne Verteidigungsmechanismen zu stärken und gleichzeitig ein sichereres digitales Umfeld für Verbündete zu fördern.

Ausgaben für Cyber-Sicherheit: 14 der 15 Spitzenplätze europäische Länder

Cyber-Sicherheit sei nicht nur ein Teil der Nationalen Sicherheit, sondern auch ein Rückgrat der wirtschaftlichen Stabilität im Digitalen Zeitalter geworden. Der National Cyber Security Index (NCSI) biete eine Momentaufnahme darüber, „wie gut ein Land Cyber-Bedrohungen abwehren und mit ihnen umgehen kann, wenn sie auftreten“. Dieser Index berücksichtige die Gesetze, die Technologie, die organisatorische Bereitschaft, die Entwicklung von Fähigkeiten und die internationalen Cyber-Beziehungen eines Landes.

Mit 14 der 15 Spitzenplätze seien die europäischen Länder führend in Sachen Cyber-Sicherheit – „und das ist kein Zufall“: Ihr langjähriges Engagement für die digitale Infrastruktur und die wirtschaftlichen Mittel zur Unterstützung fortschrittlicher Cyber-Abwehr spielten eine entscheidende Rolle. Darüber hinaus fördere die Europäische Union (EU) eine Kultur der Zusammenarbeit, welche es den Mitgliedstaaten ermögliche, bewährte Verfahren und Ressourcen effektiv auszutauschen. „Deutschland liegt mit einem Score von 90,91 auf Platz 5 hinter Belgien (94,81), Litauen (93,51), Estland (93,51) und Tschechien (90,91).“

Cyber-Verteidigung als Herausforderung für Staaten mit begrenzten Ressourcen

Die Länder mit der schwächsten Cyber-Sicherheit, wie der Südsudan (1,30) und Palau (1,30), verdeutlichten, „vor welchen Herausforderungen Staaten mit begrenzten Ressourcen stehen“. Finanzielle Engpässe könnten eine Regierung dazu zwingen, begrenzte Mittel für dringendere Angelegenheiten zu verwenden und die Cyber-Verteidigung zu vernachlässigen.

„Eine solide Cyber-Sicherheitsbewertung ist kein Allheilmittel gegen Cyber-Bedrohungen“, betont Lauren Hendry Parsons, „Privacy Advocate“ bei ExpressVPN. Parsons erläutert: „Großbritannien beispielsweise ist zwar führend bei der Abwehrbereitschaft, erleidet aber dennoch jedes Jahr finanzielle Einbußen in Milliardenhöhe durch Cyber-Kriminalität. Eine hohe Verteidigungsquote ist also nicht unbedingt mit einem geringeren Risiko gleichzusetzen. Wichtig ist, dass Nationen sich mit Investitionen in die Cyber-Sicherheit gegen die ständig weiterentwickelnde Landschaft digitaler Bedrohungen wappnen.“ Diese Ausgaben gäben einen Einblick in die langfristige Strategie einer Regierung und ihr Engagement für den Aufbau einer widerstandsfähigen digitalen Infrastruktur.

Weitere Informationen zum Thema:

ExpressVPN, Sonja Raath, 12.02.2024
Cybersecurity spending: How much are countries investing in their digital defenses?

CYBERCRIME MAGAZINE, Steve Morgan, 25.10.2023
Cybercrime To Cost The World $9.5 trillion USD annually in 2024 / Cybersecurity Facts, Figures, Predictions and Statistics Sponsored by eSentire

datensicherheit.de, 05.04.2024
Cyber-Rüstungskontrolle: Sanktionierung des Einsatzes von Cyber-Waffen / Da der sogenannte Cyberspace zunehmend in Konflikten genutzt wird, ist es höchste Zeit für die Cyber-Rüstungskontrolle

Keyfactor warnt: Mit dem enormen Potenzial der IoT-Technologie gehen auch signifikante Risiken einher

[datensicherheit.de, 23.03.2024] Die Bedeutung des sogenannten „Internet der Dinge (und Dienste)“ (im Englischen als IoT abgekürzt) wächst erkennbar. In der Entwicklung von IoT-Geräten hat sich laut Ellen Böhm, „SVP, IoT Strategie & Betrieb“ bei Keyfactor, seit der Einführung des ersten netzwerkverbundenen Verkaufsautomaten im Jahr 1982 einiges getan. Die Anbindung von Geräten an das Internet und andere Netzwerke habe eine transformative Ära eingeläutet und Innovationen in vielen Bereichen angetrieben. Doch mit dem enormen Potenzial dieser Technologien gingen auch „signifikante Risiken“ einher.

Foto: Keyfactor

Ellen Böhm, SVP, IoT Strategie & Betrieb“ bei Keyfactor: Sicherheit von IoT-Geräten erfordert umfassendes Verständnis, strategische Planung und Umsetzung effektiver Sicherheitsmaßnahmen!

Keyfactor empfiehlt grundsätzlich robuste IT-Sicherheitsstrategien

„Durch die zunehmende Vernetzung und Integration von IoT in die Geschäftsprozesse von Unternehmen entstehen Sicherheitsbedrohungen, die proaktiv angegangen werden müssen“, erläutert Böhm. Jedes Gerät berge die potenzielle Gefahr, zu einem Ausfall zugehöriger Abläufe zu führen.

Insbesondere bei geschäftskritischen Prozessen sei das Risiko groß, da beispielsweise Ausfälle in der Produktion hohe finanzielle Schäden und Gewinnverluste zur Folge haben könnten. Sie führt aus: „Um die von IoT-Umgebungen ausgehenden Nachteile und Risiken zu mitigieren, bedarf es robuster Sicherheitsstrategien, die im Folgenden aufgezählt und erläutert werden.“

1. Keyfactor-Tipp: Verhindern von Zertifikatsausfällen

Digitale Zertifikate bildeten das Rückgrat der Sicherheit und Funktionsfähigkeit von IoT-Geräten. Sie ermöglichten es den Geräten, die Authentizität von Netzwerksignalen zu verifizieren und sichere Verbindungen aufzubauen. Die große Mehrheit der Unternehmen scheine jedoch mit dem Management dieser Zertifikate überfordert zu sein:

„Laut einer Studie von Keyfactor haben 98 Prozent der befragten Organisationen in den letzten zwölf Monaten mindestens einen zertifikatsbezogenen Ausfall erlebt, der durchschnittlich zu Verlusten von über zwei Millionen Euro führte.“ Die Lösung liege in einer zentralisierten und automatisierten Verwaltung von Zertifikaten, um deren gesamten Lebenszyklus effektiv zu managen und Ausfallzeiten zu minimieren.

2. Keyfactor-Tipp: Definieren von Sicherheitsstandards für IoT

Eine der größten Herausforderungen für Organisationen sei das Fehlen eines klaren Verständnisses darüber, „was IoT-Sicherheit für ihre spezifische Umgebung erfordert“. Der Bericht zeige, dass 56 Prozent der Organisationen von sich selbst behaupteten, nicht über das notwendige Bewusstsein und die Expertise zu verfügen, um sich effektiv gegen IoT-Angriffe zu schützen.

Um diese Lücke zu schließen, müssten Unternehmen eine tiefgreifende Analyse ihrer IoT-Landschaft vornehmen. „Dazu gehört das Verständnis darüber, wie viele und welche Arten von Geräten verwendet werden, wie sie vernetzt sind und welche Sicherheitsrisiken damit verbunden sein könnten.“ Auf dieser Basis könnten dann spezifische Sicherheitsrichtlinien entwickelt und implementiert werden, welche sowohl die einzigartigen Anforderungen des Unternehmens als auch die Besonderheiten der eingesetzten IoT-Geräte berücksichtigten.

3. Keyfactor-Tipp: Proaktiver Umgang mit Regulatorien

„Sowohl in der Europäischen Union als auch in den Vereinigten Staaten werden gesetzliche Rahmenbedingungen geschaffen, um die Sicherheit digitaler und vernetzter Geräte zu erhöhen.“ Richtlinien wie NIS-2 sollten künftig von Grund auf sicher gestaltete Technologien fördern.

Angesichts der Entwicklungen im legislativen Bereich sei es für Organisationen unerlässlich, die aktuelle Gesetzgebung aktiv zu verfolgen und die eigenen Sicherheitsstrategien entsprechend anzupassen. Nur so könne die Sicherheit von IoT-Umgebungen gestärkt und die Einhaltung von Compliance-Kriterien gewährleistet werden.

Fazit zu Keyfactor-Handlungsempfehlungen für effektiven Schutz der IoT-Geräte

Die Sicherheit von IoT-Geräten stelle eine komplexe Herausforderung dar, welche ein umfassendes Verständnis, strategische Planung und die Umsetzung effektiver Sicherheitsmaßnahmen erfordere. Organisationen seien darauf angewiesen, ihre IoT-Sicherheitsstrategien zu optimieren.

Böhm gibt abschließend zu bedenken: „Zu den wichtigsten Handlungsempfehlungen gehören die Optimierung des Zertifikatsmanagements, die Definition klarer Sicherheitsrichtlinien und die Einhaltung der relevanten gesetzlichen Rahmenbedingungen. In einer Welt, die zunehmend vernetzt ist, müssen nachhaltige Security-Strategien im Fokus stehen, um eine sichere und von digitalem Vertrauen geprägte Zukunft zu gewährleisten.“

Weitere Informationen zum Thema:

KEYFACTOR
Digital Trust in a Connected World: Navigating the State of IT Security

[datensicherheit.de, 24.01.2024] Der „International Day of Education“ am 24. Januar soll die wachsende Bedeutung der Internet-Sicherheitserziehung für Kinder in den Mittelpunkt rücken: In einer Zeit, in der digitale Kompetenzen genauso wichtig sind wie Lesen und Schreiben, erscheint es wichtiger denn je zu sein, der jungen Generation beizubringen, wie man sich sicher in der Online-Welt bewegt.

Why Children are Unsafe in Cyberspace: Untersuchung vom Global Cybersecurity Forum unterstreicht Handlungsbedarf

Ein Bericht des „Global Cybersecurity Forum“ mit dem Titel „Why Children are Unsafe in Cyberspace“ zeigt indes eine beunruhigende Statistik: 72 Prozent der Kinder weltweit waren demnach schon mindestens einer Art von Cyber-Bedrohung ausgesetzt. „Vor dem Hintergrund der Tatsache, dass 90 Prozent der über Achtjährigen bereits im Internet aktiv sind, ist diese Zahl besonders alarmierend und unterstreicht die Risiken, denen Kinder in einer zunehmend vernetzten Welt ausgesetzt sind.“

Die Check Point® Software Technologies Ltd. weist in ihrer aktuellen Stellungnahme darauf hin, dass nämlich zudem ein erhebliches Informationsdefizit bestehe, „da nur 40 Prozent der Eltern wissen, dass ihre Kinder diesen Bedrohungen ausgesetzt sind“. Diese Diskrepanz unterstreicht die Notwendigkeit einer umfassenden Aufklärung über Cyber-Sicherheit, die bereits in jungen Jahren beginnen sollte. Daher ist es wichtig, Präventivmaßnahmen zu ergreifen, um den Schutz der Kinder im Internet zu gewährleisten.

Check Point gibt Ratschläge, um Kinder mit Cyber-Sicherheit vertraut zu machen

Check Point plädiert nach eigenen Angaben für einen proaktiven Ansatz zum Schutz von Kindern im Internet und schlägt hierzu vier Maßnahmen vor:

1. Sicherheit im Internet auf spielerische Weise vermittelt bekommen!
Die spielerische Vermittlung von Cyber-Sicherheitskonzepten könne Kindern helfen, sichere Online-Praktiken zu verstehen und zu verinnerlichen. Denkbar wäre es auch, Apps und Online-Spiele zu entwickeln, die ihnen helfen, Wissen zu erwerben, Bedrohungen zu erkennen und zu lernen, wie sie ihre persönlichen Daten schützen können.

2. Hacker-Ambitionen verstehen lernen!
Die Aufklärung der Kinder über die verschiedenen Arten von Hackern – von Cyber-Kriminellen bis hin zu den ethisch handelnden „White Hat“-Hackern (welche bei der Entwicklung von Abwehrmethoden gegen diese helfen) – sei für ein umfassendes Verständnis der Cyber-Sicherheit unerlässlich.

3. Cyber-Sicherheit als elementaren Bestandteil der Bildung erlernen!
Die Integration der Cyber-Sicherheitserziehung in den Lehrplan sei von entscheidender Bedeutung. Auf diese Weise würden nicht nur die Kinder geschult, sondern auch die Eltern sensibilisiert werden. Lehrkräfte sollten über digitales Wissen verfügen, und Cybersecurity-Vorträge anbieten, damit auch die Eltern ein gewisses Grundwissen darüber erhalten, wie sie ihrem Kind helfen können, sich online zu schützen.

4. Nutzung sicherer Netzwerke!
Kindern beizubringen, wie man sichere Netzwerke aufbaut und Bedrohungen wie Phishing erkennt, sei für Online-Sicherheit entscheidend. Selbst Erwachsene täten sich schwer, Phishing-Mails von legitimen E-Mails zu unterscheiden. Umso mehr müsse man Kinder befähigen, bösartige Links, Anhänge und sogenanntes Social Engineering sowie Cyber-Angriffe auf ihr Netzwerk zu erkennen. Nicht zuletzt sei auch die Einrichtung sicherer Passwörter von entscheidender Bedeutung, um die eigenen Nutzerkonten vor Fremdzugriff zu schützen.

Weitere Informationen zum Thema:

BCG, David Panhans & Leila Hoteit & Shoaib Yousuf & Theo Breward & Ms. Alaa M. AlFaadhel & Ms. Basma H. AlShaalan, 21.09.2022
Why Children Are Unsafe in Cyberspace

Was eine Kubernetes Bill of Materials ist und wie sie funktioniert

Ein Beitrag von unserem Gastautor Arne Jacobsen, Director of Sales EMEA bei Aqua Security

[datensicherheit.de, 29.11.2023] Um die Komponenten und Anhängigkeiten von Anwendungen abzubilden, werden SBOMs erstellt. Eine Software Bill of Materials hilft so die Risiken von Anwendungen besser zu verstehen. Darüber hinaus können Schwachstellen bewertet oder die Einhaltung von Lizenzen überprüft werden. Während die Erstellung von SBOM eine Standardpraxis für Anwendungen ist, gibt es eine weitere abzusichernde Infrastruktur, auf der moderne Anwendungen aufbauen: Kubernetes. Die Sicherheit der Kubernetes-Infrastruktur wird generell durch Sicherheitsscanner überprüft. Solche Scanner können ähnlich einer SBOM Schwachstellen für Kubernetes-Cluster bewerten, inklusive den Komponenten, aus denen sie bestehen. Analog wird das Ergebnis eines solchen Scans als KBOM bezeichnet.

Arne Jacobsen, Director of Sales EMEA bei Aqua Security, Bild: Aqua Security

KBOM – das Manifest aller wichtigen Komponenten

Kubernetes ist ein wichtiger Bestandteil zwischen vielen anderen grundlegenden Schichten wie Netzwerk, Container-Laufzeit, Cloud-Infrastruktur, Speicher und mehr. Dies macht Kubernetes zu einer wichtigen Komponente, die es abzusichern gilt. Dabei ist Kubernetes sehr komplex und hat viele bewegliche Bestandteile. Die Abbildung und Aufzeichnung der Zusammensetzung von Kubernetes-Clustern über eine KBOM ist somit ein sehr lohnendes Ziel. Ähnlich wie eine Software Bill of Materials (SBOM) ist eine KBOM (Kubernetes Bill of Materials) das Manifest aller wichtigen Komponenten, aus denen ein Kubernetes-Cluster besteht: Control-Plane-Komponenten, Node-Komponenten und Add-ons, einschließlich ihrer Versionen und Images. Anstatt einen bestehenden Cluster nachträglich zu analysieren, können Kubernetes-Installateure ihre Ergebnisse im KBOM-Format melden. Dies entspricht dem Unterschied zwischen der SBOM-Generierung mit SCA und der aus dem Quellcode.

Konzeptionelle Darstellung einer KBOM

Abbildung 1: Konzeptionelle Darstellung einer KBOM mit den wichtigsten Komponenten eines Kubernetes-Clusters: Control Plane, Node und Add-Ons, einschließlich ihrer Versionen und Images.

Vorteile einer KBOM

Eine KBOM gibt detaillierte Antworten auf Fragen wie: „Welche „api-server“-Version wird verwendet?“ „Welche Variante von „kubelet“ läuft auf jedem Knoten?“ oder „Welche Art von Netzwerk-Plugin wird derzeit verwendet?“ Eine KBOM hilft somit Sicherheitsprobleme zu erkennen und zu wissen, wann ein Upgrade der Clusterkomponenten erforderlich ist. Die durch die KBOM-Generierung und das Scannen von Komponenten auf Sicherheitslücken gewonnene Transparenz ist nicht nur für Unternehmen wichtig, die ihre eigenen Kubernetes-Umgebungen betreiben. Auch Unternehmen, die einen verwalteten Kubernetes-Service nutzen, benötigen dieses Maß an Transparenz und Sicherheit, um festzustellen, ob ihre Service-Provider anfällige Komponenten verwenden, die ein Risiko für sie darstellen könnten.

Erstellung einer KBOM

KBOMs können auf unterschiedliche Weise erstellt werden. Im Kubernetes-Ökosystem gibt es verschiedene Tools, die bei der Verwaltung und Verfolgung von Komponentenversionen helfen können. Die in der Community meistgenutzte Lösung ist der Open-Source-Schwachstellenscanner „Trivy“. Trivy beinhaltet seit Anfang 2023 die Generierung von KBOMs und verwendet die Kubernetes-API zur Erkennung des Clusters. Er wurde mit gängigen Kubernetes-Distributionen wie OpenShift, Rancher, minikube und kind getestet. Die Erstellung einer KBOM über ein entsprechendes Tool ist somit an sich nicht sonderlich schwierig. Wichtiger als das Wissen über die Komponenten selbst, ist zu wissen, ob es Schwachstellen gibt, die diese Komponenten betreffen. Denn viele Infrastrukturscanner können nur Fehlkonfigurationen erkennen und die Kubernetes-Komponenten nicht auf Schwachstellen hin analysieren. Die neueste Version von Trivy aus dem November 2023 bietet über die Generierung von KBOMs nun auch Schwachstellen-Scan für Kubernetes-Komponenten an. Nutzer können so einfach eine KBOM für ihre Kubernetes-Umgebung erstellen und diese gleichzeitig nach Schwachstellen scannen. So können sie die Sicherheitsrisiken ihrer Kubernetes-Cluster besser verstehen und das Risiko deutlich reduzieren.

Verwundbarkeiten jedes einzelnen Kubernetes-Clusters, Bild: Aqua Security

Abbildung 2: Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters

Fazit: KBOMs und Schwachstellen-Scans für Kubernetes erhöhen die Sicherheit

Viele Unternehmen machen sich zurecht Sorgen um die Sicherheit von Kubernetes – insbesondere um Schwachstellen und Fehlkonfigurationen. So wie SBOM für die Sicherheit von Anwendungen entscheidend ist, kann eine KBOM für die Sicherheit der Cloud-Infrastruktur entscheidend sein. Mit der Möglichkeit, neben Workloads und Images auch die eigentliche Kubernetes-Infrastruktur zu scannen, erhalten Nutzer nun neue Möglichkeiten, um zu verstehen, wie sich die Sicherheit ihres Clusters im Laufe der Zeit verändert. Die Branche arbeitet aktuell noch an einem vollständigen Kubernetes-Schwachstellen-Scanner. In der Zwischenzeit sollten Unternehmen über entsprechende Tools vollständige KBOMs ihrer Kubernetes-Infrastruktur erstellen und sie auf Schwachstellen scannen – und so das Sicherheitsrisiko ihrer Kubernetes-Cluster enorm reduzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 23.03.2021
Digitalisierung: Sechs Bausteine für ein souveränes Europa