Category Archives: Ethik

Studie: Jeder zweite Deutsche ärgert sich über ständig wiederkehrende Aufgaben im Büro

Lange Excel-Tabellen oder ermüdendes Datenmanagement: Es gibt so manche Aufgabe im Büro, die sich Tag für Tag wiederholt, und viel Zeit frisst. Die deutschen RPA-Experten von Another Monday haben jetzt gemeinsam mit den Meinungsforschern von YouGov eine Umfrage zu den größten Zeitfressern im Büro gestartet.

Ein zentrales Ergebnis: Jeder zweite deutsche Büromitarbeiter (51 Prozent) ist verärgert über sich ständig wiederholende Aufgaben bei der Arbeit. Fast ein Drittel (30 Prozent) ist zudem der Meinung, dass das eigene Potenzial im Büro nicht ausreichend ausgeschöpft werde. Wer lästige und repetitive Aufgaben hingegen an Software-Roboter abgibt, kann sein Potenzial besser nutzen und erhält mehr Zeit für kreativere und produktivere Aufgaben.

Die YouGov-Umfrage, die im Februar durchgeführt wurde, kommt zu weiteren spannenden Ergebnissen. So gaben 58 Prozent der Befragten, also nahezu sechs von zehn Interviewten, an, dass sie zu viel Zeit mit zeitfressenden Aufgaben verbringen würden. Die vertane Zeit würden 36 Prozent dafür lieber mit kreativeren Aufgaben füllen, 28 Prozent würden sie lieber ihren Kunden und wichtigen Kundenbelangen widmen.

Dies zeigt eindrücklich, dass sich deutsche Mitarbeiter oft mehr Zeit für wirklich sinnvolle, spannende und wertsteigernde Aufgaben wünschen, sie aber im Büro zu viele Stunden mit Dingen verbringen, die wenig Mehrwert zu haben scheinen und besser von Software-Robotern abgedeckt werden könnten.

Dies gilt insbesondere für administrative Aufgaben. In der Umfrage sagten 52 Prozent der Befragten, dass diese sehr viel Arbeitszeit wegnehmen würden. Egal ob in Finanzwesen, HR, Kundenservice, Einkauf oder Logistik: Software-Roboter können wiederkehrende und für Mitarbeiter oft lästige Aufgaben übernehmen, Abläufe deutlich beschleunigen und so Freiräume für mehr Produktivität schaffen.

Ideen, das Zeitmanagement zu verbessern

Mithilfe von RPA lassen sich unterschiedlichste regelbasierte und strukturierte Geschäftsprozesse automatisieren. Software-Roboter übernehmen Aufgaben und Abläufe und greifen dabei auf die Interfaces bestehender IT-Applikationen und Systeme zurück.

Die RPA-Technologie schafft dank Automatisierung Freiraum für eine bessere Wertschöpfung und bietet die Option, den Mitarbeitern mehr kreative oder strategische Aufgaben entsprechend ihren individuellen Qualifikationen zu übertragen. Egal, ob es sich um industrielle Fertigung oder Service- und Dienstleistungsprozesse handelt: Nahezu jede repetitive und zeitraubende Aufgabe in Unternehmen bietet sich für eine Automatisierung durch Robotic Process Automation an.

Ein  Vorteil von RPA ist zudem, dass sich die Technologie mit kleinstmöglichem Aufwand, schnell und einfach in die vorhandenen Applikationen einbetten lässt. Eine komplizierte Integration lässt sich so umgehen.

Hans Martens, Gründer und Geschäftsführer von Another Monday, erläutert: „Unsere Umfrage hat eindrücklich gezeigt, wie frustrierend und ärgerlich repetitive Aufgaben für deutsche Büromitarbeiter sind. Und nicht nur das: Sie kosten auch viel Geld. Mit Another Monday können Firmenlenker Abhilfe schaffen.“

 Gefahr offensichtlich unterschätzt: Illegaler Onlinehandel mit gehackten Daten boomt

Thorsten Krüger ist Director Regional Sales bei Gemalto

Thorsten Krüger ist Director Regional Sales bei Gemalto

Kommentar von Thorsten Krüger, Director Regional Sales bei Gemalto:

Aktuell macht ein Bericht über 620 Millionen angebotene Zugangsdaten die Runde, welche im Darknet für weniger als 20.000 US-Dollar angeboten werden. Trotz neuer Vorgaben wie der Datenschutz-Grundverordnung (DSGVO) scheint die Lage nicht besser zu werden.

Besonders kritisch ist, dass gerade beim Thema von persönlichen Informationen bekannte Best Practices nicht umgesetzt werden. Drei Schlüsse sind besonders wichtig:

Schutz von Accounts nur durch Passwörter ist nicht mehr zeitgemäß

in vielen Organisationen werden Zugänge nur durch Kennwörter geschützt. Zudem wird den Nutzern die Wahl des Passwortes überlassen. Diesen Faktor planen die Kriminellen mit ein. Die Hintermänner bewerben im Beispiel Credential-Stuffing-Attacken. Hierbei werden E-Mail-Passwort-Pärchen bei unterschiedlichen Online-Plattformen ausprobiert, obwohl der Bezug zum Anbieter erstmal nicht besteht. Durch die Automatisierung der Angriffe und die Fahrlässigkeit bei der Nutzer lassen sich so weitere Accounts übernehmen.

Das Bundesamt für Sicherheit in der Informationstechnik spricht sich in seinem aktuellen Lagebericht für den Einsatz von Authentifizierung mit mehreren Faktoren aus: „Eine sichere Zwei-Faktor-Authentisierung schafft hier Abhilfe. Dabei werden statt einem Faktor zwei für die Authentisierung verwendet.“ Ein zweiter Faktor ist traditionell eine Smart Card, kann aber auch über ein PushTAN über das Mobiltelefon erfolgen. Entsprechende Angebote gibt es für Organisationen jeglicher Größe, aber auch für den privaten Gebrauch. Trotz des Sicherheitsvorteils setzen immer noch zu wenige Unternehmen auf diese Technologie.

Unzureichende Anwendung von starker Verschlüsselung

Beim genannten Vorfall waren die Passwörter teilweise im Klartext gespeichert. Einige Informationen waren mit dem schon seit Jahren als unsicher gelten Algorithmus MD5 verschlüsselt. Sicherheitsexperten sowie das BSI sind von den Vorteilen von Kryptographie überzeugt, warnen aber auch vor dem Versagen der Schutzwirkung, falls diese unsauber implementiert wird. Grundsätzlich sollten alle Informationen nur verschlüsselt gespeichert werden. Die Mechanismen sollten dem Stand der Technik entsprechen. Besonders das Schlüsselmaterial muss verwaltet und geschützt werden, denn Verschlüsselung steht und fällt mit dem richtigen Umgang der Keys.

Unternehmen fokussieren sich zu einseitig auf Perimetersicherheit

Einige der Opfer konnten nicht durch die betroffenen Portale vorgewarnt werden. Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzvorfällen ist kein Zufall. Viele Firmen sind immer noch zu sehr auf die Endpunkte und die Außenbereiche ihrer Netzwerke fixiert. Dabei warnt das BSI bereits seit 2016 und spricht von „Assume the Breach“. Genau weil sich durch IoT, Cloud Computing und BYOD immer neue Angriffsvektoren auftun, müssen IT-Teams damit rechnen, dass es Kriminellen gelingt, in ihre Netzwerke einzudringen. Deshalb müssen IT-Entscheider Prozessen und Mechanismen implementieren, die auch im Fall der Fälle Informationen schützen.

Fazit

Es fehlt nicht an Awarness und Wissen um mögliche Gefahrenherde. Schlagzeilen über immer größere Datenschutzverletzungen gibt es immer wieder und spätestens seit der Anwendbarkeit der DSGVO stehen Organisationen unter Zugzwang. Es ist daher umso überraschender, dass bei den grundlegenden Mechanismen so nachlässig gehandelt wird. Das Beispiel verdeutlicht, dass es bei elementaren Standardvorkehrungen wie durchgehend starker Kryptografie mit passendem Schlüsselmanagement und Multi-Faktor-Authentifizierung noch viel Handlungsbedarf besteht.

Terminhinweis: Medien-Erlebnis pur – beim MPE-Event – in der whiteBOX in München (11.03.2019 / München)

scheinwerfer-media-connect-schwarzJedes Jahr veranstaltet Monika Freifrau von Pölnitz von und zu Egloffstein (MPE) den Medien-Networking-Event – MPE-Media-Connect. Dort verbindet sie Teilnehmer aus den Medien, Hörfunk, Musik, TV, Film, Schauspiel, Verlag, Presse, Fotografie, PR, Digitalisierung, Agenturen, so auch Medien-Interessierte.

Beim Start des MPE-Media-Connect vor zwei Jahren – fand die Veranstaltung bei International Film Partners auf dem Bavaria Filmgelände statt – und war sofort ein voller Erfolg. Und im vergangenen Jahr suchte die Veranstalterin die wunderbare Eventlocation – das neue Steigenberger Hotel in München – hierfür aus.

Die vielen begeisterten Teilnehmer waren schon gespannt, in welcher Location es am 11. März 2019 sein wird. Es könnte kein idealerer Ort – als die whiteBOX in München – hierfür ausgesucht werden. Denn dort kommen gemeinsam mit dem Werksviertel und dem entstehenden Konzerthaus viele Medien-, Kunst- und Kulturrichtungen zusammen.

Das Medienprogramm 2019

In dieser Form stellte Monika Freifrau von Pölnitz-Egloffstein auch ihr spannendes Medien-Programm für den März 2019 zusammen.

Christine Mantel, Projektleiterin Konzerthaus – Staatliches Bauamt München, wird einen interessanten Kurzvortrag über das dort entstehende Konzerthaus halten.

Josef Glasl, Geschäftsführer URKERN – Gesellschaft für Urbanes, stellt das inspirierende, aktive und vielseitige Werksviertel vor.

whiteBOX_

Und Dr. Martina Taubenberger, Geschäftsführerin der whiteBOX, wird die faszinierende whiteBOX München präsentieren.Die whiteBOX 

„Vernetzungskarten“ für perfektes Networking

Zusätzlich zu den inspirierenden Kurzvorträgen wird es die persönliche Medien-Vernetzungskarte von MPE für jeden der Teilnehmer geben. Auf diese Weise lernen die Gäste des Abends viele passende und meist wertvolle Kontakte kennen, da sich MPE schon zwei Wochen vor dem Event Gedanken macht, wen sie bei der Veranstaltung einander vorstellen möchte.

Am Ende der Veranstaltung werden die Teilnehmer noch eine exklusive Führung durch das Werksviertel und die whiteBOX erleben.

Die NIXDORF Kapital AG und Dagmar Nixdorf, das CENTURY 21 Immo-Haus München und Achim Stark, die Curt Wills-Stiftung, Wirsing Hass Zoller Rechtsanwälte Partnerschaft mbB und Dr. Michael Zoller, so auch die whiteBOX und Dr. Martina Taubenberger werden dieses Jahr die Unterstützer der Medien-Networking-Veranstaltung sein.

Auch werden weitere Resorts, Unternehmen, Verlage und einige mehr schöne Dinge in das Goodybag geben, das am Ende des Abends den Teilnehmern mitgegeben wird. Darunter werden die ARTMUC, die BAR LEHEL, der ZEIT Kunstverlag, die SIXT SE, die Bavaria Filmstadt und einige mehr sein.

Viele besondere Kontakte haben sich schon in über 20 Jahren auf den MPE-Events ergeben. Auch dieser MPE-Event – MPE-Media-Connect – wird wieder viele Menschen miteinander verbinden, die ohne diese Veranstaltung und das persönliche Networking von MPE nicht zusammengefunden hätten.

Mehr dazu: www.mpe-poelnitz-egloffstein.com

info@mpe-poelnitz-egloffstein.com

DSVGO: Die Hälfte sieht keinen Einfluss auf die Sicherheit ihrer Daten im Internet

Seit letztem Jahr gilt die Datenschutz-Grundverordnung, kurz DSGVO. Die Deutschen sehen die Auswirkungen auf die Sicherheit der eigenen Daten im Internet eher kritisch. Über die Hälfte (56 Prozent) gibt an, dass die DSGVO keinen Einfluss auf die Sicherheit ihrer Daten im Internet hat. Nur 13 Prozent sind der Meinung, dass die DSVGO die Sicherheit der eigenen Daten im Internet verbessert hat. Fast jeder Dritte (32 Prozent) ist sogar der Ansicht, dass die DSGVO die Benutzerfreundlichkeit des Internets verschlechtert hat.

Dies ist das Ergebnis einer Analyse des internationalen Marktforschungs- und Beratungsinstituts YouGov, für die 2.055 Personen ab 18 Jahren vom 25. bis 29. Januar 2019 mittels standardisierter Online-Interviews repräsentativ befragt wurden.

Nicht alle Befürworter sehen Nutzen der DSGVO im Internet

Unter den Befürwortern der DSVGO finden zwar zwei von fünf Befragten (38 Prozent), dass sich die Sicherheit ihrer Daten verbessert hat, ein höherer Anteil (43 Prozent) findet allerdings, dass die DSVGO keinen Einfluss auf die Sicherheit ihrer Daten im Internet hat. Die Ablehner der DSVGO beklagen besonders die Verschlechterung der Benutzerfreundlichkeit im Internet (60 Prozent) und dass die Datenschutz-Grundverordnung keinen Einfluss auf die Sicherheit der Daten im Netz hat (73 Prozent).

Die DSGVO spaltet Deutschland

Jeder Dritte (33 Prozent) beurteilt die neue Datenschutz-Grundverordnung alles in allem negativ. Jeder Vierte beurteilt sie alles in allem positiv (28 Prozent). 27 Prozent sind unentschlossen, ob sie die DSVGO nur positiv oder negativ beurteilen sollen.

Smartphone, Jobticket, Dienstwagen: So werben Arbeitgeber um neue Mitarbeiter

Technik der neuesten Generation, freie Fahrt mit Bus und Bahn und selbstbestimmtes Arbeiten: Um Bewerber für sich zu begeistern, lassen sich Arbeitgeber in Zeiten des verschärften Fachkräftemangels einiges einfallen. Knapp jedes zweite Unternehmen (49 Prozent) will potenzielle Mitarbeiter mit der jüngsten Generation von Smartphone, Tablet oder Computer locken.

Das ist das Ergebnis einer repräsentativen Befragung von 855 Personalverantwortlichen und Geschäftsführern von Unternehmen aller Branchen. Mit Abstand die populärste Maßnahme zur Personalgewinnung sind demnach Weiterbildungsmaßnahmen, auf die zwei von drei Unternehmen (64 Prozent) setzen. Dahinter folgt – auf einer Stufe mit der Ausstattung mit Top-Geräten – das Angebot von Jobtickets für den öffentlichen Nahverkehr (49 Prozent). „Der Wettbewerb um die besten Köpfe spitzt sich weiter zu, in vielen Berufen herrscht Fachkräftemangel.

Arbeitgeber stellen sich darauf ein und versuchen, neue Mitarbeiter mit Weiterbildungen, Zusatzleistungen und einem attraktiven Arbeitsumfeld zu locken“, sagt Bitkom-Präsident Achim Berg. „Gerade jüngeren Bewerbern ist es wichtig, sich im Job persönlich weiterentwickeln und die Arbeit flexibel gestalten zu können.“

Jedes vierte Unternehmen wirbt mit flexibler Arbeitszeitgestaltung

Viele Unternehmen versuchen, das Arbeiten für Neuankömmlinge so angenehm wie möglich zu machen. 37 Prozent der Arbeitgeber werben mit einer lockeren Arbeitsatmosphäre mit Gemeinschaftsgefühl. Jedes vierte Unternehmen (26 Prozent) bietet neuen Mitarbeitern eine flexible Arbeitszeitgestaltung, wie Vertrauensarbeitszeit oder Homeoffice. Knapp ebenso viele (24 Prozent) buhlen mit speziellen Mitarbeiter-Events, wie aufwändigen Weihnachtsfeiern oder Sommerfesten, um neues Personal.

Gesundheitsleistungen, Altersvorsorge und Sabbaticals spielen geringe Rolle

Nur ein geringer Teil der Arbeitgeber versucht neue Mitarbeiter mit betrieblichen Zusatzleistungen zur Altersvorsorge (13 Prozent), Maßnahmen zur Gesundheitsförderung (12 Prozent) und Möglichkeiten für berufliche Auszeiten (9 Prozent) zu gewinnen.

Dienstwagen, Top-Gehälter und Boni bieten die wenigsten

Ein Dienstwagen ist als Argument für eine Vertragsunterzeichnung die absolute Ausnahme. Gerade einmal 7 Prozent der Unternehmen wollen damit neue Mitarbeiter gewinnen. Abgeschlagen am Ende der Skala rangieren überdurchschnittliche Gehälter, mit denen 3 Prozent der Unternehmen um neue Mitarbeiter werben. Lediglich 1 Prozent ist bereit, ein Handgeld zu zahlen, also einen einmaligen Bonus bei Stellenantritt, etwa mit Unternehmensanteilen oder entsprechenden Optionen.

 Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverbands Bitkom durchgeführt hat. Dabei wurden 855 Geschäftsführer und Personalverantwortliche von Unternehmen ab drei Beschäftigten befragt. Die Fragestellung lautete: „Welche Maßnahmen ergreifen Sie, um neue Mitarbeiter für Ihr Unternehmen zu gewinnen?“ Die Umfrage ist repräsentativ für die Gesamtwirtschaft.

Fünf KI-Trends für 2019

KI wird auch 2019 eine maßgebliche Rolle spielen. IntraFind Software ist Spezialist für Enterprise Search und Natural Language Processing, die auch auf KI und modernsten Machine-Learning-Verfahren basieren. Folgende fünf KI-Trends werden nach Ansicht des Unternehmens das kommende Jahr besonders prägen:

KI wird demokratischer.

In den vergangenen Jahren wurden in vielen Bereichen der KI wiederholt Durchbrüche erzielt. Viel zu wenige davon haben aber bislang den Alltag moderner Wissensarbeiter verändert. 2019 werden KI-Methoden nun aber demokratischer in Unternehmen zur Verfügung stehen. Mehr Mitarbeiter werden davon profitieren und Zugang zu KI-Anwendungen haben. Bisher wurden KI-Anwendungen außerdem vor allem durch die Brille der Forscher entwickelt. Inzwischen fließt nun auch immer mehr das Feedback der Anwender mit ein.

Machine Learning übernimmt mehr Aufgaben.

Machine-Learning-Verfahren, die in Unternehmenssoftware zum Einsatz kommen, entlasten Mitarbeiter zunehmend von Standardaufgaben und ermöglichen zahlreiche neue Anwendungsfälle und Geschäftsmodelle. So kann etwa Textanalysesoftware als intelligente Lesehilfe eingesetzt werden, indem sie die wichtigsten Entitäten und Passagen in seitenlangen Dokumenten selbstständig erkennt, extrahiert und übersichtlich auflistet. Davon profitieren vor allem Mitarbeiter, die es täglich mit einer Vielzahl an Texten zu tun haben. Die Unternehmen werden effizienter und sparen Ressourcen.

Conversational Systems assistieren bei der Arbeit.

Der Markt für NLP-basierte Software (Natural Language Processing) wächst. Das sorgt auch für Auftrieb bei den so genannten „Conversational Systems“, die als virtuelle Assistenten die Arbeit erleichtern. Beim Kundensupport werden zum Beispiel Anfragen zunehmend über virtuelle Assistenten aufgenommen, mit FAQ-Datenbanken abgeglichen und anschließend beantwortet. Auch im Unternehmen selbst kommen diese Assistenten als „Virtual Enterprise Assistant“ zum Einsatz. Sie verstehen und sprechen natürliche Sprache und sind in der Lage, bei Anfragen Informationen aus unterschiedlichen Datenquellen einzubeziehen.

Anwendungsgebiete werden vielfältiger und userbezogener.

KI-Anwendungen unterstützen generell tiefgreifendere Funktionen und kommen bei Unternehmen zunehmend in spezialisierten Anwendungsfällen zum Einsatz, etwa bei Vertragsanalysen im Rahmen von Due-Diligence-Prüfungen. Sie helfen dabei, konkrete Probleme zielgerichtet zu lösen und sind durch optimierte Lernverfahren in der Lage, sich noch besser an das Verhalten des Nutzers anzupassen.

Graphdatenbanken breiten sich aus.

Mit Graphdatenbanken lassen sich Daten intelligent verknüpfen. Damit liefern sie die technologische Grundlage für zahlreiche Anwendungen, mit denen Unternehmen die Vernetzung von Informationen automatisiert auswerten können – und kommen deshalb immer häufiger zum Einsatz. So erleichtern sie es, Experten im Unternehmen für bestimmte Aufgaben zu identifizieren, oder ermöglichen es, Zusammenhänge zu einem bestimmten Thema in Form von Knowledge-Graphen aufzuzeigen.

„Es gibt leider immer noch Anbieter, die beim Thema Künstliche Intelligenz falsche Erwartungshaltungen beim Nutzer wecken“, sagt Franz Kögl, Vorstand  IntraFind Software. „KI kann keine Wunderdinge vollbringen, aber Unternehmen sehr wohl an vielen Stellen helfen. Sie kann ihnen Einblicke ermöglichen, die dem menschlichen Auge entgehen würden, ihre Mitarbeiter von Standardaufgaben entlasten und ihnen den Zugang zu benötigten Informationen erleichtern. Davon werden die Unternehmen im nächsten Jahr verstärkt profitieren.“

Angriffe auf Krankenhäuser über E-Mails: Das Problem ist Teil der Lösung

AskulapKnapp eineinhalb Wochen musste das Klinikum Fürstenfeldbruck ohne seine 450 Computer auskommen und war auch nicht per E-Mail, sondern nur noch telefonisch erreichbar. Ursache ist wohl ein E-Mail-Trojaner, der über einen Anhang ins System eingedrungen ist. Inzwischen ermittelt die Zentralstelle Cybercrime Bayern, und das Klinikum hat alle Bankkonten sperren lassen.

Wie in anderen bekannt gewordenen Fällen auch spielen E-Mails eine zentrale Rolle, sie sind nach wie vor das Haupteinfallstor für Schad-Software aller Art. Das ist Teil des Problems und kann Teil der Lösung sein – wenn Einrichtungen, Unternehmen und Behörden die Art ihrer Kommunikation ändern. Der Vorfall zeigt, dass die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit unabdingbar ist, aber nicht isoliert betrachtet werden sollte.

Schadsoftware in E-Mails

Berichten zufolge fiel der erste Rechner des Krankenhauses aus, vermutlich nachdem ein E-Mail-Anhang mit einer darin versteckten Schadsoftware geöffnet wurde, danach hätten immer mehr Abteilungen Probleme gemeldet. Zwar ist die Versorgung der Patienten nach Angaben der Klinikleitung gewährleistet, allerdings hatte sich das einzige Krankenhaus in dem westlich von München gelegenen Landkreis von der Rettungsleitstelle abgemeldet, damit Ambulanzen nur noch lebensgefährlich verletzte Menschen dorthin brachten.

Horrorszenario: Komplettausfall einer Klinik-IT

Es ist zu vermuten, dass dahinter eine Infektion mit der Schad-Software Emotet steckt: Die auf Passwort-Diebstahl und Onlinebanking-Betrug spezialisierte Malware wird derzeit verstärkt in Rechnungen per E-Mail verbreitet. Egal ob gefälschte Rechnungen oder Bewerbungen – die Kriminellen versuchen immer, den Empfänger einer E-Mail dazu zu bringen, einen Dateianhang zu öffnen und auszuführen oder Links zu infizierten Webseiten anzuklicken.

Überhaupt spielt E-Mail hier eine zentrale Rolle: Sie hat sich speziell im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar – und andererseits seit langem ein bevorzugtes Angriffsziel von Kriminellen, Hackern und Wirtschaftsspionen. Wie auch das aktuelle Beispiel zeigt, lauern die Gefahren in der Art, wie Mitarbeiter kommunizieren. Daher kommt es für IT-Verantwortliche darauf an, die Angriffsfläche zu verringern.

KRITIS: Ein kritischer Blick auf Kommunikationsprozesse ist nötig

Bisheriger „Höhepunkt“ ähnlicher Fälle war die „WannaCry“-Attacke im Mai 2017, bei der mehr als 300.000 Rechner in rund 150 Ländern infiziert worden waren. Getroffen hatte es Unternehmen in der Logistik, der Telekommunikation und dem Gesundheitswesen: In Großbritannien kam es beispielsweise zu erheblichen Störungen in der medizinischen Versorgung, während hierzulande Anzeigetafeln und Fahrkartenautomaten auf Bahnhöfen ausfielen.

Ein Jahr vorher machte das Lukas-Krankenhaus im nordrhein-westfälischen Neuss Schlagzeilen, als ein Erpressungstrojaner alle IT-Systeme lahmlegte. Drastischer hätte uns die Verwundbarkeit der digitalen Infrastruktur wohl kaum vor Augen geführt werden können. Wie eine Studie der Unternehmensberatung Roland Berger ergab, wurden knapp zwei Drittel der deutschen Krankenhäuser (64 Prozent) schon einmal Opfer eines Hacker-Angriffs. Es ist auffällig, dass sehr oft Systeme in so genannten „kritischen Infrastrukturen (KRITIS)“ infiziert wurden. Dazu zählen die großen Krankenhäuser, die in schwerwiegenden Fällen der Meldepflicht unterliegen.

Doch gerade hier tun sich die Betroffenen schwer, die immer wieder erhobenen Forderungen nach dem sofortigen Aktualisieren von Software umzusetzen. Vielmehr ist ein Perspektivenwechsel nötig – weg von der IT und hin zu den in vielen Unternehmen und Behörden vorherrschenden Kommunikationsprozessen.

Wie Einrichtungen, Behörden und Unternehmen die Angriffsfläche verringern können

Der aktuelle Vorfall zeigt erneut, dass die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit in Form von regelmäßigen Schulungen unabdingbar ist, aber nicht isoliert betrachtet werden sollte.

Neben Informationen, die Angreifer aus den sozialen Medien ziehen, sind auch jene aus unverschlüsselten E-Mails ein Risiko. Und selbst bei verschlüsselten E-Mails (S/MIME und PGP) ist noch im Klartext ersichtlich, wer mit wem über welches Thema kommuniziert – über die Betreffzeile. Dies kann ausreichen, um einem der beiden Kommunikationsteilnehmer weitere Informationen zu entlocken, was für die Vorbereitung eines Social-Engineering-Angriffs genügen kann.

Hier bieten spezielle Software-Lösungen Schutz, mit deren Hilfe IT-Verantwortliche die Angriffsfläche von E-Mails verringern und so Kriminellen die Arbeit erheblich erschweren können. Eine spezielle Authentifizierung sowie das verschlüsselte Übertragen der Inhalte machen dann das Mitlesen von E-Mail-Korrespondenz unmöglich. Wenn auch die Betreffzeile verschlüsselt ist, können Angreifer nicht erkennen, wer mit wem worüber spricht und daraus Rückschlüsse für Social-Engineering-Angriffe ziehen. Zusätzlich wird es so äußerst schwer, Schad-Software einzuschleusen – eine Man-in-the-Middle-Attacke auf dem Weg einer Nachricht von A nach B, bei der die Zahlungsinformationen des eigentlichen Empfängers durch die der Kriminellen ersetzt werden, ist nahezu unmöglich.

Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau.

Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau.

Autor: Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt. Die inhabergeführte befine Solutions AG entwickelt und vertreibt Softwarelösungen für Unternehmen, die damit ihre Prozesse unterstützen, optimieren und überwachen können. Hauptsitz und Entwicklungsstandort des im Jahr 2000 gegründeten Unternehmens mit über 50 Mitarbeitern ist Freiburg im Breisgau. Vertriebsstandorte gibt es in Großbritannien sowie den Niederlanden, eine Tochtergesellschaft in den USA.

Digital Networking vom Feinsten: Auch 2018 fanden sich auf den MPE-Events viele Gleichgesinnte

Mandy Ober, Monika v. Poelnitz, Andreas Gänger (v.l.n.r.) (Fotos: Devi Seeliger)

Mandy Ober, Monika v. Poelnitz, Andreas Gänger (v.l.n.r.) (Fotos: Devi Seeliger)

Am Dienstag, 16. Oktober 2018 schloss Monika Freifrau von Pölnitz von und zu Egloffstein (MPE) ihre MPE-Event-Reihe für dieses Jahr 2018 mit einem großartigen MPE-Update Event in den schönen Räumlichkeiten des IntercityHotel München ab.

Die bekannte Networkerin freute sich sehr, die besondere Einladung von Mandy Ober (IntercityHotel München) und Andreas Gänger (Fleming´s Hotels) anzunehmen und mit etwa 130 Teilnehmern aus der Wirtschaft, der Politik, der Medizin, den Medien, der Kunst, der Kultur und der Gesellschaft einen wunderbaren Abend zu erleben. Die Gäste kamen aus ganz Deutschland, aus der Schweiz und aus Österreich, um diesen einmaligen Networking-Event zu erleben.

Monika Freifrau von Pölnitz-Egloffstein nannte in ihrer Begrüßung die 22 Jahre MPE-Update – und auch die Vielfältigkeit der MPE-Events. Seit fünf Jahren gibt es den Medien-Networking-Event, den Single-Event, den Kunst-Networking-Event, den Manager-Event und viele mehr. Jeder Event ist anders. Nun wird es im kommenden Jahr eine neue Veranstaltung – einen Event für Hundeliebhaber – geben. Dies war für die vielen Gäste besonders erfreulich, da einige Hundebesitzer am MPE-Update teilnahmen.

Dunja Siegel und Matthias v. Richthofen (Fotos: Devi Seeliger)

Dunja Siegel und Matthias v. Richthofen (Fotos: Devi Seeliger)

Auch ging die Veranstalterin auf das sensationelle Jahr 2018 ein. Es begann im Januar mit den Vorträgen von Prof. Dr. Uwe Nixdorff, Stefan Seyler und Dr. Andreas Färber in der Deutschen Apotheker- und Ärztebank München. Im März war sie mit ihrem MPE-Art-Circle Event und wieder über 100 Teilnehmern auf der Kunst und Antiquitäten München bei Andreas Ramer und Maximilian Lerch. Hier gab es die Vernetzungskarten zu Kunst-Themen – dadurch fanden sich einige Teilnehmer aus der Kunstszene.

Es folgte im Mai der Event MPE-Media-Connect im Steigenberger Hotel München mit interessanten Vorträgen und Medien-Vernetzung mit den handgeschriebenen MPE-Vernetzungskarten. Im Juli der Event MPE-Visit im INFINITY MUNICH – dort besichtigten die Teilnehmer das Resort und hatten einen wunderbaren Gourmet- und Networking-Abend. Und nun der Event MPE-Update im IntercityHotel München – um das Jahr 2018 abzurunden.

Das IntercityHotel München bot im Anschluss an die Reden der Gastgeber ein köstliches Gourmet-Erlebnis, herrliche Drinks, einen zuvorkommenden Service und dazu sorgte der Discjockey für eine sensationelle, musikalische Stimmung.

MPE-Update ist für die „persönliche Vernetzungskarte zu allen Themen“ bekannt, so auch die genaue Teilnehmerliste mit Vernetzungsnotizen. Der Organisatorin ist es beim MPE-Update ein großes Anliegen, jeden ihrer Gäste schon vor dem Networking-Event durch E-Mail-Austausch oder persönliche Begegnungen näher kennen zu lernen, um sie dann auch am MPE-Update-Abend ideal zu vernetzen. Denn dies macht den persönlichen Event von MPE aus. Jeder auf ihrer Veranstaltung soll sich herzlich willkommen und wohl fühlen.

Eine Vielzahl von Kontakten und Themen standen auf den einzelnen Vernetzungskarten vom MPE-Update. Einige Tage vor dem Event hatte MPE bereits mit dem Schreiben der persönlichen Karten begonnen. Selbst registrierte Teilnehmer, die kurzfristig wegen Krankheit nicht dabei sein konnten – erhielten danach noch ihre Vernetzungskarte und die Teilnehmerliste, so dass auch sie in das Networking eingebunden werden.

Bis fast zwei Uhr nachts ging der stimmungsvolle Networking-Abend. Und die Gäste konnten zum Schluss der Veranstaltung ein schönes Goodybag mit vielen überraschenden Präsenten von Unternehmen, Resorts, Restaurants, Verlagen, TV-Sendern mit nach Hause nehmen.

Tatyana von Leys, Wolfgang von Zoubek, Fiona Baronin Loeffelholz von Colberg (v.l.n.r.) (Fotos: Devi Seeliger)

Tatyana von Leys, Wolfgang von Zoubek, Fiona Baronin Loeffelholz von Colberg (v.l.n.r.) (Fotos: Devi Seeliger)

Auch nach dem Verlassen des Events hält das Vernetzen noch lange an. Denn im Anschluss gehen die Teilnehmer ihre Vernetzungskarten nochmal in Ruhe durch oder lesen die Teilnehmerliste. Falls Gäste auf der persönlichen Vernetzungskarte oder in der Liste stehen, mit welchen man in Kontakt kommen möchte – ist die Hemmung nicht so groß, da es von Seiten MPE vorgeschlagen wird, noch in Verbindung zu treten. Denn zum Networking ist dieser Event da.

Monika Freifrau von Pölnitz-Egloffstein freute sich besonders, dass einige Unternehmen wieder die MPE-Events unterstützten – die immomedia Immobilien GmbH mit Brigitte Kirschner und Wolfgang Kirschner, die Pink Tree Communications GmbH mit Stephan Ley, ZISSKA & LACHER Buch- und Kunstauktionshaus GmbH & Co. KG mit Wolfgang Lacher, die pmOne AG mit Peter Oberegger und das IntercityHotel München mit Mandy Ober und Andreas Gänger.

Der nächste MPE-Event findet im Januar 2019 statt – wir freuen uns schon auf die vielen, persönlichen Veranstaltungen im Neuen Jahr – so auch sind wir auf den neuen Event für die Hundeliebhaber gespannt.

 Mehr zu den MPE-Events und zu MPE-Update: www.mpe-poelnitz-egloffstein.com E-Mail: info@mpe-poelnitz-egloffstein.com

 

 

 

Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen

KryptowährungenMit prominenten Opfern wie Tesla, Avira und Gemalto tauchte Kryptojacking in der ersten Jahreshälfte 2018 mehrmals in den Schlagzeilen auf. Bei dieser Angriffstechnik kapern Hacker fremde Geräte um Kryptowährungen zu schürfen.

Kryptowährungen werden durch das Lösen komplexer mathematischer Probleme generiert. An sich ein legitimer Vorgang, allerdings erfordert dieser eine hohe Rechenleistung und ist damit überaus ressourcenintensiv. Für Kriminelle ist es daher lukrativer, das Schürfen widerrechtlich auf fremde Infrastrukturen auszulagern. Das Kapern von Geräten und Netzwerken und die Bündelung zu einem Botnetz maximiert ihre Schürfkapazitäten und beschert einen höheren Gewinn, da sie diese Ressourcen nicht selbst kostenpflichtig unterhalten müssen.

Ebenfalls attraktiv sind die damit verbundenen geringeren Konsequenzen: Fälle von Kryptojacking, insbesondere in den USA, werden von den Behörden weniger aggressiv verfolgt als Angriffe mit Malware oder Ransomware, wo das Schadensausmaß deutlich höher ist.

Wenn Kryptojacking auf die Cloud trifft

Ein zunehmender Trend ist die Kombination dieser Praxis mit Cloudjacking – die unerlaubte Nutzung einer Cloudanwendung durch den Diebstahl von Zugangsdaten. Kryptojacking in der Cloud bietet einen erheblich beschleunigten Schürfprozess. Öffentliche Cloud-Plattformen, insbesondere IaaS -Plattformen, sind überaus beliebte Ziele für Kryptojacker, da die Umgebung neben einer enormen Rechenleistung auch vielfältige Möglichkeiten bietet, unentdeckt zu bleiben.

Im Fall von Tesla stellte sich heraus, dass einige der Amazon Web Services (AWS)-Instanzen des Unternehmens für das Schürfen von Kryptowährungen missbraucht worden waren. Die Angreifer ließen gleich mehrere Schürf-Programme laufen und versteckten die IP-Adressen hinter dem Content Delivery Network CloudFlare. Mit dieser Maßnahme konnten sie ihre Aktivitäten unbemerkt vor herkömmlichen Firewall- und Sicherheitssystemen verdeckt ausüben. Sie drosselten auch absichtlich die Geschwindigkeit der Schürf-Software, um auf Grund der erhöhten Auslastung keinen Sicherheitsalarm auszulösen.

Wie können sich Organisationen schützen?

Das Nachsehen bei Kryptojacking in Verbindung mit der Cloud haben die betroffenen Unternehmen. Welche Höhe die betriebswirtschaftlichen Kosten durch die zusätzliche Belastung ihrer Ressourcen erreichen, ist allerdings individuell unterschiedlich. Dennoch gibt es allgemeine Sicherheitsmaßnahmen, mit denen sich sowohl das Hacking von Cloud-Accounts wie auch Kryptojacking verhindern lassen.

Bewusstsein schaffen: Mitarbeiter sensibilisieren

Einzelne Nutzer stehen zunehmend im Visier der Cyberkriminellen. Da Angriffe mittels Social Engineering eine überaus hohe Erfolgsquote aufweisen, nehmen Cyberkriminelle zunehmend einzelne Nutzer ins Visier. Vor allem Phishing wird häufig genutzt, um Zugriff auf Endgeräte, Netzwerke und Cloudumgebungen zu erhalten. Es genügt bereits ein Mitarbeiter, der auf eine täuschend echt aussehende Nachricht hereinfällt. Mit nur einem Klick wird die in der Nachricht hinterlegte Kryptomining-Software nachgeladen. Mitarbeiter regelmäßig über verschiedene Angriffsvektoren und die damit verbundenen potentiellen Schäden zu informieren, sollte daher fester Bestandteil einer umfassenden Security-Strategie sein. Dies kann beispielsweise in Form von Workshops, im Rahmen eines Memos oder über regelmäßige Meldungen über das Betriebsintranet erfolgen.

Sicherheitsfunktionen des Webbrowsers nutzen

Kryptomining-Software wird nicht nur über Phishing-Nachrichten, sondern auch als so genannte Drive-by-Infektion verbreitet. Dazu wird die Schadsoftware auf populären, gut besuchten Websites, deren Adressen in der Regel nicht auf der Blacklist stehen – wie zum Beispiel von Tageszeitungen und Nachrichtenportalen- hinterlegt. Beim browsen über die Website wird die Kryptojackingsoftware gestartet.

Ein Training der Mitarbeiter greift in diesem Angriffsszenario zu kurz, da die Minigsoftware unbemerkt arbeitet. Eine wirksame Verteidigungslinie kann jedoch durch die Sicherheitsfunktionen des Webbrowsers eingezogen werden: Adblocker, die als Browsererweiterungen zur Verfügung stehen, sind mitunter in der Lage, Kryptomining-Skripte zu erkennen.

Starke Passwörter und Multifaktor-Authentifizierung einrichten

In dem bereits angeführten Beispiel von Tesla wurde berichtet, dass die Angreifer die Umgebung über die Azure Kubernetes-Verwaltungskonsole des Unternehmens infiltrierten, die nicht passwortgeschützt war. Doch auch wenn Passwörter eingesetzt werden, lässt das Sicherheitsniveau häufig zu wünschen übrig. In der Praxis stellt sich immer wieder heraus, dass die Passwörter der Mitarbeiter eine wesentliche Schwachstelle in Unternehmen sind. Für Mitarbeiter ist es umständlich, sich für alle genutzten Programme und Dienste ein eigenes Passwort auszudenken und so nehmen sie meist für alle ein- und dasselbe, das sie sich besonders gut merken können. Dabei könnte allein durch das Verwenden unterschiedlicher, alphanumerischer Passwörter sowie der Einsatz einer Multifaktorauthentifizerung (MFA) im entscheidenden Moment verhindern, dass Cyberkriminelle Kontrolle über Cloud- und IT-Assets erlangen.

Sicherheitspatches und Software-Updates umgehend installieren

Mitunter können auch Schwachstellen in Anwendungen, so genannte Exploits, dazu ausgenutzt werden, um Kryptomining-Software zu installieren. Die Softwarehersteller sowie Anbieter von Sicherheitslösungen veröffentlichen regelmäßig Patches, die vor Malware, die derartige Exploits ausnutzen könnte, schützen. Werden die Patches nicht installiert – was durchaus häufig vorkommt – werden Endpunkte und Cloud-Netzwerke einem unnötigen Risiko ausgesetzt. Insbesondere wenn Mitarbeiter ihre privaten Geräte auch für Geschäftszwecke nutzen, muss sichergestellt werden, dass Software-Updates bei Verfügbarkeit sofort heruntergeladen und installiert werden. Andernfalls können derartige Sicherheitslücken als Angriffsvektor missbraucht werden.

Wirksamen Cloud- und Endgeräteschutz nutzen

Zahlreiche Cloud- und Endpoint-Sicherheitslösungen sind mittlerweile in der Lage, die bekanntesten Kryptomining-Skripte zu erkennen. Das heißt, selbst wenn ein Mitarbeiter unbeabsichtigt auf bösartige Links klickt oder infizierte Websites besucht, können Versuche der Schadsoftware, sich das System zu Nutze zu machen, verhindert werden. Dennoch ist es sinnvoll, wachsam zu bleiben, da Cyberkriminelle ihre Schadcodes kontinuierlich weiterentwickeln, um möglichst unentdeckt zu bleiben.

Datenzentrierte Sicherheitslösungen

Mobile Datensicherheitslösungen helfen dabei, genau zu kontrollieren, was sich auf den Endgeräten befindet, und reduzieren das Risiko von Verstößen. In der neuen Ära des Bring Your Own Device (BYOD) ist das herkömmliche Mobile Device Management (MDM) immer schwieriger durchzusetzen. Allerdings gibt es mittlerweile eine Vielzahl von vollständig agentenlosen Lösungen, die zahlreiche Funktionen von MDM bieten können, jedoch ohne dessen typisch Datenschutz- und Bereitstellungsprobleme genutzt werden können.

Kryptojacking hat im vergangenen halben Jahr einen enormen Aufschwung erlebt. Dies ist vor allem auf das starke Kurswachstum von Kryptowährungen in jüngster Vergangenheit zurückzuführen. Dieses ist derzeit zwar rückläufig, sodass sich auch die Bedrohungslage etwas entspannt – vollständige Entwarnung kann dennoch nicht gegeben werden. Es lohnt sich daher, auf derartige Bedrohungsszenarien vorbereitet zu sein, um die unnötige Belastung der eigenen Infrastruktur und die damit verbundenen Kosten zu vermeiden.

Autor: Michael Scheffler ist Regional Director Central and Eastern Europe bei Bitglass. Bitglass ist ein weltweit tätiger Anbieter einer NextGen-CASB-Lösung mit Sitz im Silicon Valley. Die Cloud-Sicherheitslösungen des Unternehmens bieten agentenlosen Zero-Day-, Daten- und Bedrohungsschutz überall, für jede Anwendung und jedes Endgerät. Bitglass wird finanziell von hochrangigen Investoren unterstützt und wurde 2013 von einer Gruppe von Branchenveteranen gegründet, die in der Vergangenheit zahlreiche Innovationen eingeführt und umgesetzt haben.

Reality Check: Revolutionieren Sprachassistenten unser Einkaufsverhalten?

(Bildquelle: Amazon)

(Bildquelle: Amazon)

„Wie wird das Wetter morgen?“ – „Spiele etwas von den Rolling Stones!“ – „Welche Termine habe ich morgen?“ So oder so ähnlich lauten die häufigsten Anfragen an digitale Sprachassistenten wie Amazon Echo (Alexa). Doch sollte man nicht vergessen, dass Amazon ist in erster Linie eines ist: ein Händler. Deswegen ist Alexa eben nicht nur Meteorologin, DJane und Sekretärin, sondern auch Verkäuferin. Haben die smarten Lautsprecher das Potential, die Welt des deutschen Einzelhandels umzukrempeln? Roger Niederer, Head Merchant Services von SIX Payment Services, macht den Reality Check.

Check 1: Hat das Shopping via Sprachassistenten eine Zukunft?

Einkaufen über Sprachbefehle ist schon heute möglich, auch wenn es bisher nur in relativ bescheidenem Umfang genutzt wird. Jedoch rechnen Experten mit einem beachtlichen Wachstum in den nächsten Jahren. Laut einer Umfrage der Beratungsfirma OC&C Strategy Consultants unter 1.500 Besitzern von Smartspeakern in den USA, wird sich der dortige Markt von zurzeit zwei Milliarden Dollar innerhalb von nur fünf Jahren auf 40 Milliarden ausdehnen.

Bereits heute nutzen 66 Prozent der erwachsenen Amerikaner Sprachassistenten oder Chatbots, 21 Prozent wickeln darüber sogar E-Commerce-Aufgaben wie das Bezahlen von Rechnungen und Online Banking ab; dies zeigt eine aktuelle Studie von Mastercard and Mercator. Für Voice-Shopping – auch Conversational Commerce genannt – spricht, dass es ein schnelleres, bequemeres und nahtloseres Einkaufserlebnis für Verbraucher schafft. Statt zu Tippen und sich durch mehrere Links zu klicken, stellt der Nutzer eine Frage und erhält eine Antwort.

Check 2: Wie wird sich dieser Trend auf deutsche Händler auswirken?

Weltweite Trends gehen an Deutschland nicht vorbei, sie schlagen hier nur etwas später ein. Online-Shopping hat sich bereits vor Jahren etabliert – und wächst mit Amazon an der Spitze immer noch weiter. Laut dem Branchenverband HDE ist Amazon bereits bei 40 Prozent aller Bestellungen im Internet auf irgendeine Art beteiligt. Vor allem der „Marketplace“ wird von Händlern genutzt.

Wenn der Trend zur erweiterten Nutzung digitaler Sprachassistenten anhält, wird Amazon seine führende Rolle im Onlinehandel dadurch eher noch ausbauen. Das sollten Händler hierzulande im Hinterkopf behalten, wenn sie über ihre Online-Strategien für die nächsten Jahre nachdenken.

Check 3: Wettbewerbsverzerrung vorprogrammiert?

Problematisch beim Einkauf über Sprachbefehle ist die Produktauswahl. Sucht ein Kunde in einem traditionellen Online-Shop beispielsweise nach Waschmittel werden ihm die verschiedensten Produkte angezeigt. Wie allerdings gehen Alexa, Siri & Co. mit dem Befehl „Bestelle Waschmittel!“ um? Hier zwei Hinweise, was Händler jetzt tun können, um wettbewerbsfähig zu bleiben:

  • Sprachanfragen neigen dazu, länger zu sein, als getippte Suchanfragen. So fragt ein Kunde vielleicht über Google „Schuhgeschäft Hamburg Altona“, per Sprachbefehl könnte die Anfrage aber so lauten: „Welcher Schuhladen ist jetzt in Hamburg Altona geöffnet?“. Aus diesem Grund ist es wichtig, Geschäft- sowie Produkt- und schließlich auch Bezahlinformationen auf die neue Art der Suche abzustimmen.
  • Amazon und Unternehmen haben bisher mehr als 15.000 sogenannte Skills entwickelt, also „Apps“, die mit Alexa abgerufen werden können. Was anfänglich als Mittel zur Kontaktaufnahme mit Kunden und zur Beantwortung von deren Fragen diente, ist längst über den reinen Kundenservice hinausgewachsen. Bank- und Finanzdienstleister arbeiten derzeit daran, personalisierte Dienste anzubieten, die einen Bezahlvorgang noch einfacher, schneller und bequemer machen, als eine Message zu verschicken. Unter den Banken haben American Express, Capital One und US Bank Skills für Alexa entwickelt, während Barclays, ICICI, ING und OCBC mit Siri von Apple arbeiten.

Fazit: Bequem ist Trend

Neue Technologien setzen sich immer dann durch, wenn sie den Nutzern das Leben erleichtern. Sprachassistenten haben durchaus das Potenzial, das Einkaufsverhalten von Verbrauchern entscheidend zu beeinflussen. Für Händler ist dies sowohl eine Chance, als auch eine Herausforderung. Sie können sich durch die entsprechenden Angebote von der Konkurrenz abheben, müssen allerdings die nötige technische Vorleistung aufbringen und mit dem richtigen Payment Service-Partner eine Vielzahl an bequemen Zahlungsmöglichkeiten bereitstellen. Wenn die Prozesse im Backoffice effizient und zuverlässig laufen, haben Händler Zeit sich auf das zu fokussieren, was wirklich wichtig ist: ein nahtloses Einkaufserlebnis für den Kunden auf allen Absatzkanälen zu schaffen.

Digitale Transformation: It-Verantwortliche in der ethischen Bredouille

Ein Bericht der Österreichischen Nachrichtenagentur APA: Der digitale Wandel kommt schnell, umfassend und mit enormen Umbrüchen. Alle Lebens- und Wirtschaftsbereiche sind betroffen. Eine Unzahl sensibler Daten, der verantwortungsvolle Umgang mit Algorithmen und Co. sowie der Weitblick für gesellschaftliche Auswirkungen – damit sind immer mehr IT-Verantwortliche konfrontiert. … mehr

 

Heikle Dreiecksbeziehung: SamSam, Dark Web und Bitcoin

 

Seit zweieinhalb Jahren werden Unternehmen von einem Schädling terrorisiert, der in ihre Netzwerke eindringt und sämtliche Computer mit einer zerstörerischen Datenverschlüsselnden Malware infiziert: SamSam.

Details über die Attacken, die Opfer, die Methoden und den Ursprung dieser Malware sind seitdem nur schwer aufzudecken. Eines ist aber gewiss: Durch das Erpressen hoher Lösegelder von einer wohl recht kleinen Opfergruppe, die nur sehr widerwillig Einblicke in ihr Unglück gab, bleiben die SamSam Angreifer schwer fassbar – häuften aber ein geschätztes Vermögen von rund 5,9 Millionen US-Dollar an.

Das hat Sophos in seiner kürzlich veröffentlichten Langzeitstudie zu SamSam herausgefunden. Die intensive Untersuchung zeigte aber auch, dass die Cyberkriminellen offenbar vor aller Augen operieren können.

Zugang via RDP

Zugang zu ihren Opfern erhielten die Angreifer via RDP (Remote Desktop Protocol), eine Technologie, die Unternehmen oft einsetzen, damit ihre Mitarbeiter sich remote verbinden können. Wer das Protokoll nutzt, ist allerdings recht einfach über Suchmaschinen wie Shodan aufzufinden. Schwach gesetzte Passwörter machen die Kriminellen mithilfe öffentlich erhältlicher Tools wie nlbrute ausfindig.

Weiterleitung zum Dark Web

Der Ablauf ist immer der gleiche: die Opfer werden „gebeten“ das Lösegeld zu zahlen, den Tor Browser zu installieren (eine modifizierte Version von Firefox, die das Navigieren auf verborgene Services erlaubt), um dann die Webseite der Angreifer zu besuchen und sich die Entschlüsselungs-Software downzuloaden.

Hier gibt es seitens der Kriminellen auch genaue Instruktionen, wie der Bezahlvorgang mit Bitcoins vonstatten gehen soll. Wie alle Bitcoin-Transaktionen sind aber auch diese gut sichtbar und die Zu- und Abgänge können einfach beobachtet werden. Da stellt man sich doch die Frage, wie Cyberkriminelle auf diesem öffentlichen Spielfeld so unbehelligt operieren können?

Bezahlung via Bitcoins

Das Vertrauen der Nutzer zur weltweit beliebtesten Cryptowährung Bitcoin liegt in ihrer Seriösität – denn alle Transaktionen liegen in der öffentlich und jederzeit einsehbaren Blockchain. Die Nutzer sind dort mit einer oder mehreren Emailadressen registriert und jede Transaktion von einer zu einer anderen Adresse wird verzeichnet, aber: wer genau welche Adresse hat oder vielleicht sogar mehrere, kann nicht nachvollzogen werden.

Die Entwickler von SamSam nutzten Bitcoins von Beginn an. Zunächst änderten sie die Einzahlungsadresse für das Lösegeld noch regelmäßig, aber nach und nach wurden sie nachlässiger. Clever umgingen sie aber alle Risiken, entdeckt zu werden, indem sie so genannte Tumblers einsetzten, mit denen eine Art Bitcoin-Geldwäsche möglich ist. Zudem wurden die Opfer angewiesen, Bitcoins anonym zu bezahlen. Hier zeigt sich, dass die Bitcoin-Transparenz Stärke und Schwäche zugleich ist und die Blockchain per se die Definition von Big Data.

Heute für Sie im Angebot: die Fünf-Fach-Erpressung

Verhandeln mit Kriminellen als besonderes Erlebnis mit SamSam. Die Erpressungsopfer können sich auf der Hacker-Webseite , auf die sie zuvor „gebeten“ wurden, direkt mit den Kriminellen austauschen. Nicht selten kommt es dabei zu bizarren Sonderangeboten durch den Erpresser:

  1. Die vollständige Entschlüsselung des PCs. Gegen volles Lösegeld selbstverständlich.
  2. Zwei beliebige Dateien können kostenlos entschlüsselt werden, um zu prüfen, ob die Entschlüsselung auch funktioniert.
  3. Ein beliebiger Computer kann freigegeben werden, wenn der Hacker ihn für unbedeutend hält.
  4. Ein PC lässt sich entschlüsseln für 0,8 BTC (umgerechnet, je nach Tageskurs, c.a. 4,5 € – ein Super-Spezial-Angebot von Juni 2018).
  5. Die Hälfte der Computer kommen frei – für die Hälfte des Lösegelds.

Via Messages können sich Opfer und Angreifer auch auf individuelle Lösungen einigen, Geld muss natürlich immer fließen.

Was das Dark Web so attraktiv und nützlich für Kriminelle macht, ist dass es verschiedene Ebenen der Verschlüsselung verwendet sowie eine Serie von dazwischengeschalteten Computern, um die IP-Adresse einer Webseite zu verbergen.

Und nun? Alles hoffnungslos verloren?

Nicht ganz. Die Tor-Technologie ist hochentwickelt und leistungsfähig, aber sie ist kein hundertprozentiger Tarnmantel, und so werden die Eigentümer der Dark-Net-Webseiten ziemlich regelmäßig inhaftiert.

„Angesichts des medialen Trubels könnte man glauben, das Dark-Net wäre unüberschaubar groß. In der Tat aber ist es ziemlich klein. Während das reguläre Web hunderte Millionen aktiver Webseiten aufweist, kann das Dark Web nur mit Tausenden aufwarten“, weiß Michael Veit, Security Evangelist bei Sophos. „Größe ist wichtig, denn je kleiner ein Netzwerk ist, desto leichter ist es abzutasten und zu überwachen, und Überprüfungen des Dark Web haben etwas sehr Interessantes gezeigt: es ist weitaus stärker zentralisiert und miteinander verbunden, als man denkt. Und auch wenn Tor sehr gut darin ist, IP-Adressen zu verschleiern, so sind die Dark-Web-Aktivitäten Einiger durch menschliche ‚Fehler‘ offenbart worden. Sprich, irgendjemand war entweder nachlässig oder redselig, weil ihn jemand verärgert hat. Und da die Entwickler von SamSam sich viele Feinde gemacht haben, ist es auch hier vermutlich nur eine Frage der Zeit…“

Digitale Sprachassistenten erreichen den Massenmarkt

 

Smarte Speaker erobern die Wohnzimmer: Jeder achte Bundesbürger ab 18 Jahren (13 Prozent) nutzt bereits einen intelligenten Lautsprecher mit digitalem Sprachassistenten wie Amazon Alexa.

Das entspricht 8,7 Millionen Menschen in Deutschland. Auch das Wissen um Sprachsteuerung hat sich rasant verbreitet. Vier von fünf Bundesbürgern (84 Prozent) haben schon von digitalen Sprachassistenten gehört, 2017 waren es erst zwei Drittel (69 Prozent) und 2016 gerade einmal 5 Prozent. Mehr als jeder Vierte (27 Prozent) kann sich vorstellen, zukünftig per Sprache Geräte zu steuern und 4 Prozent wollen sich in den nächsten zwölf Monaten einen Sprachassistenten anschaffen.

Das zeigt die Trendstudie „Consumer Technology 2018“, die der Digitalverband Bitkom und das Beratungs- und Wirtschaftsprüfungsunternehmen Deloitte  vorgestellt haben. „Wir erleben gerade den rasanten Aufstieg intelligenter Sprachassistenten”, sagte Dr. Christopher Meinecke, Leiter Digitale Transformation im Bitkom. „In den nächsten Jahren werden wir immer mehr Geräte wie selbstverständlich mit unserer Stimme steuern. Hier entsteht gerade ein neuer Milliardenmarkt.“

Sprachassistenten feiern Durchbruch im Smart Home

Vor allem die Möglichkeit, die digitalen Sprachassistenten mit Smart-Home-Geräten zu verbinden, ist sehr beliebt. So geben sieben von zehn Nutzern (70 Prozent) an, mit ihrem Smart Speaker andere Geräte im Haushalt zu steuern. Ein Drittel (37 Prozent) derjenigen, die Smart-Home-Anwendungen besitzen, steuert sie per Stimme. Der intelligente Lautsprecher liegt damit gleich hinter Smartphone (76 Prozent) und Tablet (44 Prozent). „Sprachassistenten werden in immer mehr Geräte integriert. Entscheidend für den Erfolg wird ein großes Angebot an Anwendungen sowie die Vernetzung mit anderen smarten Geräten sein“, so Meinecke.

Schon jetzt nutzen Verbraucher ihre Sprachassistenten vielseitig. Zwei Drittel (69 Prozent) spielen per Sprachbefehl Musik ab und hören Radio. Für viele steht der Informationsgewinn im Vordergrund: Jeder dritte Nutzer erfragt die Abfahrtszeiten von öffentlichen Verkehrsmitteln (34 Prozent) oder lässt sich Verkehrsnachrichten (32 Prozent) durchgeben.

Jeder Vierte (27 Prozent) lässt sich über aktuelle Sportergebnisse informieren, jeder Fünfte bestellt ein Taxi (22 Prozent) oder stellt ganz allgemein Suchanfragen (21 Prozent). Auch für die Organisation von Terminen und für Mails werden die Geräte eingesetzt: Jeder Vierte (24 Prozent) hat bereits per Spracheingabe seinen Kalender aktualisiert und 15 Prozent lassen sich von der künstlichen Intelligenz Mails vorlesen.

Erst wenige (8 Prozent) diktieren ihre Nachrichten ein. Meinecke: „Noch spielen Sprachassistenten vor allem Musik ab und geben das Wetter durch, künftig bilden sie die Grundlage eines selbstbestimmten Lebens im Alter. Zum Beispiel wenn ältere Menschen die Geräte nutzen, um mit ihrer Stimme Haushaltsgeräte zu steuern oder sich die Nachrichten ihrer Enkel vorlesen zu lassen.“

Tech-Trend Augmented Reality

Mit digitalen Sprachassistenten hat das Smartphone als Steuerungszentrale des vernetzten Zuhauses innerhalb von zwei Jahren große Konkurrenz bekommen. Nach wie vor stößt das Smartphone als Universalgerät in vielen Branchen entscheidende Entwicklungen an. Augmented Reality ist eine davon, die sich immer mehr in der Bevölkerung durchsetzt.

Zwei Drittel der Bundesbürger (68 Prozent) haben bereits von Augmented Reality gehört. Jeder Fünfte (21 Prozent) hat bereits eine Augmented-Reality-Anwendung mit dem Smartphone ausprobiert. „Das gesamte mobile Ökosystem wird von der Augmented Reality profitieren“, sagte Klaus Böhm, Director und Leiter Media bei Deloitte. „Im Jahr 2023 werden rund 20 Millionen Konsumenten in Deutschland mindestens einmal pro Woche Augmented-Reality-Angebote nutzen.“

Knapp jeder Fünfte (19 Prozent) will Augmented Reality in Zukunft ausprobieren. Das Interesse an Augmented Reality ist besonders beim Reisen groß. Ein Drittel der Internetnutzer (33 Prozent) kann sich vorstellen, diese zur Navigation und als Reiseführer zu nutzen. Jeder Fünfte (22 Prozent) würde mit Augmented Reality lernen. Auch Games (21 Prozent), Shopping (19 Prozent) und Social Media (15 Prozent) sind mögliche Anwendungsszenarien. „Augmented Reality wird zu einem wesentlichen Feature mobiler Navigationsangebote werden. Auch AR-basierte Reiseführer werden sich schnell etablieren“, sagte Böhm. „Großes Potenzial gibt es auch beim E-Learning: Augmented Reality veranschaulicht komplexe Zusammenhänge und schafft durch spielerische Elemente zusätzliche Motivation.“

Die Trendstudie „Consumer Technology 2018“ steht hier zum kostenlosen Download bereit.