Category Archives: Topstory

Smart Home – Interesse vorhanden, Misstrauen ebenfalls

smart homeEgal ob eine durch den Kühlschrank automatisch erstellte Einkaufsliste oder die Überwachung der Wohnung per Smartphone von unterwegs: Die Vorteile eines Smart Home-Systems scheinen ebenso vielfältig wie verlockend. Eine aktuelle Studie deckt nun auf, welche Anwendungen die Deutschen nutzen, woran sie Interesse zeigen und welche Vorbehalte ein Abschöpfen des Potenzials verhindern.

Meinung zum Thema Smart Home

Das Marktforschungsinstitut Splendid Research hat im Rahmen einer repräsentativen Umfrage im Juni 2017 1.021 Deutsche zwischen 18 und 69 Jahren online zu ihrer Meinung zum Thema Smart Home befragt. Untersucht wurden neben der aktuellen Marktgröße, die Nutzung und Nutzungsabsicht verschiedener Smart Home-Anwendungen, die Treiber und Hemmnisse unterschiedlicher Anwendergruppen sowie die Bekanntheit und Nutzung verschiedener Hersteller.

Den Ergebnissen der Studie zufolge nutzen bereits 36 Prozent der Deutschen Smart Home-Anwendungen, 40 Prozent zeigen sich interessiert und lediglich jeder Vierte lehnt eine Nutzung aktuell ab. Die bisherigen Zugpferde der Branche, Anwendungen der Kategorien Energiemanagement sowie Entertainment und Kommunikation, behalten auch 2017 ihre Spitzenplätze – fast 60 Prozent der aktuellen Nutzer besitzen Anwendungen aus diesen Bereichen. Zukünftig dürfte auch der Bereich der Wohn- und Gebäudesicherheit in diese Regionen vorstoßen, denn gerade die Gruppe der Nicht-Nutzer zeigt sich hieran interessiert.

Nutzerquote steigt weiter

Die Studie macht jedoch ebenfalls deutlich: Obwohl die Nutzerquote innerhalb der letzten beiden Jahre weiter stieg, hat sich ihr Wachstum zuletzt verlangsamt. Wie die Kalkulation des Instituts zeigt, birgt der Smart Home-Markt weiterhin ein enormes Potenzial. Momentan wird dieses allerdings durch eine unübersichtliche Marktsituation sowie ernste Vorbehalte der Verbraucher gehemmt. Zusätzlich zeigen sich seitens der Hersteller Kommunikationsdefizite sowie eine mangelhafte Berücksichtigung der unterschiedlichen Verbraucherprofile.

So kennt beispielsweise ein Drittel der Deutschen keinen Smart Home-Anbieter und die Mehrheit aktueller Nutzer konnte nicht zwischen den Herstellern selbst und deren spezifischen Smart Home-Produkten unterscheiden.

Eine weitere Auffälligkeit: 55 Prozent der Nutzer war der Besitz einer Smart Home-Anwendung zunächst gar nicht bewusst. „Angesichts dessen dürften in vielen Fällen die technischen Möglichkeiten der Anwendungen allenfalls im Ansatz ausgereizt werden“, schlussfolgert Studienleiter Thilo Kampffmeyer.

Weiterhin sorgt sich mehr als die Hälfte der Nutzer um die eigene Privatsphäre und ein Drittel fürchtet Hacker-Attacken. Und auch die Sorgen der Interessenten vor Problemen bei Einbau und alltäglichem Einsatz der Smart Home-Anwendungen werden durch die Äußerungen aktueller Nutzer bestätigt. Obwohl diese Verbrauchergruppe überdurchschnittlich technikaffin ist, gab ein Drittel an, der Einbau der Anwendungen hätte sie überfordert.

Angesichts dieser Ergebnisse wird die Branche zukünftig größere Anstrengungen unternehmen müssen, um Sorgen und Befürchtungen abzubauen sowie die Installation und Bedienung zu vereinfachen. Erst dann ist an ein Abschöpfen des Investitionspotenzials zu denken.

Die vollständige Studie gibt es online.

 

 

Bilanz zur Digitalen Agenda 2014-2017

eco Wahl/Digital Check 2017

eco Wahl/Digital Check 2017

Die Bundesregierung hat im Rahmen ihrer Digitalen Agenda 2014-2017 in den letzten drei Jahren in allen netzpolitischen Handlungsfeldern erkennbare Fortschritte erzielt, gleichzeitig gibt es aber weiterhin in vielen Bereichen noch Handlungsbedarf. Vor allem müssen die nächsten netzpolitischen Ziele der kommenden Legislaturperiode deutlich ambitionierter formuliert werden.

Zu diesem Ergebnis kommt eco – Verband der Internetwirtschaft e.V. in seiner Gesamtbilanz zu drei Jahren Digitale Agenda 2014-2017 der Bundesregierung.

Anstehende Notwendigkeiten

Um gemeinsam die anstehenden Notwendigkeiten aber auch die Visionen für eine zukunftsfähige Netzpolitik in Deutschland zu formulieren, lädt eco im Rahmen des Netzpolitischen Forums am 5. September 2017 zum Dialog zwischen Wirtschaft und Politik.

Es werden Beiträge von Bundeskanzleramtsminister Peter Altmaier sowie Microsoft Deutschland Chefin Sabine Bendiek erwartet sowie live vor Ort mit vielen weiteren hochrangigen Gästen aus Politik und Wirtschaft wie Bundeswirtschaftsministerin Brigitte Zypries und FDP-Chef Christian Lindner der Blick nach vorne gerichtet und über Visionen und Notwendigkeiten einer Digitalen Agenda 2017-2021 diskutiert.

eco bietet ab sofort zudem ein neues Online-Tool zum netzpolitischen Parteien-Check an und möchte auf diesem Wege auch die Relevanz des Themas für die kommende Legislaturperiode bereits im Bundestagswahlkampf verdeutlichen. Mit dem Wahl/Digital Check 2017 erhalten alle Wähler die Möglichkeit, sich mit den vorliegenden Aussagen der vier im Bundestag vertretenen Parteien zum Themenkomplex Netzpolitik auseinanderzusetzen.

„Die Digitale Agenda 2014-2017 war ein erster wichtiger Schritt in Richtung einer strategischen Digitalpolitik in Deutschland und die Bundesregierung hat in diesem Rahmen in den vergangenen drei Jahren viele Weichen richtig gestellt“, sagt eco Vorstand Politik & Recht Oliver Süme. „Gleichzeitig erwarten wir aber von der nächsten Bundesregierung auch, dass sie in der weiteren Zielformulierung deutlich nachlegt und bei regulatorischen Vorstößen verstärkt den Dialog mit den Betroffenen sucht um europaweit einheitliche Regeln zu formulieren, die den Digitalstandort Deutschland letztlich voranbringen, anstatt Innovationen zu hemmen. In vielen Bereichen steht Deutschland aus Sicht der Internetwirtschaft einfach noch nicht da, wo es stehen sollte.“

 Thema Breitbandausbau und Aufbau einer gigabitfähigen Infrastruktur

Den größten und dringendsten politischen Handlungsbedarf sieht Süme beim Thema Breitbandausbau und Aufbau einer gigabitfähigen Infrastruktur sowie in den Bereichen digitale Aus- und Weiterbildung als Garant für mündige Nutzer in einer smarten Welt sowie für eine neue Generation zukünftiger IT-Fachkräfte.

Neues Online-Tool: Wahl/Digital Check 2017

Heute geht der eco Wahl/Digital Check 2017 online. Das Online-Tool bietet Nutzern die Möglichkeit – ähnlich wie bei dem bekannten Wahlomat der Bundeszentrale für Politische Bildung – ihre eigenen netzpolitischen Standpunkte mit denen der aktuell im Bundestag vertretenen Parteien zu vergleichen.

eco e.V. hat dazu im Rahmen der Veranstaltungsreihe Netzpolitischer Parteiencheck im Zeitraum März bis Juni 2017 insgesamt 13 Netzpolitiker der vier Bundestagsfraktionen um ihre Positionierung in fünf Fokusthemenbereichen der Digitalen Agenda gebeten. Diese Positionierung ist Grundlage des Wahl/Digital Checks. Der Wahl/Digital Check ist keine Wahlempfehlung sondern ein Informationsangebot zu Netzpolitik und zur Bundestagswahl.

Wie sich Krankenhäuser vor WannaCry & Co. schützen können

imagesDie weltweite Angriffsserie der Erpresser-Malware WannaCry hat Unternehmen, Behörden und Anwender gleichermaßen erschüttert. Innerhalb weniger Stunden und Tage infizierte der gefährliche Trojaner mehr als 200.000 Computer in rund 150 Ländern, verschlüsselte wichtige Daten und forderte Lösegeld. Krankenhäuser des britischen Gesundheitssystems National Health Service (NHS) wurden dabei mit am schwersten getroffen. Einmal mehr wird deutlich, dass die IT-Sicherheit in Krankenhäusern und Gesundheitseinrichtungen der aktuellen Bedrohungslage nicht mehr gewachsen ist.

Eine Sicherheitslücke in Microsoft-Windows und ein verpasstes Sicherheitsupdate wurden rund 45 Kliniken in England und Schottland unlängst zum Verhängnis: Sie infizierten sich mit dem gefährlichen WannaCry-Trojaner und mussten sich daraufhin für viele Stunden von einem normalen Verwaltungs- und Behandlungsablauf verabschieden.

Etliche Erkrankte – darunter auch Krebspatienten –, deren Daten nicht zur Verfügung standen, mussten unbehandelt nach Hause geschickt oder in andere Kliniken umgeleitet werden.

Veraltete Infrastrukturen und verspätete Updates

Dass keine Krankenhäuser im deutschsprachigen Raum von der Ransomware-Welle betroffen waren – zumindest wurden keine Angriffe öffentlich bekannt – ist dabei wohl nur Zufall. Denn auch hierzulande ist es um die IT-Sicherheit im Gesundheitswesen alles andere als gut bestellt. Nimmt man die Krankenhaus-IT einmal genauer unter die Lupe, stößt man in vielen Kliniken auf veraltete Netzwerke, Soft- und Hardware.

Auch in deutschen Kliniken laufen viele PCs aber auch lebenswichtige Medizingeräte noch auf Windows XP, für das es schon lange Zeit keinen offiziellen Support mehr gibt. Der Großteil der Updates wird von den Verantwortlichen, wenn überhaupt, verspätet oder unvollständig ausgeführt. Die Gründe für diese Vernachlässigung sind dabei vielfältig. Fehlendes Budget für neue Software, Security-Experten oder Mitarbeiterschulungen dürften hier jedoch ausschlaggebend sein.

Zur Verteidigung der Krankenhäuser ist jedoch zu sagen: Das zeitnahe Einspielen von Updates ist für Kliniken wie für viele andere Unternehmen und Behörden nicht immer so einfach wie man gerne annehmen möchte und geht mit Abwägungen einher. Was ist, wenn die Softwareaktualisierung Probleme bereitet und es zu Konflikten innerhalb des Systems kommt, die einen kompletten System-Ausfall nach sich ziehen?

Auch dies kann letztlich den Arbeits- und Verwaltungsbetrieb oder aber die lebenswichtige Intensivpflege eines Patienten beeinträchtigen. Kein Wunder also, dass Updates verschoben werden und IT-Verantwortliche notgedrungen hinnehmen, dass sich Sicherheitslücken einschleichen.

Dabei ist diese Fahrlässigkeit in zweifacher Hinsicht fatal: Denn einerseits zählen Gesundheitseinrichtungen zu den kritischen Infrastrukturen des Landes, d.h. zu den Einrichtungen, deren Ausfall Versorgungsengpässe und Störungen der Sicherheit nach sich ziehen. Andererseits sind Gesundheitseinrichtungen für Cyberkriminelle auch ein besonders attraktives Ziel, da sie Unmengen an sensiblen personenbezogenen Daten speichern. Immerhin werden im Dark Web gestohlene Patientendaten mittlerweile höher gehandelt als gestohlene Kreditkarteninformationen. Eine angemessene IT-Sicherheit auf aktuellstem Stand ist für Krankenhäuser und Kliniken also mehr als wichtig.

Endpunktschutz: Nur verhaltensbasierte Lösungen schützen wirklich

Eine Nachlässigkeit, die man IT-Verantwortlichen in Krankenhäusern jedoch nicht verzeihen kann, ist der Einsatz unzureichenden Endpunktschutzes. Noch heute verlassen sich viele Gesundheitseinrichtungen bei der Abwehr von Schadsoftware auf herkömmliche Antivirus-Lösungen, die schadhafte Dateien, URLs oder IP-Adressen mit Hilfe eines signaturbasierten Ansatzes aufspüren und bei der Identifizierung von hochentwickelten und verschleierten Angriffen daher versagen müssen.

Erst im Januar dieses Jahres offenbarte eine Befragung von SentinelOne, dass 30 Prozent der britischen NHS-Einrichtungen bereits Opfer eines Ransomware-Angriffs wurden und das, obwohl fast alle befragten Krankenhäuser Antivirus-Software installiert haben, um ihre Endgeräte vor Malware zu schützen. Dass herkömmliche Sicherheitstechnologien im Kampf gegen bösartige Malware-Formen ohnmächtig sind, steht also außer Frage, nicht aber, warum die IT-Verantwortlichen diese Unzulänglichkeit  hinnehmen und damit Angriffe wie WannaCry Tür und Tor öffnen, anstatt zu handeln.

Tatsache ist: Bereits heute existieren Endpoint Protection-Lösungen, die den signaturbasieren Ansatz hinter sich lassen und bei der Erkennung von Schadcode neue, effektivere Wege gehen. Endpunktschutz der nächsten Generation nutzt innovative Technologien wie maschinelles Lernen und dynamische Verhaltensanalysen, die Einblick in den Modus Operandi der Malware gewähren, ihr Vorgehen aufdecken und schädliche Manipulationen verhindern. Da diese Lösungen in der Lage sind, schadhaften Code anhand seines Laufzeitverhaltens zu erkennen, können auch völlig neuartige und bisher unbekannte Varianten identifiziert werden. Die WannaCry-Angreifer hätten keine Chance gehabt!

Sicherheit hat im Gesundheitswesen in vielerlei Hinsicht oberste Priorität. Bei der Umsetzung einer adäquaten IT-Sicherheit hapert es jedoch nach wie vor. Vor allem aus rechtlicher Sicht begeben sich Kliniken und ihre Geschäftsführer damit jedoch auf dünnes Eis, denn Bundesdatenschutzgesetz, BSI-Gesetz, NIS-Richtlinie und die nahende EU-Datenschutzgrundverordnung stellen an Betreiber kritischer Infrastrukturen mittlerweile hohe Anforderungen.

Um Datenrechtsverletzungen und damit verbundenen Bußgeldern vorzubeugen, müssen Krankenhäuser für eine ausreichende technische Ausstattung sorgen und die entsprechenden organisatorischen Maßnahmen schaffen, um Cyberangriffe bestmöglich abzuwehren und im Krisenfall schnell und rechtssicher agieren zu können.

 Autor: Rainer M. Richter, CEE, SentinelOne

 

 

 

Nein, die deutsche Polizei kann WhatsApp nicht hacken

(Bildquelle: Battle_Hack_Berlin_2014)

(Bildquelle: Battle_Hack_Berlin_2014)

Strafverfolger bekommen mehr Rechte, zumindest im digitalen Umfeld. Der Bundesrat hat Anfang Juli 2017 die Einsatzbereiche für die Quellen-TKÜ, den sogenannten Staatstrojaner, gelockert. Das hat im Gegenzug eine Reihe von übertrieben oder schlicht falschen Meldungen generiert – u.a. geistert die Meldung durchs Web, wonach die Polizei die Verschlüsselung von Messengern wie Signal oder WhatsApp aufbrechen kann.

 Das ist, gelinde gesagt, übertrieben.

„Leider führt das limitierte technische Wissen einiger Gesetzgeber und Politiker zu Pressemeldungen und Statements, die schlicht lächerlich sind“, sagt Tom Van de Wiele, Security-Consultant bei F-Secure. „Die Aussagen führen dazu, dass die Öffentlichkeit davon ausgeht, dass nur Kriminelle Verschlüsselung nutzen. Dabei wird gerne übersehen, dass Verschlüsselung auch für Banken, das Militär oder zur Sicherung unserer Kommunikation essentiell ist.“

Nehmen wir an, das BKA würde die Verschlüsselung eines Dienstes knacken, was hält Kriminelle davon ab, zu einem Kommunikationssystem zu wechseln? Wikipedia allein kennt 30 verschiedene Dienste mit einer End-zu-End-Verschlüsselung. Die Behörde müsste für jeden Messenger einzelne Hintertüren finden, ausnutzen und dabei sicherstellen, dass diese auch im rechtlichen Rahmen abläuft. Das dürfte sowohl Budget wie auch Know How der deutschen Strafverfolgung übersteigen. „Die Architektur der meisten sicheren Messenger und wie sie verteilt werden verhindert, dass eine Behörde einfach eine modifizierte Version in Umlauf bringen kann“, so Tom Van de Wiele. „Auch kann die End-zu-End-Verschlüsselung nicht einfach aufgebrochen werden. Daher kommen die Rufe nach Hintertüren in Applikationen und der Verschlüsselung.“

Abfangen an der Quelle

Der Staatstrojaner arbeitet anders. Es handelt sich dabei (wahrscheinlich) um mehre Programme, die auf jeweils unterschiedliche Einsatzzwecke und Betriebssysteme zugeschnitten sind. Dabei kann es sich um selbst entwickelte Programme handeln, die im Rahmen der Quellen-TKÜ geschrieben werden. Ebenso wahrscheinlich ist, dass Behörden fertige Tools wie FinFisher der Firma Gamma“ einkaufen. Über diese Firma und deren Software hat das Magazin The Verge eine sehr lesenswerte Reportage geschrieben, auch die Macher von Netzpolitik beschäftigen sich immer wieder mit der Software.

Dieser Ansatz umgeht die Verschlüsselungsproblematik komplett. Einmal auf dem Zielsystem installiert – etwa einem Handy oder PC – können sie den kompletten Datenverkehr mitlesen bevor er verschlüsselt wird. Außerdem hat das Programm Zugriff auf Kontakte, E-Mails, Fotos und Videos oder die Standortdaten. Sogar das Mikrofon lässt sich aktivieren um Geräte in Wanzen zu verwandeln. „Wer das Telefon kontrolliert, der kontrolliert was empfangen und gesendet wird“, so Tom  Van de Wiele.

Das klingt nicht nur wie ein klassischer Trojaner, für einen normalen Beobachter verhalten sich staatliche Überwachungsprogramme wie Malware von Kriminellen. Auch die Infektionswege ähneln sich. Denn irgendwie muss die Schnüffelsoftware auf die Endgeräte gelangen. Auf PCs kann dies etwa durch Mitarbeiter der Behörde erfolgen, parallel zur Verwanzung einer Wohnung im Rahmen des großen Lauschangriffs. Für mobile Geräte ist das etwas schwieriger, da diese selten allein gelassen werden. Hier helfen Ansätze der Cyberkriminellen – mit Tricks wie Phishing oder dem gezielten Zusenden von bösartigen Links lassen sich auch mobile Geräte infizieren.

Wie so eine Attacke funktioniert zeigen die 2015 geleakten Daten der italienischen Firma  Hacking Team. Diese hatte sich auf Programme spezialisiert, die wie der Bundestrojaner arbeiten. Die Macher konnten Android ebenso wie iOS übernehmen – letzteres auch ohne installierten Jailbreak. Es liegt nahe, dass andere Firmen ebenfalls an Lösungen mit diesem Kaliber arbeiten. In die Karten sehen kann man den Firmen nicht.

Moralische Zwickmühle

Je häufiger Behörden einen Quellen-TKÜ einsetzen, desto mehr stolpern sie in eine Zwickmühle. Denn damit ein PC oder ein mobiles Gerät erfolgreich und zuverlässig infiziert werden kann, benötigt man idealerweise Zero-Day-Schwachstellen gegen die es keinen Patch gibt.

Entdeckt eine Behörde eine solche Schwachstelle, steht sie vor der Wahl: Geheimhalten und selbst nutzen oder den Hersteller kontaktieren und alle Nutzer schützen?

Wie schnell ein Horten der Lücken nach hinten losgeht, konnten wir in diesem Jahr bereits zweimal sehen: Sowohl die WannaCry-Ransomware wie auch NotPetya nutzten Angriffsprogramme, die auf den Zero-Day-Fundus der NSA zurückgehen. Diese waren Anfang des Jahres publik geworden und wurden öffentlich im Internet verbreitet.

F-Secure kennt keine Ausnahmen

„Jede verdächtige Aktivität als Resultat von Malware wird von unseren Produkten gleich behandelt – es gibt keine Ausnahmen bei der Quelle“, sagt Tom Van de Wiele. Ein staatlicher Trojaner unterscheidet sich nicht von einem kriminellen Schädling. Tom Van de Wiele weiter: „Es gibt Unterschiede bei der Qualität, aber in einer Welt, in der Malware-Teile gekauft, verkauft und wiederverwendet werden ist eine genaue Zuordnung schwierig. Es gibt Ausnahmen, etwa Stuxnet, aber diese sind wirklich selten.“und Internetbetreibern sowie tausenden von Händlern angeboten.

Digitale Hoteldiebe „DarkHotel“ auf neuen Wegen

Verfeinerte Werkzeuge, neue Angriffsmethoden und neue Ziele – Bitdefender analysiert neue Malware der Hackergruppe „DarkHotel“.

Verfeinerte Werkzeuge, neue Angriffsmethoden und neue Ziele – Bitdefender analysiert neue Malware der Hackergruppe „DarkHotel“.

Ein Whitepaper von Bitdefender gibt neue Einblicke in die Arbeit der Hackergruppe DarkHotel. Die Gruppe ist seit einem Jahrzehnt aktiv und hat tausende von Unternehmen über WLAN-Infrastrukturen in Hotels angegriffen.

Sie ist dafür bekannt, die Ausnutzung noch unbekannter Schwachstellen (Zero Day Exploits) komplexe Malware und Angriffswege mit „Whaling“ zu kombinieren, also dem gezielten „Phishing“ nach ganz großen Fischen, wie Top-Managern und Geheimnisträgern. Das neue White Paper trägt den Titel „Inexsmar: An unusual DarkHotel campaign“. Es zeigt, wie die Hacker ihre Werkzeuge verfeinerten, ihre Angriffsmethoden verändert haben und nun offenbar statt auf finanziellen Nutzen auch auf politische Informationen abzielen.

Bitdefender hat herausgefunden, dass ein Malware-Sample aus dem September 2016, bekannt als Inexsmar, starke Ähnlichkeiten mit Malware hat, welche die Gruppe schon seit dem Jahr 2011 nutzt. Inexsmar stammt mit hoher Wahrscheinlichkeit von DarkHotel.

Für die Inesxmar Kampagne wich DarkHotel jedoch von ihrem bisherigen Erfolgsrezept ab und nutzte neue Mechanismen, um den schädlichen Payload auszuliefern und um Infos zu exfiltrieren. Dazu gehört Social Engineering mittels E-Mail und ein sehr komplexer Trojaner. In einem mehrstufigen Verfahren lädt der Trojaner zur Tarnung harmlose Dokumente herunter, sendet Systeminfos an einen Command-and-Control-Server und löscht verdächtige Malware-Bestandteile selbst wieder vom Endgerät des Opfers.

Ebenfalls spannend: Während DarkHotel in der Vergangenheit hochrangige Firmenmitarbeiter, wie CEOs, Top-Manager oder Entwicklungsleiter attackierte, um Informationen über Prototypen, geistiges Eigentum oder Software Quellcode zu stehlen, scheint diese Attacke eher politische Hintergründe zu haben.

„Wir vermuten, dass diese Methode, Social Engineering mit einem mehrstufigen Trojaner-Downloader zu kombinieren, auch ein Schritt ist, um die Malware wettbewerbsfähig zu halten. Denn die Schutzmechanismen der Opfer verbessern sich immer weiter“, schreibt Alexandru Rusu, Malware Researcher und Autor des White Papers.

Ransomware-Krise? Fakten statt Furcht

01-korona-1 Seine eigene Haustür sperrt man ab, eine Selbstverständlichkeit, über die man im Alltag wenig Gedanken verliert. Fällt jedoch der Begriff ‚Cyberkriminalität‘, denken viele immer noch an eine vom restlichen Leben relativ gut abgeschottete Gefahrenzone.

Im Zuge der digitalen Transformation, die mehr und mehr alle Arbeits- und Lebensbereiche erfasst, ist der Grad der Trennung, die das Wort „Cyber“ suggeriert, jedoch hinfällig geworden. Es handelt sich schlicht und ergreifend um Kriminalität, und althergebrachte Methoden zur illegalen Geldbeschaffung wie Einbruch, Diebstahl oder Erpressung haben nur ein effizientes Upgrade erhalten.

Aufgrund der einfachen Programmierbarkeit von Ransomware und der damit verbundenen Zunahme von professionellen Kriminellen, die ihre Fähigkeiten als Service anbieten, müssen wir uns leider an Erpressungstrojaner wie jüngst WannaCry als eine alltägliche Gefahr gewöhnen. Deshalb sind Aufklärung und Sensibilisierung hier einer der Grundpfeiler für mehr Sicherheit.

WannaCry: Weckruf für das öffentliche Bewusstsein

Durch den aktuellen WannaCry-Angriff wurden weltweit 252 Organisationen getroffen, darunter auch die Deutsche Bahn und der britische National Health Service. Dadurch war das Thema plötzlich nicht mehr nur ein Problem von IT-Fachleuten und CTOs, sondern eine greifbare Gefahr für die breite Öffentlichkeit.

Dennoch beträgt die Summe, die bisher durch WannaCry erpresst wurde, nur schätzungsweise 72.000 US Dollar – verschwindet gering im Vergleich zu den Milliarden erbeuteter Gelder vergangener Ransomware-Attacken. Es scheint, dass die kontinuierliche Aufklärung und Empfehlung, nicht zu bezahlen, mittlerweile Früchte trägt.

Darüber hinaus war der Angriff, trotz weitreichender Auswirkungen, eher schlampig ausgeführt, die Beweggründe unklar, die Verbreitung weitgehend chaotisch und die Geldeinnahmen aus der Perspektive der Angreifer ein absoluter Fehlschlag, doch WannaCry brachte die Welt für kurze Zeit aus dem Tritt. Statt jedoch weiter über die Motivationen hinter dem Angriff zu spekulieren oder zu diskutieren, wer für die Schwachstellen verantwortlich ist, sollte man sich nun auf Lösungsansätze konzentrieren.

Keine unvorhersehbare Naturkatastrophe, aber Big Business

Stand Ransomware im Jahr 2014 auf der Liste der Malware-Typen mit der größten Verbreitung noch auf Platz 22, belegt die Erpressersoftware mittlerweile Platz 5 in Verizons neuem Data Breach Investigations Report 2017.

Bereits 2016 konnte ein sprunghafter Anstieg an Ransomware-Angriffen weltweit um 16 Prozent im Vergleich zum Vorjahr verzeichnet werden. WannaCry war kein unvorhersehbarer, außergewöhnlicher Vorfall, der hereinbrach wie eine Naturkatastrophe, sondern schlicht und einfach eine kriminelle Operation, die Teil der unschöneren Seite einer kontinuierlich fortschreitenden digitalen Transformation ist.

Auch in naher Zukunft werden wir uns mit einem Anstieg dieser für Kriminelle sehr lukrativen Form von Bedrohung auseinandersetzen müssen. Die Verschlüsselung von Daten und das Erpressen von Lösegeld ist ein relativ schneller, unkomplizierter Vorgang mit geringem Risiko dank digitaler Zahlungssysteme wie Bitcoin oder Monero für leichten und anonymen Geldtransfer.

Fakten, statt Furcht: NoMoreRansom-Initiative

Die aktuelle Ransomware-Epidemie kann deshalb nur durch weitere Aufklärung und Sensibilisierung der Allgemeinheit in Angriff genommen werden. Darüber hinaus benötigt es eine engmaschigere Zusammenarbeit von Strafverfolgungsbehörden und IT-Sicherheitsunternehmen.

Im Juli 2016 wurde deshalb NoMoreRansom als eine bisher einzigartige Koalition von Europols europäischem Cybercrime Center, der niederländischen Polizei, Kaspersky und Intel Security gegründet, um den Opfern von Ransomware zu helfen, ihre verschlüsselten Daten zurückzuholen, ohne die Kriminellen bezahlen zu müssen. Auf der Plattform sind eine Vielzahl an Nachschlüsseln für Erpresserprogramme erhältlich, und seit Beginn der Initiative sind zahlreiche weitere Behörden sowie IT-Sicherheitsunternehmen hinzugekommen, die einen Beitrag mit der Entwicklung von neuen Entschlüsselungswerkzeugen und Entschlüsselungscodes leisten.

Drei Punkte, wie man sich wappnen kann 1. Back-up, Back-up, Back-up

Wenn sie im Fall eines Ransomware-Angriffs über ein sorgfältig implementiertes Backup-System verfügen, können Sie die Daten einfach wiederherstellen. Automatisierte, Cloud-basierte Backup-Services bieten größte Sicherheit für Ihre Daten. Auch, wenn aus organisatorischen Gründen vorläufig ältere On-Premises-Lösung verwendet werden, lohnt es sich, zumindest die Planungsphase für die Migration in ein Cloud-basiertes System zu starten.

  1. Gesundes Misstrauen: E-Mail-Posteingänge sind voll von bösartigen Anhängen und Links, die nur darauf warten, angeklickt zu werden. Öffnen Sie niemals Email-Anhänge von jemandem, den Sie nicht kennen und seien Sie auch misstrauisch bei vermeintlich vertrauenswürdigen Absendern, denn vielfach als Rechnung oder Bewerbungsschreiben getarnt, infiltrierten 2016 Locky- und Goldeneye-Ransomware ihre Opfersysteme über verseuchte Makros in Word-Dateien. Kriminelle versenden oft gefälschte E-Mails, die als Benachrichtigungen vermeintlich legitimer Absender wie Geschäftspartner, Online-Shops oder Banken getarnt sind. Die meisten Ransomware-Angriffe beginnen mit einem bösartigen Link oder Anhang, folglich ist eine wichtige Maßnahme, dass alle Mitarbeiter über die Gefahren von Ransomware aufgeklärt werden und zumindest die offensichtlichsten Alarmzeichen erkennen: • Eigentümliche Grammatik oder Rechtschreibfehler in angeblich professionellen E-Mails oder die Versendung der Nachricht zu einer ungewöhnlichen Tageszeit • Typo-Squatting im Absender, der auf den ersten Blick legitim wirkt, aber minimal falsch geschrieben ist wie z. B.: customersupport@faceboook.com • Hinterlegung von Buttons und Links in einer E-Mail mit verdächtigen URLs: Um dies zu überprüfen, bewegen Sie den Cursor über den Link oder die Schaltfläche, und die URL erscheint links unten im Browserfenster. • Seien Sie zudem vorsichtig mit Dateierweiterungen wie ‚.exe‘, ‚.vbs‘ und ‚.scr‘. Scammers können auch mehrere Erweiterungen verwenden, um eine schädliche Datei als Video, Foto oder Dokument (z.B. doc.scr) zu tarnen.
  2. Prävention durch solide Sicherheitsarchitektur und Aktualisierung: Verwenden Sie robuste Antivirus-Software, um Ihr System vor Ransomware zu schützen. Schalten Sie die heuristischen Funktionen nicht aus, da diese helfen, Ransomware-Samples zu erfassen, die noch nicht formell erkannt wurden. Um Ihr Netzwerk frei von Malware zu halten, erfordert es zudem eine Kombination aus effektiver Perimeter-Filterung, speziell entwickelter Netzwerkarchitektur und der Fähigkeit, Malware zu erkennen und zu eliminieren, die sich eventuell bereits im Netzwerk befindet. Firewalls der nächsten Generation oder E-Mail-Gateway-Lösungen können das Eindringen von Angreifern ins Netzwerk verhindern. Ebenso müssen alle Anwendungen, ob lokal gehostet oder cloudbasiert, regelmäßig gescannt und auf Schwachstellen gepatcht werden. Halten Sie zudem Software stets auf dem neuesten Stand. Wenn Ihr Betriebssystem oder Anwendungen eine neue Version freigeben, installieren Sie sie. Bietet eine Software automatische Aktualisierung, nutzten Sie diese.

Falls es doch soweit kommt, zahlen Sie nicht

Ausnahmen bestätigen die Regel: Etwa, wenn Leib und Leben bedroht sind beispielsweise bei einem Angriff auf die IT-Infrastruktur eines Krankenhauses. Generell aber bleibt der Rat, wenn Sie Opfer eines Ransomware-Angriffs werden: Zahlen Sie kein Lösegeld. Es gibt keine Garantie, dass Sie im Gegenzug den Entschlüsselungsschlüssel erhalten.

Darüber hinaus sollte man sich bewusstmachen, dass selbst wenn man bereits einmal betroffen war, man nicht gegen zukünftige Angriffe gefeit ist, sondern Angreifer in Ihnen eventuell sogar ein leichtes Ziel für weitere Attacken sehen. Doch eine mehrschichtige Sicherheitsstrategie mit regelmäßigen Offline-Backups, Sensibilisierung der Mitarbeiter, einer soliden Sicherheitsarchitektur und kontinuierlicher Aktualisierung von Betriebssystem und Software können die Auswirkungen von Ransomware erheblich minimieren.

Autor: Wieland Alge, CEO von Barracuda Networks, Barracuda vereinfacht die IT-Infrastruktur durch Cloud-fähige Lösungen, die es Kunden ermöglichen, ihre Netzwerke, Applikationen und Daten standortunabhängig zu schützen.

 

Bitcoins: Fünf Bereiche, die Blockchain verändern wird

bitcoinSie gilt als überaus sicher und transparent: die Blockchain. Versucht ein Unbefugter, sie zu hacken, agiert sie wie eine Hydra, der ein Kopf genommen wird – bei einem partiellen Angriff auf die Blockchain werden umgehend neue Verschlüsselungen erstellt, die ihren Inhalt schützen.

Mit dieser Eigenschaft sind Blockchains besonders attraktiv für die Verarbeitung von sensiblen Daten sowie als transparentes Transaktionsprotokoll. Ralf Reich, Head of Continental Europe bei Mindtree, gibt einen Überblick über die zukunftsfähigsten Bereiche der Blockchain-Nutzung.

1. Finanzsektor

Das System der Blockchain ist eng mit der Entwicklung von Bitcoin verbunden, die sich als bekannteste rein virtuelle Währung etabliert hat. So kann die Blockchain beispielsweise Transaktionskosten bei Auslandsüberweisungen reduzieren.

Individuelle Geldgeschäfte sind für alle Beteiligten transparent, wobei die besondere Sicherheitsstufe der Blockchain durch ihre umfassende Verschlüsselung eine essentielle Rolle spielt. Damit wird, wie es schon Bitcoin vormacht, die Privatsphäre der Teilnehmer gewahrt – die Transaktionen sind offen sichtbar, die Verantwortlichen dafür jedoch nicht. Die dezentrale Struktur der Blockchain macht also eine Zentralbank überflüssig, wenn alle Kontrolle über die Währung haben.

2. Vertragswesen

Bei einer auf Blockchain basierenden Plattform können zudem Verträge sicher hinterlegt werden. Weil eine erstmal angelegte Blockchain unveränderlich ist, sind auch die Vertragsinhalte für alle Parteien geschützt.

Damit ist der Grundstein für die Einrichtung von Smart Contracts gelegt. Blockchain-Entwickler träumen bereits von den wunderbaren Möglichkeiten für Vertragsschlüsse. Autoverkäufe lassen sich per Smart Contract absichern: hält der Käufer eines Fahrzeugs seine vertraglichen Verpflichtungen nicht ein, wird das Fahrzeug darüber informiert und verriegelt sich automatisch dauerhaft.

Durch einen dann generierten Code oder eine folgende Multifaktorauthentifizierung kann der Verkäufer es wieder entsperren. Mit der Einbindung von physischen Objekten in das Internet, sprich der Existenz von Smart Objects, entstehen auch neue rechtliche Gegebenheiten. Vertragsbedingungen werden also umgehend computergesteuert verwirklicht und damit garantiert.

3. Immobilienmarkt

Einen Grundbucheintrag abzuändern ist mit einigem Aufwand verbunden – und besonderen Kosten. Mit der Nutzung von Blockchain als einem transparenten und sicheren Medium wird der Notar in Zukunft überflüssig und Kosten reduzieren sich drastisch.

Auch zur direkten Nachverfolgung bei Mietverträgen eignet sich eine Plattform, die über Blockchain läuft. Wird gleichzeitig ein Bezahlsystem genutzt, können alle Zahlungen wie Miete, Kaution und sonstige Ausgaben detailliert protokolliert und direkt dem Vertrag zugeordnet werden. Damit liegen alle wichtigen Informationen nachvollziehbar sicher und trotzdem anonym ab.

4. Healthtech

Mit der Verlegung eines Patienten in ein anderes Krankenhaus gehen leider oftmals essentielle Informationen über die Krankengeschichte verloren. Doch längst haben Krankenhäuser ihre Patientenakten online organisiert, um sie ständig bei sich zu haben. Werden diese nun in einer Plattform mit einer Blockchain gespeichert, sind alle Informationen für jeden Arzt, der Zugriff erhält, verfügbar.

Details gehen nicht mehr verloren und sogar die dazugehörigen Arztrechnungen kann der Patient einsehen, um damit seinen Anspruch bei der Versicherung geltend zu machen. Auch Patientenverfügungen können dort abgelegt werden, um für den Ernstfall überall abrufbar zu sein.

5. Staatswesen

Sogar für die Organisation innerhalb eines Staates kann Blockchain wertvolle Beiträge leisten. Sie kommt beispielsweise bei der Absicherung von Wahlvorgängen durch Kryptographie zum Einsatz, um potentielle Cyberangriffe zu minimieren. Geburts- und Heiratsurkunden können offiziell eingereicht werden – ohne die Beglaubigung eines Notars zu benötigen. Prognosen zufolge sollen überdies in weniger als zehn Jahren gar Lohnsteuern durch Blockchain eingesammelt werden.

Estland hat seit 2015 mit einem einzigartigen E-Residency-Programm begonnen, das auf Blockchain basiert, und damit eine Vorreiterrolle eingenommen. Jeder Mensch auf der Welt kann dadurch einen virtuellen Wohnsitz mit einer digitalen ID in Estland anmelden, womit ihm diverse Services der Regierung zur Verfügung stehen: Firmengründung, Einreichung von Steuererklärungen und die Anmeldung von Patenten sind nur einige der Möglichkeiten.

Fazit

Diese fünf großen Bereiche zeigen nur einen kleinen Teil der Chancen, die Blockchain-basierte Plattformen bieten. Mit der voranschreitenden Digitalisierung der Welt geht auch die Notwendigkeit für sichere, digitale Prozesse einher.

Doch bis Blockchain für eine zentrale Währung oder die Organisation eines Staates eingesetzt werden kann, wird noch einige Zeit ins Land gehen. Die Entwicklung von Systemen läuft auf Hochtouren, etliche Start-Ups sprießen aus dem Boden und erforschen die gesamte Bandbreite an Möglichkeiten, die sich durch den Gebrauch von Blockchain eröffnet.

Studie: In welcher Stadt lohnen sich Home-Sharing, Car-Sharing und Co.

CamperShow-1050x550Privates An- und Vermieten spielt mittlerweile eine bedeutende Rolle in der Weltwirtschaft. Immer mehr Menschen wollen ihr selten genutztes Eigentum vermieten. So entstehen nicht nur spannende Urlaubserlebnisse, sondern auch neue Investitionsmöglichkeiten für Investoren und Privatpersonen.

SHAREaCAMPER hat daher den Anlagerendite-Index 2017 erstellt, um zu zeigen, welche Städte und Märkte die höchsten Anlagerenditen durch Privatvermietung bieten. Wir hoffen, dass diese Recherche noch mehr Menschen dazu ermutigt, die Vorteile von Privatvermietungsplattformen zu nutzen. Auch soll es Stadtverwaltungen dabei helfen, Entscheidungen über Gesetze und Regulierungen besser informiert zu treffen.

Index vergleicht den Marktpreis mit dem Preis privater Vermietungen

Der Index vergleicht den Marktpreis mit dem Preis privater Vermietungen in 31 Städten mit einer gut entwickelten Privatvermietungs-Wirtschaft. Die Preise beinhalten die gängigen Kosten für den Betrieb und die Instandhaltung von über 1.000 zu vermietenden Besitztümern (Umrechnungskurse vom 15. April 2017). Die Städte wurden nach der Amortisationszeit der Investitionen aufgelistet. Hierbei wurde die Mietauslastung des Privateigentums berücksichtigt. Die Standardauflistung in der Spalte „Ranking” listet die Städte nach der durchschnittlichen Amortisationszeit über alle Märkte (Eigenheime, Wohnwagen, Boote etc) hinweg.

„Privatvermietung bietet einzigartige Erlebnisse und viel Flexibilität. Durch private An- und Vermietungen kann jeder besondere Erinnerungen im Camper, Auto, oder Boot sammeln, ohne diese besitzen zu müssen. Privatpersonen können außerdem Anlagen abbezahlen, indem sie ihr selten genutztes Eigentum vermieten”, sagt SHAREaCAMPER-Geschäftsführer Florian Dahlmann. „Eine besonders interessante Erkenntnis ist, dass es unnötig ist, überteuerte Preise für die Vermietung zu verlangen, um die Anlagen abbezahlen zu können. Somit profitieren alle Beteiligten. Wir hoffen, dass wir es durch diese Studie schaffen, noch unterentwickelte Privatvermietungsmärkte anzukurbeln.”

Die verheerendsten Cyberangriffe im Finanzsektor

geldIm Verlauf der letzten Jahre wurden Banken und Finanzinstitute immer wieder Opfer großangelegter und raffiniert eingefädelter Cyberangriffe, was zu finanziellen Schäden von teils mehreren hundert Millionen Euro führte – von Imageverlusten ganz abgesehen.

Trotz steigender Investitionen in die IT-Security-Infrastruktur, scheint der Bankensektor von dem Prozess der digitalen Transformation und den damit verbundenen Herausforderungen nach wie vor überfordert zu sein. Zu den verheerendsten Cyberangriffen auf Banken der letzten Jahre gehören:

2013: Hackerattacke auf Südkoreanische Banken

Eine Hackergruppe namens DarkSeoul sorgte im Jahr 2013 bei den südkoreanischen Großbanken Shinhan und Nonghyup für Aufruhr. Mit Hilfe von Malware war es den Cyberkriminellen gelungen, Netzwerke zu knacken, Computer zum Stillstand zu bringen und sogar Geldautomaten abstürzen zu lassen. Die Wirtschaft Südkoreas kam für einige Tage zum Erliegen, die betroffenen Banken erlitten einen Schaden von mehreren hundert Millionen US-Dollar.

 2014: Datendiebstahl bei JP Morgan

83 Millionen Bankkunden – darunter sieben Millionen Unternehmenskunden – waren 2014 von einem der wohl größten Datendiebstähle in der Bankengeschichte betroffen. Fünf Hackern war es damals gelungen, durch den Einsatz von Malware, Social Engineering und Spear-Phishing-Attacken sensible personenbezogene Daten von JP Morgan- und anderen Bankkunden auszuspähen. Die gestohlenen Daten nutzten die Täter schließlich, um über illegale Aktivitäten, darunter Aktienbetrug, rund hundert Millionen Dollar zu erbeuten.

2013-2015: Der Trojaner Carberp

Mehr als zwei Jahre konnten die Cyberkriminellen mit Hilfe des bereits bekannten Trojaners Carberp ungehindert Bankkonten auf der ganzen Welt abräumen und so Milliardengewinne erzielen. Über eine Spear-Phishing- Kampagne, die auf Bankangestellte und -Administratoren zielte, konnten die Täter, ein Cybercrime-Ring namens Carbanak, den Trojaner flächendeckend verbreiten. Einmal installiert, lädt er ein gewöhnliches Fernzugangs-Tool auf den betroffenen Computer, der den Tätern Transaktionen auf ihre eigenen Konten ermöglicht.

2016: Der SWIFT-Hack

Ohne einen kleinen Tippfehler, der einen aufmerksamen Bankmitarbeiter stutzig gemacht hatte, wäre der Cyber-Angriff auf die Zentralbank von Bangladesch im vergangenen Sommer vielleicht als größter Bankenbetrug aller Zeiten in die Geschichte eingegangen. Anstatt 850 Millionen belief sich der entstandene Schaden so „nur“ auf rund 81 Millionen Dollar. Ausgangspunkt der Attacke waren ungeschützte 20-Dollar Second-hand-Router.

Über dieses Einfallstor ins Netzwerk gelangt, konnten sich die Hacker dank einer maßgeschneiderten Malware Zugang zum SWIFT-System verschaffen, welches fahrlässiger Weise mit dem Netzwerk der Bank verbunden war. Im System angekommen, war es ihnen möglich, nach Belieben Transaktionen anzuweisen.

Banken sind für Cyberkriminelle seit je her ein bevorzugtes Angriffsziel

So unterschiedlich all die Angriffe auch sind, so zeigen sie doch alle, wie schlecht es um die Sicherheit unserer Banken bestellt ist und wie viel die Verantwortlichen in Sachen Aufklärung und Aufrüstung noch tun müssen. Banken sind für Cyberkriminelle seit je her ein bevorzugtes Angriffsziel, da Hacker hier schnell an sensible Daten und Geld kommen können.

Die zunehmende Digitalisierung und die sich stetig professionalisierende Cyberkriminalität tun ihr Übriges. Es ist Zeit, dass sich IT-Verantwortliche in Banken und Finanzinstitutionen mit der aktuellen Bedrohungslandschaft auseinandersetzen, Schwachstellen ihrer Infrastruktur und Systeme definieren und gezielt Schutzmaßnahmen implementieren.  Dass klassische Anti-Virus-Lösungen, Firewalls oder statische Verschlüsselungs- und Verschleierungsprogramme keinen ausreichenden Schutz mehr bieten, dürfte dabei den Meisten klar sein.

Der sicherste Weg, um sich vor Cyberangriffen und Manipulationen zu schützen, sind letztlich fest in der Software und den Anwendungen verankerte Schutzmaßnahmen. Denn nur wenn die Software bereits nach Abschluss ihres Entwicklungsprozesses auf Binärcode-Ebene mit mehrschichtigen und dynamischen Selbstschutz-Mechanismen (Runtime Application Self-Protection) und einer aktiven Verschlüsselung sensibler Keys (WhiteBox-Kryptographie) ausgestattet wurde, kann sie ausgefeilten Hackerangriffen standhalten.

Jenseits der Sicherheitstechnologien spielen natürlich auch Aufklärung und verantwortungsbewusstes Verhalten von Kunden und Mitarbeitern eine wichtige Rolle. Noch immer fallen Bank- Mitarbeiter und Kunden auf Phishing-Emails rein und präsentieren den Betrügern ihre sensiblen Daten somit quasi auf dem Präsentierteller.

Aber auch mobiles Banking verleitet Kunden immer wieder zu fahrlässigem Verhalten. Wenn sich Nutzer etwa über öffentliches WLAN in ihre Konten einwählen oder wenn Banking-App und TAN-generierende App auf einem Mobilgerät installiert werden  und die eigentlich so wichtige  Zwei-Wege-Authentifizierung damit umgangen wird. Hier dürfen die Banken nicht müde werden, Aufklärungsarbeit zu leisten und ihre Kunden zu warnen.

 Autor: Markus Unger-Schlegel, Arxan Technologies

 

„So arbeitet Deutschland-Umfrage“ zeigt: Arbeitsklima und -kultur wichtiger als Gehalt

So arbeitet Deutschland. Copyright SThree

So arbeitet Deutschland. Copyright SThree

Gut ein Viertel der Berufstätigen in Deutschland findet, dass ihr Team nicht vielfältig ist. Das ist ein Ergebnis der Umfragereihe So arbeitet Deutschland der Personalberatung SThree, bei der Festangestellte und Freelancer nach verschiedenen Aspekten der aktuellen Arbeitswelt sowie ihren Wünschen befragt wurden.

Die Antworten der mehr als 1.000 Teilnehmer zeigen, dass Vielfalt in Unternehmen nicht nur zu wenig gelebt wird – gemischte Teams sind oft auch gar nicht erwünscht. Zudem sind die Unternehmenskultur und das private Glück den Befragten wichtiger als Geld und Erfolg. Es stellt sich die Frage: Ist New Work in Deutschland schon in der Realität angekommen – und wollen die Menschen in Deutschland überhaupt so arbeiten?

Diversity in Unternehmen – Wunsch oder Wirklichkeit?

Obwohl die Gesellschaft in Deutschland immer vielfältiger wird, spiegelt sich diese Entwicklung noch nicht in der Arbeitswelt wider. Frauen und Männer, Junge und Alte, Menschen aus verschiedenen Kulturen und Religionen – ist die Arbeitswelt in Deutschland bereits so bunt wie die Gesellschaft? Die aktuelle Umfrage von SThree zeigt, dass 24 Prozent aller Befragten ihr Team nicht für vielfältig halten. Zudem sind Belegschaften mit Mitarbeitern verschiedener Religionen (22 Prozent) und die Inklusion von Menschen mit körperlichen Einschränkungen (12 Prozent) eher selten. Gut aufgestellt sind Unternehmen hingegen hinsichtlich Geschlecht (49 Prozent), Herkunft (47 Prozent) und Alter (32 Prozent).

Gleich und gleich gesellt sich gern

Die Wunscharbeitswelt der Befragten ist ähnlich homogen: 38 Prozent der Befragten wollen grundsätzlich nicht in vielfältigen Teams arbeiten. „Es ist überraschend, dass mehr als ein Drittel gemischten Teams kritisch gegenübersteht. Dabei bedeuten diese eine Vielfalt an Talenten, weil unterschiedliche Denk- und Herangehensweisen aufeinandertreffen. So entstehen produktive Gruppen, die kreativ und innovativ arbeiten“, so Luuk Houtepen, Director Business Development bei SThree. „Für Unternehmen lohnt es sich, auf Diversity zu setzen, denn dies bietet in einem internationalen Arbeitsumfeld einen strategischen Wettbewerbsvorteil durch einen vielfältigeren Kundenstamm, Austausch von Erfahrungen, interkulturelles Know-how und Sprachkenntnisse.“

Dabei ist Diversity nicht gleich Diversity: Während immerhin 20 Prozent mehr Vielfalt hinsichtlich Geschlecht und Alter begrüßen würden, finden Diversity-Kriterien wie Herkunft (16 Prozent) und körperliche Einschränkungen (5 Prozent) nur wenige Fürsprecher.

Vielfalt muss gelebt werden

Oft scheitert es bereits bei der Umsetzung des Diversity-Gedankens. 42 Prozent geben an, dass sie keine Diversity-Maßnahmen bewusst im Unternehmen wahrnehmen. Dabei erklären 21 Prozent aller Umfrage-Teilnehmer, dass sie gerne die Kultur ihrer Kollegen kennenlernen würden. Auch der Bewerbungsprozess selbst bietet Optimierungspotenzial: Die zielgerichtete Ansprache und Priorisierung bisher wenig repräsentierter Personengruppen landet mit 19 Prozent auf Platz zwei.

Die Möglichkeiten, Diversity-Maßnahmen umzusetzen, sind vielfältig und reichen von anonymen Bewerbungen über eine mehrsprachige Unternehmenskommunikation bis zu gemeinsamen kulturellen Festen. „Diversity-Management darf in den Unternehmen kein Buzzword bleiben. Vielfalt muss gelebt werden“, so Luuk Houtepen. „Voraussetzung dafür ist eine positive und integrative Arbeitsumgebung, die durch Chancengleichheit und Anerkennung von Unterschieden geprägt ist. Das leben wir nicht nur selbst, sondern unterstützen auch Unternehmen dabei, Projekte zum Thema Vielfalt zu entwickeln.“

Lieber glücklich als erfolgreich

Egal ob Berufseinsteiger oder Führungskraft, Festangestellter oder Freelancer: Für 87 Prozent ist privates Glück wichtiger als beruflicher Erfolg. Es wird mehr Wert auf eine ausgewogene Work-Life-Balance gelegt, die Zeit für Familie, Freunde und Hobbys lässt, als auf die nächste Karrierestufe.

Auch bei der Wahl des Arbeitgebers ist Geld nicht entscheidend, sondern der „Cultural Fit“. So geben 83 Prozent der Befragten an, dass sie aufgrund des Gehalts nicht in einem Unternehmen arbeiten würden, in denen ihnen die Kultur nicht zusagt. „Die Ergebnisse verdeutlichen, dass ein Bewerber nicht nur auf dem Papier passen soll, sondern auch die Vorstellung von Arbeitsweise und -kultur übereinstimmen müssen. Es geht bei einer erfolgreichen Stellenbesetzung um mehr, als nur Fachkenntnisse und Stellenprofil abzugleichen – Unternehmen und Mitarbeiter müssen einfach zueinander passen“, findet Luuk Houtepen.

Geld ist nicht alles

Die neue Arbeitswelt ist nicht nur von technischen Entwicklungen wie der Digitalisierung geprägt, sondern auch von einer veränderten Einstellung zur Arbeit. Diese wird nicht mehr nur als reines Mittel zum Gelderwerb gesehen, sondern muss weit mehr Ansprüche erfüllen: 96 Prozent der be-fragten Festangestellten und Freelancer würden ihren Job wechseln, um sich mit ihrer Arbeit selbst zu verwirklichen – 34 Prozent selbst bei niedrigerem Gehalt.

Die Ergebnisse verdeutlichen zudem, wie stark die Wechselbereitschaft der Arbeitnehmer gestiegen ist. Dabei gibt es Faktoren, die Mitarbeiter motivieren und damit auch langfristig binden: Zu den Top drei Motivatoren zählen Beförderung/Gehalt (30 Prozent), flexible Arbeitszeiten und -orte (22 Prozent) und spannende Aufgaben (21 Prozent). „Diese Wünsche der Arbeitnehmer spiegeln sehr gut das wider, was die Arbeitswelt 4.0 auszeichnet: Die Menschen wollen entscheiden, wann und wo sie arbeiten sowie herausfordernde und interessante Tätigkeiten ausführen. Dass auch das Gehalt stimmen muss, ist klar. Mitarbeiter wünschen sich Wertschätzung – und ein faires Gehalt ist dafür die Grundvoraussetzung“, sagt Luuk Houtepen.

Ein Whitepaper zu den Ergebnissen gibt es online.

 

 

Blockchain: Potenzial und Gefahr zugleich

blockchainDie Blockchain-Technologie ist auf dem Vormarsch. Acht Jahre nach dem Aufkommen der Original Bitcoin Blockchain, gibt es viele Bemühungen, mit den Sicherheitsvorteilen der Technologie in zahlreiche Industriezweige vorzustoßen. Doch welche Vorteile bringt diese den Usern, welche den Unternehmen? Und wie sehen neue Herausforderungen aus, die sich dadurch ergeben? Stichwort: Security Next Generation.

Zunächst einmal: Eine Blockchain lässt sich als Datenbank verstehen, die die technische Grundlage für eine Kryptowährung bereithält. Bekanntestes Beispiel einer Blockchain ist das Zahlungsmittel Bitcoin.

Vorteil 1: Direkte Transaktion ohne Mittelsmann

Der größte Vorteil besteht in der direkten Transaktion von Parteien. Es gibt keinen Dritten im Bunde, der wie ein Schiedsrichter, zum Beispiel eine Bank, oder Treuhänder, wie der Bezahldienst Paypal, die Verlässlichkeit der Akteure prüft.

Doch warum sollte man das bewährte Treuhänder-Modell umgehen wollen? Der Mittelsmann nimmt einem ja gerade die Arbeit ab, das Gegenüber auf Herz und Niere zu prüfen. Aber: Kann man denn dem Schiedsrichter trauen? Auch große Banken sind vor Manipulationen nicht sicher, wie zahlreiche Berichte in der Vergangenheit gezeigt haben.

Vorteil 2: Nachträgliche Änderungen ausgeschlossen

Die Parteien können ihren Deal selbst regeln und versiegeln, so dass die Transaktion zwar sicht- aber unveränderbar bleibt. Dieses Prinzip fordert quasi ehrliches Verhalten der Akteure ein.

Das „Einfrieren“ der Transaktionen erfordert eine andere Technologie als bisher: Bitcoin zum Beispiel hält die Rechenkapazität einer Kleinstadt vor, um seine Transaktionen in digitalem Herz zu verwahren. Andere Technologien nutzen einen Proof-of-stake-Algorithmus. Jedes Prinzip hat seine eigenen technischen und ökonomischen Konsequenzen.

Kein Wunder also, dass gerade im Hinblick auf den Sicherheitsaspekt viel mit der Blockchain Technologie experimentiert wird. Dänische und australische Parteien hoffen auf eine Nutzung bei Online-Wahlen. Es gibt Angebote zur notariellen Beurkundung von Dokumenten und sogar die Überlegung, Krankenakten via Blockchain Technologie zu sichern.

Problem 1: Blockwashing

Eine der größten Herausforderungen im Umgang mit der Blockchain Technologie wird blockwashing sein: entwickelt sich eine vielversprechende Technologie, soll diese als Heilsbringer in den unterschiedlichsten Bereichen fungieren. Die Hals-über-Kopf-Methode, um aus der neuen Technologie Kapital zu schlagen, befeuert die frühe Kurve des Gartner Hpye-Zyklus‘ .  Diese führt aber auch zu einem unausweichlichen Zusammenbruch, wenn die Technologie den Erwartungen nicht gerecht wird – wie bereits gemutmaßt wird.

Galt Dezentralisierung als wichtige Charakteristik der original Blockchain, muss man sich fragen, was der Einzug der Technologie in Cloud-Strukturen (u.a. bei Microsoft und IBM) für die Sicherheitsleistung bedeuten wird. Zwar ist alles kryptografisch gesichert, aber betrieben wiederum von einer einzigen Partei. Der ursprüngliche Charakter der Blockchain wird damit ausgehöhlt. Mehr noch: Microsofts Marketing spielt bereits mit dem unvermeidlichem Spitznamen „Blockchain as a Service“ und negiert damit offen die gesamte Idee des dezentralen und unabhängigen Netzwerks.

Problem 2: Fehlende Standardisierung

Mit dem Thema Standardisierung wird man sich ebenfalls in Zukunft auseinandersetzen müssen. Es gibt zahlreiche Vorschläge und Lösungsansätze für die Blockchain Technologie. Jede mit ihren Vor- und Nachteilen. Zusammenarbeit kann hier nur die richtige Vorgehensweise sein, um allgemein gültige Standards zu definieren. Die Internationale Organisation für Normung (ISO) hat bereits ein Komitee gebildet, das erste Bemühungen in diese Richtung prüft.

Problem 3: Gute Konzepte, schlechter Code

Ein weiteres kritisches Thema dreht sich um die Sicherheit. Denn nur weil das Blockchain-Konzept Security bietet, bedeutet das noch lange nicht, dass auch die Implementierung sicher ist. China beispielsweise – interessiert an einer eigenen Kryptowährung – analysierte kürzlich 25 der Top Blockchain-bezogenen Software Projekte und fand signifikante Sicherheits-Schwachstellen: Stichwort Input Validation.

Fazit: Erst sicherer programmieren, dann nutzen

Die hier dargestellten Probleme sind nicht nur theoretisch. Vielmehr stehen sie den Zielen vieler Blockchain-Projekte diametral entgegen. Bugs in Blockchain Implementierungen sind ernst zu nehmen und führen zu massiven Sicherheitslücken und finanziellen Verlusten, wie der Diebstahl von Zcoins im Wert von 400.000 US Dollar letzten Monat veranschaulicht.

Mit der Weiterentwicklung von Blockchain Software vergrößern sich auch deren Angriffsflächen. Ein Schlüsselfaktor werden hier klug ausgetüftelte Verträge sein. Während die Orginal Bitcoin Blockchain nur Protokolle der digitalen Transaktionen bereithält, könnten neuere Abkommen in Wirklichkeit Programme sein, die auf der Blockchain laufen: Man stelle sich einen legalen Vertrag vor, der durch ein Computerprogramm ersetzt wird.

Statt einen Anwalt zu bezahlen, der den Vertrag regelt, könnten alle teilnehmenden Parteien das selbstständig organisieren. Die Blockchain sorgt für unveränderbaren und transparenten Programm-Output. Das Programm selbst analysiert die externen Bedingungen und führt seine Klauseln ordnungsgemäß aus. Dennoch: Computer-Programme werden immer Schwachstellen haben. Insofern kann die Lösung für eine sichere Blockchain-Technologie nur darin liegen, unter Berücksichtigung von Sicherheitskonzepten zu programmieren und so zum Beispiel die Schwachstellen bei Input und Output Validierung zu korrigieren.

Und zwar bevor man diese Technologie weiten Teilen der Wirtschaft anvertraut oder sie ausgiebig dafür nutzt, um beispielsweise das Internet der Dinge zu organisieren.

Blockchain ist heute das, was das Internet 1994 war

Blockchain hält seine Versprechen. Aber es sollte Gartners Hype-Zyklus durchlaufen bevor es zum Hauptthema in der Sicherheitsindustrie wird. Und wir werden unsere Code-Praxis mit Hilfe von Security-Audits und Code-Scans ebenfalls überdenken müssen. Die Blockchain ist heute das, was das Internet 1994 war.

Zwei Jahrzehnte später ist das Web wie der Justin Bieber der Technologie: unlängst erwachsen geworden, wahnsinnig erfolgreich, aber auch faul und angeschlagen durch den etwas außer Kontrolle geratenen Siegeszug. Es ist ein schöner aber verrückter Ort, im Stich gelassen durch einen Mix aus fragwürdigem Javascript und steil ansteigender Cyberkriminalität. Beherrscht von Monolithen, welche die Privatsphäre ihrer Nutzer zum Frühstück verspeisen. Zugegeben, etwas pessimistisch, aber wäre es nicht sinnvoll, aus den Fehlern der Vergangenheit zu lernen während wir uns mit Blockchain beschäftigen?

Autor: Sophos ist Anbieter von Endpoint- und Network-Security-Lösungen der nächsten Generation. Als Pionier der Synchronized Security entwickelt Sophos sein innovatives Portfolio an Endpoint-, Netzwerk-, Verschlüsselungs-, Web-, E-Mail- und mobilen Security-Lösungen, die miteinander kommunizieren.

Mehr Sicherheit im smarten Zuhause

Bildquelle: City University London

Bildquelle: City University London

Ob im Geschäftsleben oder in den heimischen vier Wänden – das Internet der Dinge hat seinen Siegeszug angetreten. Die Zahlen sind beachtlich: Geschätzt mehr als 8,4 Milliarden miteinander verbundene Geräte sind im Jahr 2017 verfügbar. Zudem sind in diesem Jahr 63 Prozent aller Geräten im Endkundenbereich im Einsatz.

In absoluten Zahlen sind das 5,3 Milliarden Geräte. Und Gartner geht davon aus, dass die Anzahl verbundener Geräte bis 2020 auf 20,4 Milliarden anwachsen wird. Bisher war es meist so, dass es beim Thema Security vor allem um Notebooks und Smartphones ging, da ihr umfangreicher Gebrauch und ihre Marktanteile sie zu einem attraktiven Ziel für die Angreifer machten.

Jetzt aber, da IoT-Geräte ihren Siegeszug in die Haushalte angetreten haben und dabei wenige bis gar keine Security-Funktionen vorweisen können, sind sie zu leichter Beute für Angreifer geworden. Mit ihnen können nicht nur einzelne Geräte, sondern das gesamte Heimnetzwerk kompromittiert werden. Herkömmliche Security-Mechanismen eignen sich nicht immer für IoT-Geräte, da sie keine zusätzlich installierte Software unterstützten wie es andere Betriebssysteme tun.

Mehr IT-Sicherheit im eigenen Zuhause

Security-Forscher warnen bereits seit langem vor den Gefahren durch smarte, mit dem Heimnetzwerk verbundene IoT-Geräten. Die Anwender riskieren dabei viel mehr als nur den Verlust des Zugangs zum Gerät. Oftmals sind dann gleich mehrere Geräte des gleichen Netzwerks betroffen.

Das Ausnutzen einer einzigen Schwachstelle in einem Smart TV oder in jedem anderen mit dem Netzwerk verbundenen smarten Gerät kann dazu führen, dass die Angreifer sich im gesamten Heimnetzwerk bewegen und so Notebooks, mobile Geräte und selbst private Daten, die auf einem Network Attached Storage (NAS) gesichert sind, kompromittieren können. Welche beliebten Einfallstore gibt es im eigenen Zuhause und wie können sich Privatanwender schützen?

Smart TV – oft ein offenes Scheunentor

Smart TVs gehören mittlerweile zum Mainstream und sind in fast jedem Haushalt zu finden. Während Otto-Normalverbraucher selbst ihren Fernseher nicht als „smartes Gerät“ ansehen, so ist er doch mit dem Internet verbunden, verfügt über ein eigenes Betriebssystem und ist genauso den Gefahren aus dem Internet ausgesetzt wie etwa ein Smartphone oder Tablet – Beispiel die aktuellen Ransomware-Attacken auf Smart TVs.

In einer in den USA durchgeführten Studie, gaben 6 von 10 Besitzer von Smart TVs an, dass sie keinerlei Sicherheitsoptionen für ihren Smart TV im Einsatz haben. Doch diese Geräte gehören nach Smartphone, Tablet, Notebook und Desktop Computer zu den Top5 der mit dem Internet vernetzten Geräte im Haushalt.

Da sie Browsing-Funktionen enthalten und es möglich ist, Anwendungen herunterzuladen, empfiehlt es sich in jedem Fall eine Security-Lösung zu installieren, die für Smart TVs mit Android-Betriebssystemen konzipiert ist.

IP Kameras und Babyphones mit Videofunktion

Während es für Smart TVs Unterstützung durch Security-Lösungen gibt, bieten andere smarte Geräte, wie beispielsweise Webcams, Babyphones mit Videofunktion oder IP Kameras solche Optionen nicht an. Security-Forscher haben oft dargelegt, wie Angreifer über diese Geräte Remote-Zugriff erlangen können, indem sie Internet-Ports und -Dienste (z.B. Telnet, SSH) oder ungepatchte Schwachstellen in der Firmware ausnutzen.

Auf einigen dieser Geräte laufen oftmals veraltete Firmware-Versionen und die Besitzer werden nie über die Existenz neuer Versionen informiert, auf denen ernsthafte Sicherheitsschwachstellen beseitigt wurden. Hinzu kommt das Risiko, dass der Cloud-Dienstleister, der für die Speicherung der Videos verantwortlich ist, das Thema Datenschutz und Privatsphäre nicht sonderlich ernst nehmen könnte oder einfach nicht in der Lage ist, die Daten sowohl bei der Übertragung als auch bei der Speicherung zu verschlüsseln.

Letzteres öffnet die Tore für Man-In-The-Middle-Attacken, die auf die Aufnahmen einer Kamera zugreifen oder sie sogar ganz kontrollieren können.

Smarte Lampen und Steckdosen

Zum Smart Home gehören auch Lampen und Lichtschalter, die eine WLAN-Verbindung erfordern, über die sie per Fernbedienung gesteuert werden können. Damit sind sie denselben Problemen wie andere smarte Geräte auch ausgesetzt. Hinsichtlich Sicherheitsfeatures, Firmware-Updates und Schwachstellen bei Remote-Verbindungen wird der durchschnittliche Anwender ziemlich alleine gelassen.

Wichtig ist, sich vorab über die Sicherheitsfunktionen der Geräte zu erkundigen und sicherzustellen, dass der Hersteller vertrauenswürdig ist und Richtlinien bei der Behebung bekannter Sicherheitslücken vorweisen kann. Auch hier ist es sehr empfehlenswert, Standardpassworte gleich nach Erhalt zu verändern, da es Online-Suchmaschinen gibt – beispielsweise Shodan – die das Internet nach IoT-Geräten mit Standardzugangsdaten durchsuchen, umso Angreifern den Remote-Zugriff zu erleichtern.

Tipps in Sachen IoT-Sicherheit

In der Konsequenz sollte IoT-Sicherheit zwei unverwechselbare und leistungsstarke Technologien beinhalten, die sowohl Antimalware-Scanning-Funktionen als auch IoT-Schwachstellen-Prüfungen umfassen. Eine IoT-Security-Lösung sollte am Gateway dafür sorgen, dass einkommender Netzwerkverkehr weder bösartig noch verändert ist.

Malware und Phishing-Seiten sollten blockiert werden, um sicherzustellen, dass sie nicht ans Zielgerät kommen. Die für die Schwachstellen-Überprüfung zuständige Einheit sollte regelmäßig checken, ob mit dem Netz verbundene Geräte veraltet sind, ungepatchte Firmware verwenden oder Fehlkonfigurationen vorgenommen wurden – zum Beispiel offene Telnet oder SSH-Ports, die über das Internet erreichbar sind, schwache Passwörter, bekannte Exploits bei einem Gerät und viele mehr. Ist die Schwachstellen-Überprüfung abgeschlossen, sollte ein umfassender Bericht mit den identifizierten Fehlern und entsprechenden Gegenmaßnahmen bereitgestellt werden.

Hier noch ein paar ganz praktische Tipps:

1. Informieren! Informieren! Und nochmals informieren! Noch bevor ein IoT-Gerät für den Haushalt gekauft wird, sollte man sich umfassend informieren: über Funktionen, die Art und Weise, wie mit gesammelten Daten umgegangen wird und ob der Hersteller eine verlässliche Richtlinie bei Security- und Firmware-Updates verfügt. Natürlich sollte ein IoT-Gerät praktisch sein und interessante Funktionen vorweisen können – aber am wichtigsten ist, dass es sicher ist und umsichtig mit privaten Daten umgegangen wird.

2. Standard-Passwort verändern Das allererste, was jeder tun sollte, der ein neues IoT-Gerät mit dem Heimnetz verbindet, ist das Standardpasswort durch ein mindestens 8 bis 16 Zeichen langes neues Passwort zu ersetzen, dass sowohl Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthält. Es gibt IoT-Suchmaschinen, wie beispielsweise Shodan, die das Internet gezielt nach smarten Geräten ohne Passwort oder mit Stand-Passwort absuchen.

3. Trennung der Netzwerke Es mag ein wenig aufwändig erscheinen, aber das Einrichten eines separaten WLAN-Netzes nur für IoT-Geräte ist aus Sicherheitsperspektive sehr sinnvoll. Ist ein Gerät mit einer Schwachstelle erst einmal kompromittiert und von außen kontrolliert, so sind zumindest andere wichtige Geräte im Haus, wie das Notebook oder beispielsweise das NAS nicht betroffen.

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender

4. Firmware-Updates In gleicher Weise wie Updates auf Security- und Betriebssystemen auf dem Notebook oder mobilen Geräten vorgenommen werden, muss dies auch für IoT-Geräte geschehen. In manchen Fällen führen Hersteller Security-Updates und Fixes durch, die verhindern sollen, dass Angreifer Geräte einfach übernehmen und gegen die Besitzer verwenden. Das ist aber nicht die Regel.

Herkömmliche Security-Mechanismen lassen sich nicht unbedingt Eins zu Eins auf IoT-Geräte übertragen. Doch befolgt man diesen wenigen einfachen Regeln, kann man sich entspannt in seinem smarten Zuhause zurücklehnen.

Autor: Liviu Arsene ist Senior Threat Analyst bei Bitdefender. Bitdefender ist ein globales Sicherheits-Technologie-Unternehmen und bietet wegweisende End-to-End Cyber-Security-Lösungen sowie Advanced Threat Protection für über 500 Millionen Nutzer in über 150 Ländern. Seit 2001 ist Bitdefender ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen für Privat- und Geschäftsanwender einführt und entwickelt. Zudem liefert das Unternehmen Lösungen sowohl für die Sicherheit hybrider Infrastrukturen als auch für den Schutz von Endpunkten. Als führendes Security-Unternehmen pflegt Bitdefender eine Reihe von Allianzen sowie Partnerschaften und betreibt eine umfassende Forschung & Entwicklung. Weitere Informationen sind unter www.bitdefender.de verfügbar.

Keine Chance den Lügenbaronen – Warum Fake-Bewertungen sich nicht lohnen

Smiley-face-emoticon-575 Ist ein Unternehmen mit seinem Kundenfeedback und der Anzahl der Bewertungen nicht zufrieden, ist es ein Leichtes bei einer spezialisierten Text-Agentur gefälschte Kundenmeinungen für das eigene Profil zu kaufen. Und wer kennt sie nicht, die überschwänglichen und durchweg positiven Bewertungen im Netz, die etwas zu sehr nach Werbetext klingen. Die Motive, dem eigenen Profil einen entsprechenden Feinschliff zu geben, sind vielfältig: Zu wenig Bewertungen, zu niedrige Empfehlungsquote oder nicht das gewünschte Kundenfeedback. Doch die Selbst-Lobhudelei zahlt sich nicht aus.

 Rechtliche Konsequenzen bei Fake-Bewertungen

Gefälschte Kundenmeinungen bringen das ganze System in Verruf, das vor allem auf Vertrauen und Ehrlichkeit basiert, und schaden grundsätzlich jedem Beteiligten. Wenn Kunden das Vertrauen in Produkte oder Dienstleistungen und damit in Unternehmen verlieren, wird dem Bewertungsmarketing jegliche Basis entzogen. Und darunter leiden letztendlich nicht nur die, die ihre Bewertungen nutzen, um potenziellen Kunden ein authentisches Bild der eigenen Leistung und Qualität zu vermitteln.

Letzten Endes fällt es auch auf jene zurück, die das Bewertungssystem missbrauchen. Das Fälschen von Kundenmeinungen ist durchaus strafrechtlich relevant. Auch wenn es sich nicht zwangsläufig um Betrug handelt, so fallen Fake-Bewertungen oft in den Bereich des unlauteren Wettbewerbs.

Der künstliche Feinschliff des eigenen Bewertungsprofils oder das Platzieren von falschen Negativbewertungen auf den Profilen von Wettbewerbern sind in jedem Fall verboten. Dabei sind es nicht unbedingt die Kunden, die über eine gefälschte Bewertung stolpern, oftmals sind es auch Wettbewerber, die den Betrug erkennen und zur Anzeige bringen. Außerdem führen gefälschte Bewertungen zum Ausschluss aus den Bewertungsportalen. Lügenbarone müssen also z.B. mit Geldstrafen und Abmahnungen rechnen.

Vertrauen und Ehrlichkeit als Basis einer Geschäftsbeziehung

Auch wenn die selbstverfasste Bewertung nicht sofort rechtliche Konsequenzen nach sich zieht oder durch das Filter-Raster der Portale fällt, entsteht ein immenser Schaden für die eigene Reputation, wenn der Schwindel auffliegt. Dieser Schaden kann unter Umständen schlimmer sein, als eine Schadensersatzforderung oder ein gelöschtes Profil. Denn aus der Sicht des Kunden stellt sich schnell die Frage, wie es um die Redlichkeit in der Geschäftsbeziehung bestellt ist, wenn ein Unternehmen schon hinsichtlich seines Profils auf unlautere Mittel zurückgreift. Ehrlichkeit und Vertrauenswürdigkeit werden dann schnell in Frage gestellt.

Eine Manipulation muss dabei nicht einmal eindeutig nachweisbar oder offensichtlich sein. Mittlerweile hat der Verbraucher selbst dazugelernt und ein feines Gespür für gefälschte Bewertungen entwickelt. Zudem gibt es im Netz viele Artikel darüber, wie manipulierte Bewertungen erkannt werden können. Besteht auch nur der leiseste Verdacht auf Fälschung, fällt das eigene Reputationsmanagement in sich zusammen. Denn Integrität ist der Grundpfeiler, auf der alle weiteren Geschäftsaktivitäten aufbauen. Unternehmen sollten sich bewusst sein, dass alle bisherige Arbeit zunichte gemacht werden kann, wenn Bewertungen gefälscht werden.

Fazit: Aktives Bewertungsmarketing betreiben

Im digitalen Bewertungsdschungel wird nicht immer fair gespielt. Aber Bewertungen fälschen – ein ganz klares No Go! Die eigene Reputation ist das höchste Gut eines Unternehmens. Ist diese erst einmal zerstört, kann dies das Aus bedeuten. Der Wunsch nach einem ausgewogenen Kundenfeedback und vielen Bewertungen ist sicherlich nachvollziehbar. Doch wer auf seine zufriedenen Kunden zugeht und aktives Bewertungsmarketing betreibt, kommt seinem Ziel damit schnell näher – auch ohne unlautere Mittel.

Autoren: Der 39-jährige Marketing-Experte Remo Fyda betreut seit 17 Jahren Konzerne bei der Umsetzung ihrer Online-Strategie und deckt dabei alle Facetten der digitalen Kommunikation ab. Als langjähriger Projektleiter und Berater bei Cybay New Media war er unter anderem für Kunden wie AEG, Continental, die KKH-Allianz, Konica Minolta, die Nord LB, Rossmann, TUIfly, Euler Hermes, VW oder die VHV-Gruppe verantwortlich. Zuletzt gründete er 2011 erfolgreich Neoskop, eine Full-Service-Agentur für digitale Kommunikation. Seit 2013 ist er Geschäftsführer von ProvenExpert.com, der Online-Plattform für qualifiziertes Kundenfeedback und Bewertungsaggregation. Remo Fyda hat Medieninformatik an der Hochschule Harz studiert. 

Karsten Gulden ist Fachanwalt für Urheber- und Medienrecht. Als Gründer und Gesellschafter bei gulden röttger | rechtsanwälte hat sich K. Gulden neben dem Urheberrecht auf das Social Media-, Persönlichkeits- und Markenrecht/ E-Commerce spezialisiert. Neben seiner juristischen Tätigkeit ist Karsten Gulden auch als Blogger und YouTuber aktiv.

Wie mobile Agenten in die Privatsphäre von Benutzern eindringen

AVG_NetzspionageMit der zunehmenden Einführung von BYOD im Arbeitsalltag stehen Unternehmen vor der Herausforderung, Datensicherheit, Privatsphäre und Benutzerfreundlichkeit miteinander in Einklang zu bringen. Um die mit dem Unternehmensnetzwerk verbundenen Mobilgeräte zu überwachen, setzen zahlreiche Firmen auf Mobile Device Management (MDM)-Lösungen.

Dies erfordert die Installation eines Software-Agenten auf dem privaten Endgerät der Mitarbeiter. In der Regel sind sich die Mitarbeiter darüber bewusst, dass sie durch die Aktivierung der Software auf ihren persönlichen Geräten ein gewisses Maß an Kontrolle über ihre Daten an ihren Arbeitgeber abgeben.

Wie ein Experiment von Bitglass allerdings zeigt, hat die allgemein vorherrschende Vorstellung, sowohl auf Seiten der Mitarbeiter als auch der Arbeitgeber, mit der Realität wenig zu tun. Vor allem mit Blick auf die Europäische Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft treten wird und Nutzern mehr Rechte zur Wahrung ihrer Privatsphäre einräumt, lassen die Ergebnisse aufhorchen.

Das Experiment

In einem einwöchigen Experiment testete ein IT-Forschungsteam von Bitglass, inwieweit MDM dazu genutzt werden kann, Smartphones und Tablets von Mitarbeitern ohne ihr Wissen zu überwachen und zu steuern. Jeder, der an der Studie teilnahm, gab dem Team die Erlaubnis, MDM-Zertifikate per Push an ihre Geräte zu übertragen.

Eine Praxis, die üblicherweise für die Datenübertragung über das Firmennetzwerk über ein Virtual Private Network (VPN) oder einen globalen Proxy verwendet wird. In nur sieben Tagen sammelte die MDM-Software eine Reihe von Informationen über die Interessen, Aktivitäten, Identitäten und Beziehungen der Mitarbeiter. Während des Experiments gelang es den Versuchsleitern, auf folgende Informationen zuzugreifen:

Surfverhalten

Mit dem Routing des Datenverkehrs über einen globalen Proxy war es möglich, das Surfverhalten von Mitarbeitern zu erfassen. Der Zugriff auf ihren Browserverlauf gewährte Einblick in sämtliche Vorgänge, von der Amazon-Produktsuche über vertrauliche Anfragen bei Gesundheitsdienstleistern bis hin zu politischen Interessen und Mitgliedschaften.

SSL-verschlüsselte Daten

Darüber hinaus gelang es den IT-Experten, mittels eines globalen Proxy in Verbindung mit einem vertrauenswürdigen Zertifikat, die SSL-Verschlüsselung zu deaktivieren. Durch die unverschlüsselte Umleitung von SSL-Datenverkehr erhielt das Forschungsteam Zugang zu den persönlichen E-Mail-Postfächern von Benutzern, ihren Konten bei sozialen Netzwerken und Bankdaten. Mit anderen Worten: Alle sicheren  Anmeldedaten wurden offengelegt, da Benutzernamen und  Kennwörter, die zur Kontoanmeldung verwendet werden, als Klartext an den Server der Versuchsleiter übermittelt wurden.

E-Mailverkehr

Die Fähigkeit zur Überwachung aus- und eingehender privater Kommunikation mittels MDM war auch bei Apps von Drittanbietern möglich – und sogar auf iOS, was die vorherrschende Meinung, dass App-Sandboxing den Einblick von Arbeitgebern in das Benutzerverhalten einschränke, wohl widerlegt. Mit Hilfe von Apps wie Gmail und Messenger gelang es sogar, versendete persönliche Mitteilungen abzufangen und eine Liste aller auf dem Gerät eines Mitarbeiters installierten Apps zu erstellen.

Aufenthaltsorte

Die meisten Teilnehmer des Experiments waren sich darüber bewusst, dass Administratoren verwalteter Geräte problemlos deren Standort ermitteln können, sofern GPS aktiviert ist. Wenigen war jedoch klar, inwieweit dies für das Erstellen eines Bewegungsprofils missbraucht werden kann. Das Forschungsteam ging noch einen Schritt weiter und sorgte dafür, dass GPS ohne Benachrichtigung des Benutzers im Hintergrund aktiv blieb. Dies ging nicht nur deutlich zu Lasten der Akkuleistung, sondern gab anhand des Standorts auch Auskunft über die Freizeitgewohnheiten der Teilnehmer. Dadurch konnte das Forschungsteam nachvollziehen, wo die Mitarbeiter ihre Freizeit verbrachten, wie häufig sie einkaufen gingen und vieles mehr.

Geräteeinstellungen

Vor allem das im Rahmen von MDM mögliche Zurücksetzen der Geräteeinstellungen, bereitet Mitarbeitern Sorgen, da viele von ihnen private Kontakte, Notizen, Fotos und andere Daten auf ihren persönlichen Geräten speichern. Dem Forschungsteam gelang es im Experiment, mittels MDM die Backup-Funktion so einzuschränken, dass eine Wiederherstellung von Diensten wie iCloud unmöglich wurde und den Betroffenen so gut wie keine Möglichkeit zur Wiedergewinnung verlorener Daten blieb.

Benutzerzugriff

Das Forschungsteam war zudem in der Lage, in zentrale Sicherungs- und Sperrfunktionen einzugreifen und so den Benutzerzugriff auf die Kamera, Apps wie FaceTime und grundlegende Aktionen wie Kopieren und Einfügen einzuschränken.

Angesichts des bevorstehenden Inkrafttretens der DSGVO im Mai 2018 ist es für europäische Unternehmen ratsam, die Sicherheit ihrer BYOD-Konzepte – beziehungsweise deren Potential für Sicherheitslücken – einer Prüfung zu unterziehen. Sie müssen sicherstellen, dass Mitarbeiterdaten nur in dem laut Datenschutzvereinbarung deklarierten Ausmaß verarbeitet und gespeichert werden. Gleichzeitig muss die Art der Datenverarbeitung gewährleisten, dass Mitarbeiter ihre Einwilligung dazu widerrufen können, und die bereits gesammelten Daten nicht an Dritte übermittelt sowie im Fall eines Widerspruchs gelöscht werden können.

Für den Fall, dass Mitarbeiter auf Grund von Datenschutzbedenken die Installation von MDM-Lösungen ablehnen, sollten Unternehmen bei der mobilen Sicherheit auch andere Ansätze in Betracht ziehen. Agentenlose BYOD-Softwarelösungen beispielsweise ermöglichen ein verbessertes Anwendungserlebnis, da keinerlei Einschränkungen in den Geräte- und Anwendungsfunktionen vorgenommen werden. Gleichzeitig ist die vollständige Übersicht und Kontrolle über Geschäftsdaten sichergestellt, ohne in die Privatsphäre der Endbenutzer einzugreifen, womit die Einhaltung von Datenschutzbestimmungen gewährleistet ist.

Autor: Eduard Meelhuysen ist Vice President Sales EMEA von Bitglass, einem weltweit tätigem Anbieter einer  Cloud-Access-Security-Broker-Lösung sowie von agentenloser Mobilsicherheit mit Sitz im Silicon Valley. Die Lösungen des Unternehmens ermöglichen durchgängige Datensicherheit, von der Cloud zu dem Gerät. Bitglass wird finanziell von hochrangigen Investoren unterstützt und wurde 2013 von einer Gruppe von Branchenveteranen gegründet, die in der Vergangenheit zahlreiche Innovationen eingeführt und umgesetzt haben.

 

Das Gesicht der Digitalisierung: Unternehmen müssen auf neue Rollen setzen

Socrates_Louvre_Dunja_2005Die Digitalisierung ermöglicht Innovationen, Services und neue Geschäftsmodelle – so entstehen enorme Chancen. Deshalb ist es in Zeiten der digitalen Transformation für Unternehmen unabdingbar, sich über aktuelle und neue Technologien zu informieren. Insbesondere der Mittelstand muss sich mehr mit der Thematik auseinandersetzen und sich einen Überblick über die Techniken, die die Digitalisierung unterstützen und vorantreiben, und deren Potenziale verschaffen.

Unternehmen benötigen deshalb eine Neuausrichtung ihrer Geschäftsstrategie. „Um in der Organisation die Voraussetzungen für die zielführende Platzierung der Digitalisierungsthemen zu gewährleisten und das Thema nachhaltig zu verankern, erfordert es eine zeitnahe Investition von Seiten der Unternehmen“, erläutert Dr. Consuela Utsch, Geschäftsführerin von Acuroc. „Auch den Mitarbeitern verlangt die digitale Transformation eine schnelle Anpassung an neu entstehende Rollen ab“

 

An Wertschöpfungsketten anknüpfen

Digitalisierung ist heute sowohl in der Geschäftsführung als auch im IT-Management das alles bestimmende und zukunftsweisende Thema. Die Führungsebenen in Unternehmen müssen sich über die sich wandelnde Welt ebenso bewusst werden wie bezüglich der sich verändernden Konsumenten und ihrer Wertschöpfungsketten, um dann die richtigen Schritte einzuleiten. „Sobald ein Unternehmen die Digitalisierung anstrebt, benötigt es neue Rollen.

Dazu zählen unter anderem der „Data Scientist“ und der „Data Compliance Officer“, insbesondere aber der „Chief Digital Officer“, kurz CDO. Sind die Dringlichkeit erkannt und erste Initiativen gestartet, stellt sich im Unternehmen die Frage, wie diese Maßnahmen am besten strukturiert und koordiniert weiter geführt werden können. Hierfür ist die Rolle des „Chief Digital Officer“ unverzichtbar, denn diese verantwortet die strategische Transformation und koordiniert und forciert gleichzeitig die Vernetzung zwischen Fachbereichen und IT.

Zudem sollte der CDO als Motivator im Unternehmen wirken und mit dem CIO auf Augenhöhe zusammenarbeiten“, empfiehlt Dr. Consuela Utsch. „Während der CIO den IT-Betrieb mit seinen Anforderungen verantwortet, treibt der CDO neue Geschäftsmodelle und deren Realisierung unter Einbeziehung der Mitarbeiter voran“, so die Geschäftsführerin weiter. Gleich zu Beginn der Tätigkeit muss der Chief Digital Officer eine digitale Veränderungslandkarte und eine Strategie entwickeln, um so die Koordination digitaler Aktivitäten zum Wandel des unternehmensweiten Geschäfts zu lenken.

 

Kompetenzen und Fähigkeiten

Für die erfolgreiche Integration der Rolle des Chief Digital Officers im Unternehmen benötigt dieses zunächst einmal eine passend ausgewählte Person mit den entsprechenden Kompetenzen und Fähigkeiten. Hierzu zählen neben weitreichenden Kenntnissen der Geschäftsprozesse sowie der Kundenanforderungen auch der Aufbau eines guten internen und externen Netzwerks und entsprechendes Know-how über die Branche sowie deren Anforderungen. Erfahrungen im Änderungsmanagement sind ebenso notwendig wie Innovationskraft und der Mut, disruptive Ideen zu entwickeln und umzusetzen.

Agilität, Kreativität und das Infragestellen der aktuellen Situation durch intensive Auseinandersetzung mit der Frage „Was ist, wenn dieses Geschäftsmodell morgen kippt?“ zeichnen den erfolgreichen Chief Digital Officer neben strategischem Denken aus. Der Kandidat sollte außerdem die Koordination digitaler Aktivitäten unter Einbindung externer Key-Player beherrschen und eine hohe Kommunikationsfähigkeit besitzen. Abgerundet werden die Kompetenzen durch einen qualifizierten Umgang mit unterschiedlichen Hierarchieleveln und Persönlichkeitsstrukturen.

Der Chief Digital Officer ist somit das „Gesicht der Digitalisierung“ im Unternehmen. „Der Job benötigt zudem vor allem Businessverständnis und Überzeugungskraft. Insbesondere der Schritt, langjährige Prozesse neu zu beleuchten und in Frage zu stellen, stellt eine große Herausforderung dar“, erklärt Dr. Consuela Utsch. „Es kann eben auch passieren, dass ein Unternehmen sich hierfür vollständig neu strukturieren muss. Deshalb fehlen in vielen Vorständen häufig noch diese Führungskräfte.“