Category Archives: Topstory

Die verheerendsten Cyberangriffe im Finanzsektor

geldIm Verlauf der letzten Jahre wurden Banken und Finanzinstitute immer wieder Opfer großangelegter und raffiniert eingefädelter Cyberangriffe, was zu finanziellen Schäden von teils mehreren hundert Millionen Euro führte – von Imageverlusten ganz abgesehen.

Trotz steigender Investitionen in die IT-Security-Infrastruktur, scheint der Bankensektor von dem Prozess der digitalen Transformation und den damit verbundenen Herausforderungen nach wie vor überfordert zu sein. Zu den verheerendsten Cyberangriffen auf Banken der letzten Jahre gehören:

2013: Hackerattacke auf Südkoreanische Banken

Eine Hackergruppe namens DarkSeoul sorgte im Jahr 2013 bei den südkoreanischen Großbanken Shinhan und Nonghyup für Aufruhr. Mit Hilfe von Malware war es den Cyberkriminellen gelungen, Netzwerke zu knacken, Computer zum Stillstand zu bringen und sogar Geldautomaten abstürzen zu lassen. Die Wirtschaft Südkoreas kam für einige Tage zum Erliegen, die betroffenen Banken erlitten einen Schaden von mehreren hundert Millionen US-Dollar.

 2014: Datendiebstahl bei JP Morgan

83 Millionen Bankkunden – darunter sieben Millionen Unternehmenskunden – waren 2014 von einem der wohl größten Datendiebstähle in der Bankengeschichte betroffen. Fünf Hackern war es damals gelungen, durch den Einsatz von Malware, Social Engineering und Spear-Phishing-Attacken sensible personenbezogene Daten von JP Morgan- und anderen Bankkunden auszuspähen. Die gestohlenen Daten nutzten die Täter schließlich, um über illegale Aktivitäten, darunter Aktienbetrug, rund hundert Millionen Dollar zu erbeuten.

2013-2015: Der Trojaner Carberp

Mehr als zwei Jahre konnten die Cyberkriminellen mit Hilfe des bereits bekannten Trojaners Carberp ungehindert Bankkonten auf der ganzen Welt abräumen und so Milliardengewinne erzielen. Über eine Spear-Phishing- Kampagne, die auf Bankangestellte und -Administratoren zielte, konnten die Täter, ein Cybercrime-Ring namens Carbanak, den Trojaner flächendeckend verbreiten. Einmal installiert, lädt er ein gewöhnliches Fernzugangs-Tool auf den betroffenen Computer, der den Tätern Transaktionen auf ihre eigenen Konten ermöglicht.

2016: Der SWIFT-Hack

Ohne einen kleinen Tippfehler, der einen aufmerksamen Bankmitarbeiter stutzig gemacht hatte, wäre der Cyber-Angriff auf die Zentralbank von Bangladesch im vergangenen Sommer vielleicht als größter Bankenbetrug aller Zeiten in die Geschichte eingegangen. Anstatt 850 Millionen belief sich der entstandene Schaden so „nur“ auf rund 81 Millionen Dollar. Ausgangspunkt der Attacke waren ungeschützte 20-Dollar Second-hand-Router.

Über dieses Einfallstor ins Netzwerk gelangt, konnten sich die Hacker dank einer maßgeschneiderten Malware Zugang zum SWIFT-System verschaffen, welches fahrlässiger Weise mit dem Netzwerk der Bank verbunden war. Im System angekommen, war es ihnen möglich, nach Belieben Transaktionen anzuweisen.

Banken sind für Cyberkriminelle seit je her ein bevorzugtes Angriffsziel

So unterschiedlich all die Angriffe auch sind, so zeigen sie doch alle, wie schlecht es um die Sicherheit unserer Banken bestellt ist und wie viel die Verantwortlichen in Sachen Aufklärung und Aufrüstung noch tun müssen. Banken sind für Cyberkriminelle seit je her ein bevorzugtes Angriffsziel, da Hacker hier schnell an sensible Daten und Geld kommen können.

Die zunehmende Digitalisierung und die sich stetig professionalisierende Cyberkriminalität tun ihr Übriges. Es ist Zeit, dass sich IT-Verantwortliche in Banken und Finanzinstitutionen mit der aktuellen Bedrohungslandschaft auseinandersetzen, Schwachstellen ihrer Infrastruktur und Systeme definieren und gezielt Schutzmaßnahmen implementieren.  Dass klassische Anti-Virus-Lösungen, Firewalls oder statische Verschlüsselungs- und Verschleierungsprogramme keinen ausreichenden Schutz mehr bieten, dürfte dabei den Meisten klar sein.

Der sicherste Weg, um sich vor Cyberangriffen und Manipulationen zu schützen, sind letztlich fest in der Software und den Anwendungen verankerte Schutzmaßnahmen. Denn nur wenn die Software bereits nach Abschluss ihres Entwicklungsprozesses auf Binärcode-Ebene mit mehrschichtigen und dynamischen Selbstschutz-Mechanismen (Runtime Application Self-Protection) und einer aktiven Verschlüsselung sensibler Keys (WhiteBox-Kryptographie) ausgestattet wurde, kann sie ausgefeilten Hackerangriffen standhalten.

Jenseits der Sicherheitstechnologien spielen natürlich auch Aufklärung und verantwortungsbewusstes Verhalten von Kunden und Mitarbeitern eine wichtige Rolle. Noch immer fallen Bank- Mitarbeiter und Kunden auf Phishing-Emails rein und präsentieren den Betrügern ihre sensiblen Daten somit quasi auf dem Präsentierteller.

Aber auch mobiles Banking verleitet Kunden immer wieder zu fahrlässigem Verhalten. Wenn sich Nutzer etwa über öffentliches WLAN in ihre Konten einwählen oder wenn Banking-App und TAN-generierende App auf einem Mobilgerät installiert werden  und die eigentlich so wichtige  Zwei-Wege-Authentifizierung damit umgangen wird. Hier dürfen die Banken nicht müde werden, Aufklärungsarbeit zu leisten und ihre Kunden zu warnen.

 Autor: Markus Unger-Schlegel, Arxan Technologies

 

„So arbeitet Deutschland-Umfrage“ zeigt: Arbeitsklima und -kultur wichtiger als Gehalt

So arbeitet Deutschland. Copyright SThree

So arbeitet Deutschland. Copyright SThree

Gut ein Viertel der Berufstätigen in Deutschland findet, dass ihr Team nicht vielfältig ist. Das ist ein Ergebnis der Umfragereihe So arbeitet Deutschland der Personalberatung SThree, bei der Festangestellte und Freelancer nach verschiedenen Aspekten der aktuellen Arbeitswelt sowie ihren Wünschen befragt wurden.

Die Antworten der mehr als 1.000 Teilnehmer zeigen, dass Vielfalt in Unternehmen nicht nur zu wenig gelebt wird – gemischte Teams sind oft auch gar nicht erwünscht. Zudem sind die Unternehmenskultur und das private Glück den Befragten wichtiger als Geld und Erfolg. Es stellt sich die Frage: Ist New Work in Deutschland schon in der Realität angekommen – und wollen die Menschen in Deutschland überhaupt so arbeiten?

Diversity in Unternehmen – Wunsch oder Wirklichkeit?

Obwohl die Gesellschaft in Deutschland immer vielfältiger wird, spiegelt sich diese Entwicklung noch nicht in der Arbeitswelt wider. Frauen und Männer, Junge und Alte, Menschen aus verschiedenen Kulturen und Religionen – ist die Arbeitswelt in Deutschland bereits so bunt wie die Gesellschaft? Die aktuelle Umfrage von SThree zeigt, dass 24 Prozent aller Befragten ihr Team nicht für vielfältig halten. Zudem sind Belegschaften mit Mitarbeitern verschiedener Religionen (22 Prozent) und die Inklusion von Menschen mit körperlichen Einschränkungen (12 Prozent) eher selten. Gut aufgestellt sind Unternehmen hingegen hinsichtlich Geschlecht (49 Prozent), Herkunft (47 Prozent) und Alter (32 Prozent).

Gleich und gleich gesellt sich gern

Die Wunscharbeitswelt der Befragten ist ähnlich homogen: 38 Prozent der Befragten wollen grundsätzlich nicht in vielfältigen Teams arbeiten. „Es ist überraschend, dass mehr als ein Drittel gemischten Teams kritisch gegenübersteht. Dabei bedeuten diese eine Vielfalt an Talenten, weil unterschiedliche Denk- und Herangehensweisen aufeinandertreffen. So entstehen produktive Gruppen, die kreativ und innovativ arbeiten“, so Luuk Houtepen, Director Business Development bei SThree. „Für Unternehmen lohnt es sich, auf Diversity zu setzen, denn dies bietet in einem internationalen Arbeitsumfeld einen strategischen Wettbewerbsvorteil durch einen vielfältigeren Kundenstamm, Austausch von Erfahrungen, interkulturelles Know-how und Sprachkenntnisse.“

Dabei ist Diversity nicht gleich Diversity: Während immerhin 20 Prozent mehr Vielfalt hinsichtlich Geschlecht und Alter begrüßen würden, finden Diversity-Kriterien wie Herkunft (16 Prozent) und körperliche Einschränkungen (5 Prozent) nur wenige Fürsprecher.

Vielfalt muss gelebt werden

Oft scheitert es bereits bei der Umsetzung des Diversity-Gedankens. 42 Prozent geben an, dass sie keine Diversity-Maßnahmen bewusst im Unternehmen wahrnehmen. Dabei erklären 21 Prozent aller Umfrage-Teilnehmer, dass sie gerne die Kultur ihrer Kollegen kennenlernen würden. Auch der Bewerbungsprozess selbst bietet Optimierungspotenzial: Die zielgerichtete Ansprache und Priorisierung bisher wenig repräsentierter Personengruppen landet mit 19 Prozent auf Platz zwei.

Die Möglichkeiten, Diversity-Maßnahmen umzusetzen, sind vielfältig und reichen von anonymen Bewerbungen über eine mehrsprachige Unternehmenskommunikation bis zu gemeinsamen kulturellen Festen. „Diversity-Management darf in den Unternehmen kein Buzzword bleiben. Vielfalt muss gelebt werden“, so Luuk Houtepen. „Voraussetzung dafür ist eine positive und integrative Arbeitsumgebung, die durch Chancengleichheit und Anerkennung von Unterschieden geprägt ist. Das leben wir nicht nur selbst, sondern unterstützen auch Unternehmen dabei, Projekte zum Thema Vielfalt zu entwickeln.“

Lieber glücklich als erfolgreich

Egal ob Berufseinsteiger oder Führungskraft, Festangestellter oder Freelancer: Für 87 Prozent ist privates Glück wichtiger als beruflicher Erfolg. Es wird mehr Wert auf eine ausgewogene Work-Life-Balance gelegt, die Zeit für Familie, Freunde und Hobbys lässt, als auf die nächste Karrierestufe.

Auch bei der Wahl des Arbeitgebers ist Geld nicht entscheidend, sondern der „Cultural Fit“. So geben 83 Prozent der Befragten an, dass sie aufgrund des Gehalts nicht in einem Unternehmen arbeiten würden, in denen ihnen die Kultur nicht zusagt. „Die Ergebnisse verdeutlichen, dass ein Bewerber nicht nur auf dem Papier passen soll, sondern auch die Vorstellung von Arbeitsweise und -kultur übereinstimmen müssen. Es geht bei einer erfolgreichen Stellenbesetzung um mehr, als nur Fachkenntnisse und Stellenprofil abzugleichen – Unternehmen und Mitarbeiter müssen einfach zueinander passen“, findet Luuk Houtepen.

Geld ist nicht alles

Die neue Arbeitswelt ist nicht nur von technischen Entwicklungen wie der Digitalisierung geprägt, sondern auch von einer veränderten Einstellung zur Arbeit. Diese wird nicht mehr nur als reines Mittel zum Gelderwerb gesehen, sondern muss weit mehr Ansprüche erfüllen: 96 Prozent der be-fragten Festangestellten und Freelancer würden ihren Job wechseln, um sich mit ihrer Arbeit selbst zu verwirklichen – 34 Prozent selbst bei niedrigerem Gehalt.

Die Ergebnisse verdeutlichen zudem, wie stark die Wechselbereitschaft der Arbeitnehmer gestiegen ist. Dabei gibt es Faktoren, die Mitarbeiter motivieren und damit auch langfristig binden: Zu den Top drei Motivatoren zählen Beförderung/Gehalt (30 Prozent), flexible Arbeitszeiten und -orte (22 Prozent) und spannende Aufgaben (21 Prozent). „Diese Wünsche der Arbeitnehmer spiegeln sehr gut das wider, was die Arbeitswelt 4.0 auszeichnet: Die Menschen wollen entscheiden, wann und wo sie arbeiten sowie herausfordernde und interessante Tätigkeiten ausführen. Dass auch das Gehalt stimmen muss, ist klar. Mitarbeiter wünschen sich Wertschätzung – und ein faires Gehalt ist dafür die Grundvoraussetzung“, sagt Luuk Houtepen.

Ein Whitepaper zu den Ergebnissen gibt es online.

 

 

Blockchain: Potenzial und Gefahr zugleich

blockchainDie Blockchain-Technologie ist auf dem Vormarsch. Acht Jahre nach dem Aufkommen der Original Bitcoin Blockchain, gibt es viele Bemühungen, mit den Sicherheitsvorteilen der Technologie in zahlreiche Industriezweige vorzustoßen. Doch welche Vorteile bringt diese den Usern, welche den Unternehmen? Und wie sehen neue Herausforderungen aus, die sich dadurch ergeben? Stichwort: Security Next Generation.

Zunächst einmal: Eine Blockchain lässt sich als Datenbank verstehen, die die technische Grundlage für eine Kryptowährung bereithält. Bekanntestes Beispiel einer Blockchain ist das Zahlungsmittel Bitcoin.

Vorteil 1: Direkte Transaktion ohne Mittelsmann

Der größte Vorteil besteht in der direkten Transaktion von Parteien. Es gibt keinen Dritten im Bunde, der wie ein Schiedsrichter, zum Beispiel eine Bank, oder Treuhänder, wie der Bezahldienst Paypal, die Verlässlichkeit der Akteure prüft.

Doch warum sollte man das bewährte Treuhänder-Modell umgehen wollen? Der Mittelsmann nimmt einem ja gerade die Arbeit ab, das Gegenüber auf Herz und Niere zu prüfen. Aber: Kann man denn dem Schiedsrichter trauen? Auch große Banken sind vor Manipulationen nicht sicher, wie zahlreiche Berichte in der Vergangenheit gezeigt haben.

Vorteil 2: Nachträgliche Änderungen ausgeschlossen

Die Parteien können ihren Deal selbst regeln und versiegeln, so dass die Transaktion zwar sicht- aber unveränderbar bleibt. Dieses Prinzip fordert quasi ehrliches Verhalten der Akteure ein.

Das „Einfrieren“ der Transaktionen erfordert eine andere Technologie als bisher: Bitcoin zum Beispiel hält die Rechenkapazität einer Kleinstadt vor, um seine Transaktionen in digitalem Herz zu verwahren. Andere Technologien nutzen einen Proof-of-stake-Algorithmus. Jedes Prinzip hat seine eigenen technischen und ökonomischen Konsequenzen.

Kein Wunder also, dass gerade im Hinblick auf den Sicherheitsaspekt viel mit der Blockchain Technologie experimentiert wird. Dänische und australische Parteien hoffen auf eine Nutzung bei Online-Wahlen. Es gibt Angebote zur notariellen Beurkundung von Dokumenten und sogar die Überlegung, Krankenakten via Blockchain Technologie zu sichern.

Problem 1: Blockwashing

Eine der größten Herausforderungen im Umgang mit der Blockchain Technologie wird blockwashing sein: entwickelt sich eine vielversprechende Technologie, soll diese als Heilsbringer in den unterschiedlichsten Bereichen fungieren. Die Hals-über-Kopf-Methode, um aus der neuen Technologie Kapital zu schlagen, befeuert die frühe Kurve des Gartner Hpye-Zyklus‘ .  Diese führt aber auch zu einem unausweichlichen Zusammenbruch, wenn die Technologie den Erwartungen nicht gerecht wird – wie bereits gemutmaßt wird.

Galt Dezentralisierung als wichtige Charakteristik der original Blockchain, muss man sich fragen, was der Einzug der Technologie in Cloud-Strukturen (u.a. bei Microsoft und IBM) für die Sicherheitsleistung bedeuten wird. Zwar ist alles kryptografisch gesichert, aber betrieben wiederum von einer einzigen Partei. Der ursprüngliche Charakter der Blockchain wird damit ausgehöhlt. Mehr noch: Microsofts Marketing spielt bereits mit dem unvermeidlichem Spitznamen „Blockchain as a Service“ und negiert damit offen die gesamte Idee des dezentralen und unabhängigen Netzwerks.

Problem 2: Fehlende Standardisierung

Mit dem Thema Standardisierung wird man sich ebenfalls in Zukunft auseinandersetzen müssen. Es gibt zahlreiche Vorschläge und Lösungsansätze für die Blockchain Technologie. Jede mit ihren Vor- und Nachteilen. Zusammenarbeit kann hier nur die richtige Vorgehensweise sein, um allgemein gültige Standards zu definieren. Die Internationale Organisation für Normung (ISO) hat bereits ein Komitee gebildet, das erste Bemühungen in diese Richtung prüft.

Problem 3: Gute Konzepte, schlechter Code

Ein weiteres kritisches Thema dreht sich um die Sicherheit. Denn nur weil das Blockchain-Konzept Security bietet, bedeutet das noch lange nicht, dass auch die Implementierung sicher ist. China beispielsweise – interessiert an einer eigenen Kryptowährung – analysierte kürzlich 25 der Top Blockchain-bezogenen Software Projekte und fand signifikante Sicherheits-Schwachstellen: Stichwort Input Validation.

Fazit: Erst sicherer programmieren, dann nutzen

Die hier dargestellten Probleme sind nicht nur theoretisch. Vielmehr stehen sie den Zielen vieler Blockchain-Projekte diametral entgegen. Bugs in Blockchain Implementierungen sind ernst zu nehmen und führen zu massiven Sicherheitslücken und finanziellen Verlusten, wie der Diebstahl von Zcoins im Wert von 400.000 US Dollar letzten Monat veranschaulicht.

Mit der Weiterentwicklung von Blockchain Software vergrößern sich auch deren Angriffsflächen. Ein Schlüsselfaktor werden hier klug ausgetüftelte Verträge sein. Während die Orginal Bitcoin Blockchain nur Protokolle der digitalen Transaktionen bereithält, könnten neuere Abkommen in Wirklichkeit Programme sein, die auf der Blockchain laufen: Man stelle sich einen legalen Vertrag vor, der durch ein Computerprogramm ersetzt wird.

Statt einen Anwalt zu bezahlen, der den Vertrag regelt, könnten alle teilnehmenden Parteien das selbstständig organisieren. Die Blockchain sorgt für unveränderbaren und transparenten Programm-Output. Das Programm selbst analysiert die externen Bedingungen und führt seine Klauseln ordnungsgemäß aus. Dennoch: Computer-Programme werden immer Schwachstellen haben. Insofern kann die Lösung für eine sichere Blockchain-Technologie nur darin liegen, unter Berücksichtigung von Sicherheitskonzepten zu programmieren und so zum Beispiel die Schwachstellen bei Input und Output Validierung zu korrigieren.

Und zwar bevor man diese Technologie weiten Teilen der Wirtschaft anvertraut oder sie ausgiebig dafür nutzt, um beispielsweise das Internet der Dinge zu organisieren.

Blockchain ist heute das, was das Internet 1994 war

Blockchain hält seine Versprechen. Aber es sollte Gartners Hype-Zyklus durchlaufen bevor es zum Hauptthema in der Sicherheitsindustrie wird. Und wir werden unsere Code-Praxis mit Hilfe von Security-Audits und Code-Scans ebenfalls überdenken müssen. Die Blockchain ist heute das, was das Internet 1994 war.

Zwei Jahrzehnte später ist das Web wie der Justin Bieber der Technologie: unlängst erwachsen geworden, wahnsinnig erfolgreich, aber auch faul und angeschlagen durch den etwas außer Kontrolle geratenen Siegeszug. Es ist ein schöner aber verrückter Ort, im Stich gelassen durch einen Mix aus fragwürdigem Javascript und steil ansteigender Cyberkriminalität. Beherrscht von Monolithen, welche die Privatsphäre ihrer Nutzer zum Frühstück verspeisen. Zugegeben, etwas pessimistisch, aber wäre es nicht sinnvoll, aus den Fehlern der Vergangenheit zu lernen während wir uns mit Blockchain beschäftigen?

Autor: Sophos ist Anbieter von Endpoint- und Network-Security-Lösungen der nächsten Generation. Als Pionier der Synchronized Security entwickelt Sophos sein innovatives Portfolio an Endpoint-, Netzwerk-, Verschlüsselungs-, Web-, E-Mail- und mobilen Security-Lösungen, die miteinander kommunizieren.

Mehr Sicherheit im smarten Zuhause

Bildquelle: City University London

Bildquelle: City University London

Ob im Geschäftsleben oder in den heimischen vier Wänden – das Internet der Dinge hat seinen Siegeszug angetreten. Die Zahlen sind beachtlich: Geschätzt mehr als 8,4 Milliarden miteinander verbundene Geräte sind im Jahr 2017 verfügbar. Zudem sind in diesem Jahr 63 Prozent aller Geräten im Endkundenbereich im Einsatz.

In absoluten Zahlen sind das 5,3 Milliarden Geräte. Und Gartner geht davon aus, dass die Anzahl verbundener Geräte bis 2020 auf 20,4 Milliarden anwachsen wird. Bisher war es meist so, dass es beim Thema Security vor allem um Notebooks und Smartphones ging, da ihr umfangreicher Gebrauch und ihre Marktanteile sie zu einem attraktiven Ziel für die Angreifer machten.

Jetzt aber, da IoT-Geräte ihren Siegeszug in die Haushalte angetreten haben und dabei wenige bis gar keine Security-Funktionen vorweisen können, sind sie zu leichter Beute für Angreifer geworden. Mit ihnen können nicht nur einzelne Geräte, sondern das gesamte Heimnetzwerk kompromittiert werden. Herkömmliche Security-Mechanismen eignen sich nicht immer für IoT-Geräte, da sie keine zusätzlich installierte Software unterstützten wie es andere Betriebssysteme tun.

Mehr IT-Sicherheit im eigenen Zuhause

Security-Forscher warnen bereits seit langem vor den Gefahren durch smarte, mit dem Heimnetzwerk verbundene IoT-Geräten. Die Anwender riskieren dabei viel mehr als nur den Verlust des Zugangs zum Gerät. Oftmals sind dann gleich mehrere Geräte des gleichen Netzwerks betroffen.

Das Ausnutzen einer einzigen Schwachstelle in einem Smart TV oder in jedem anderen mit dem Netzwerk verbundenen smarten Gerät kann dazu führen, dass die Angreifer sich im gesamten Heimnetzwerk bewegen und so Notebooks, mobile Geräte und selbst private Daten, die auf einem Network Attached Storage (NAS) gesichert sind, kompromittieren können. Welche beliebten Einfallstore gibt es im eigenen Zuhause und wie können sich Privatanwender schützen?

Smart TV – oft ein offenes Scheunentor

Smart TVs gehören mittlerweile zum Mainstream und sind in fast jedem Haushalt zu finden. Während Otto-Normalverbraucher selbst ihren Fernseher nicht als „smartes Gerät“ ansehen, so ist er doch mit dem Internet verbunden, verfügt über ein eigenes Betriebssystem und ist genauso den Gefahren aus dem Internet ausgesetzt wie etwa ein Smartphone oder Tablet – Beispiel die aktuellen Ransomware-Attacken auf Smart TVs.

In einer in den USA durchgeführten Studie, gaben 6 von 10 Besitzer von Smart TVs an, dass sie keinerlei Sicherheitsoptionen für ihren Smart TV im Einsatz haben. Doch diese Geräte gehören nach Smartphone, Tablet, Notebook und Desktop Computer zu den Top5 der mit dem Internet vernetzten Geräte im Haushalt.

Da sie Browsing-Funktionen enthalten und es möglich ist, Anwendungen herunterzuladen, empfiehlt es sich in jedem Fall eine Security-Lösung zu installieren, die für Smart TVs mit Android-Betriebssystemen konzipiert ist.

IP Kameras und Babyphones mit Videofunktion

Während es für Smart TVs Unterstützung durch Security-Lösungen gibt, bieten andere smarte Geräte, wie beispielsweise Webcams, Babyphones mit Videofunktion oder IP Kameras solche Optionen nicht an. Security-Forscher haben oft dargelegt, wie Angreifer über diese Geräte Remote-Zugriff erlangen können, indem sie Internet-Ports und -Dienste (z.B. Telnet, SSH) oder ungepatchte Schwachstellen in der Firmware ausnutzen.

Auf einigen dieser Geräte laufen oftmals veraltete Firmware-Versionen und die Besitzer werden nie über die Existenz neuer Versionen informiert, auf denen ernsthafte Sicherheitsschwachstellen beseitigt wurden. Hinzu kommt das Risiko, dass der Cloud-Dienstleister, der für die Speicherung der Videos verantwortlich ist, das Thema Datenschutz und Privatsphäre nicht sonderlich ernst nehmen könnte oder einfach nicht in der Lage ist, die Daten sowohl bei der Übertragung als auch bei der Speicherung zu verschlüsseln.

Letzteres öffnet die Tore für Man-In-The-Middle-Attacken, die auf die Aufnahmen einer Kamera zugreifen oder sie sogar ganz kontrollieren können.

Smarte Lampen und Steckdosen

Zum Smart Home gehören auch Lampen und Lichtschalter, die eine WLAN-Verbindung erfordern, über die sie per Fernbedienung gesteuert werden können. Damit sind sie denselben Problemen wie andere smarte Geräte auch ausgesetzt. Hinsichtlich Sicherheitsfeatures, Firmware-Updates und Schwachstellen bei Remote-Verbindungen wird der durchschnittliche Anwender ziemlich alleine gelassen.

Wichtig ist, sich vorab über die Sicherheitsfunktionen der Geräte zu erkundigen und sicherzustellen, dass der Hersteller vertrauenswürdig ist und Richtlinien bei der Behebung bekannter Sicherheitslücken vorweisen kann. Auch hier ist es sehr empfehlenswert, Standardpassworte gleich nach Erhalt zu verändern, da es Online-Suchmaschinen gibt – beispielsweise Shodan – die das Internet nach IoT-Geräten mit Standardzugangsdaten durchsuchen, umso Angreifern den Remote-Zugriff zu erleichtern.

Tipps in Sachen IoT-Sicherheit

In der Konsequenz sollte IoT-Sicherheit zwei unverwechselbare und leistungsstarke Technologien beinhalten, die sowohl Antimalware-Scanning-Funktionen als auch IoT-Schwachstellen-Prüfungen umfassen. Eine IoT-Security-Lösung sollte am Gateway dafür sorgen, dass einkommender Netzwerkverkehr weder bösartig noch verändert ist.

Malware und Phishing-Seiten sollten blockiert werden, um sicherzustellen, dass sie nicht ans Zielgerät kommen. Die für die Schwachstellen-Überprüfung zuständige Einheit sollte regelmäßig checken, ob mit dem Netz verbundene Geräte veraltet sind, ungepatchte Firmware verwenden oder Fehlkonfigurationen vorgenommen wurden – zum Beispiel offene Telnet oder SSH-Ports, die über das Internet erreichbar sind, schwache Passwörter, bekannte Exploits bei einem Gerät und viele mehr. Ist die Schwachstellen-Überprüfung abgeschlossen, sollte ein umfassender Bericht mit den identifizierten Fehlern und entsprechenden Gegenmaßnahmen bereitgestellt werden.

Hier noch ein paar ganz praktische Tipps:

1. Informieren! Informieren! Und nochmals informieren! Noch bevor ein IoT-Gerät für den Haushalt gekauft wird, sollte man sich umfassend informieren: über Funktionen, die Art und Weise, wie mit gesammelten Daten umgegangen wird und ob der Hersteller eine verlässliche Richtlinie bei Security- und Firmware-Updates verfügt. Natürlich sollte ein IoT-Gerät praktisch sein und interessante Funktionen vorweisen können – aber am wichtigsten ist, dass es sicher ist und umsichtig mit privaten Daten umgegangen wird.

2. Standard-Passwort verändern Das allererste, was jeder tun sollte, der ein neues IoT-Gerät mit dem Heimnetz verbindet, ist das Standardpasswort durch ein mindestens 8 bis 16 Zeichen langes neues Passwort zu ersetzen, dass sowohl Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthält. Es gibt IoT-Suchmaschinen, wie beispielsweise Shodan, die das Internet gezielt nach smarten Geräten ohne Passwort oder mit Stand-Passwort absuchen.

3. Trennung der Netzwerke Es mag ein wenig aufwändig erscheinen, aber das Einrichten eines separaten WLAN-Netzes nur für IoT-Geräte ist aus Sicherheitsperspektive sehr sinnvoll. Ist ein Gerät mit einer Schwachstelle erst einmal kompromittiert und von außen kontrolliert, so sind zumindest andere wichtige Geräte im Haus, wie das Notebook oder beispielsweise das NAS nicht betroffen.

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender

4. Firmware-Updates In gleicher Weise wie Updates auf Security- und Betriebssystemen auf dem Notebook oder mobilen Geräten vorgenommen werden, muss dies auch für IoT-Geräte geschehen. In manchen Fällen führen Hersteller Security-Updates und Fixes durch, die verhindern sollen, dass Angreifer Geräte einfach übernehmen und gegen die Besitzer verwenden. Das ist aber nicht die Regel.

Herkömmliche Security-Mechanismen lassen sich nicht unbedingt Eins zu Eins auf IoT-Geräte übertragen. Doch befolgt man diesen wenigen einfachen Regeln, kann man sich entspannt in seinem smarten Zuhause zurücklehnen.

Autor: Liviu Arsene ist Senior Threat Analyst bei Bitdefender. Bitdefender ist ein globales Sicherheits-Technologie-Unternehmen und bietet wegweisende End-to-End Cyber-Security-Lösungen sowie Advanced Threat Protection für über 500 Millionen Nutzer in über 150 Ländern. Seit 2001 ist Bitdefender ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen für Privat- und Geschäftsanwender einführt und entwickelt. Zudem liefert das Unternehmen Lösungen sowohl für die Sicherheit hybrider Infrastrukturen als auch für den Schutz von Endpunkten. Als führendes Security-Unternehmen pflegt Bitdefender eine Reihe von Allianzen sowie Partnerschaften und betreibt eine umfassende Forschung & Entwicklung. Weitere Informationen sind unter www.bitdefender.de verfügbar.

Keine Chance den Lügenbaronen – Warum Fake-Bewertungen sich nicht lohnen

Smiley-face-emoticon-575 Ist ein Unternehmen mit seinem Kundenfeedback und der Anzahl der Bewertungen nicht zufrieden, ist es ein Leichtes bei einer spezialisierten Text-Agentur gefälschte Kundenmeinungen für das eigene Profil zu kaufen. Und wer kennt sie nicht, die überschwänglichen und durchweg positiven Bewertungen im Netz, die etwas zu sehr nach Werbetext klingen. Die Motive, dem eigenen Profil einen entsprechenden Feinschliff zu geben, sind vielfältig: Zu wenig Bewertungen, zu niedrige Empfehlungsquote oder nicht das gewünschte Kundenfeedback. Doch die Selbst-Lobhudelei zahlt sich nicht aus.

 Rechtliche Konsequenzen bei Fake-Bewertungen

Gefälschte Kundenmeinungen bringen das ganze System in Verruf, das vor allem auf Vertrauen und Ehrlichkeit basiert, und schaden grundsätzlich jedem Beteiligten. Wenn Kunden das Vertrauen in Produkte oder Dienstleistungen und damit in Unternehmen verlieren, wird dem Bewertungsmarketing jegliche Basis entzogen. Und darunter leiden letztendlich nicht nur die, die ihre Bewertungen nutzen, um potenziellen Kunden ein authentisches Bild der eigenen Leistung und Qualität zu vermitteln.

Letzten Endes fällt es auch auf jene zurück, die das Bewertungssystem missbrauchen. Das Fälschen von Kundenmeinungen ist durchaus strafrechtlich relevant. Auch wenn es sich nicht zwangsläufig um Betrug handelt, so fallen Fake-Bewertungen oft in den Bereich des unlauteren Wettbewerbs.

Der künstliche Feinschliff des eigenen Bewertungsprofils oder das Platzieren von falschen Negativbewertungen auf den Profilen von Wettbewerbern sind in jedem Fall verboten. Dabei sind es nicht unbedingt die Kunden, die über eine gefälschte Bewertung stolpern, oftmals sind es auch Wettbewerber, die den Betrug erkennen und zur Anzeige bringen. Außerdem führen gefälschte Bewertungen zum Ausschluss aus den Bewertungsportalen. Lügenbarone müssen also z.B. mit Geldstrafen und Abmahnungen rechnen.

Vertrauen und Ehrlichkeit als Basis einer Geschäftsbeziehung

Auch wenn die selbstverfasste Bewertung nicht sofort rechtliche Konsequenzen nach sich zieht oder durch das Filter-Raster der Portale fällt, entsteht ein immenser Schaden für die eigene Reputation, wenn der Schwindel auffliegt. Dieser Schaden kann unter Umständen schlimmer sein, als eine Schadensersatzforderung oder ein gelöschtes Profil. Denn aus der Sicht des Kunden stellt sich schnell die Frage, wie es um die Redlichkeit in der Geschäftsbeziehung bestellt ist, wenn ein Unternehmen schon hinsichtlich seines Profils auf unlautere Mittel zurückgreift. Ehrlichkeit und Vertrauenswürdigkeit werden dann schnell in Frage gestellt.

Eine Manipulation muss dabei nicht einmal eindeutig nachweisbar oder offensichtlich sein. Mittlerweile hat der Verbraucher selbst dazugelernt und ein feines Gespür für gefälschte Bewertungen entwickelt. Zudem gibt es im Netz viele Artikel darüber, wie manipulierte Bewertungen erkannt werden können. Besteht auch nur der leiseste Verdacht auf Fälschung, fällt das eigene Reputationsmanagement in sich zusammen. Denn Integrität ist der Grundpfeiler, auf der alle weiteren Geschäftsaktivitäten aufbauen. Unternehmen sollten sich bewusst sein, dass alle bisherige Arbeit zunichte gemacht werden kann, wenn Bewertungen gefälscht werden.

Fazit: Aktives Bewertungsmarketing betreiben

Im digitalen Bewertungsdschungel wird nicht immer fair gespielt. Aber Bewertungen fälschen – ein ganz klares No Go! Die eigene Reputation ist das höchste Gut eines Unternehmens. Ist diese erst einmal zerstört, kann dies das Aus bedeuten. Der Wunsch nach einem ausgewogenen Kundenfeedback und vielen Bewertungen ist sicherlich nachvollziehbar. Doch wer auf seine zufriedenen Kunden zugeht und aktives Bewertungsmarketing betreibt, kommt seinem Ziel damit schnell näher – auch ohne unlautere Mittel.

Autoren: Der 39-jährige Marketing-Experte Remo Fyda betreut seit 17 Jahren Konzerne bei der Umsetzung ihrer Online-Strategie und deckt dabei alle Facetten der digitalen Kommunikation ab. Als langjähriger Projektleiter und Berater bei Cybay New Media war er unter anderem für Kunden wie AEG, Continental, die KKH-Allianz, Konica Minolta, die Nord LB, Rossmann, TUIfly, Euler Hermes, VW oder die VHV-Gruppe verantwortlich. Zuletzt gründete er 2011 erfolgreich Neoskop, eine Full-Service-Agentur für digitale Kommunikation. Seit 2013 ist er Geschäftsführer von ProvenExpert.com, der Online-Plattform für qualifiziertes Kundenfeedback und Bewertungsaggregation. Remo Fyda hat Medieninformatik an der Hochschule Harz studiert. 

Karsten Gulden ist Fachanwalt für Urheber- und Medienrecht. Als Gründer und Gesellschafter bei gulden röttger | rechtsanwälte hat sich K. Gulden neben dem Urheberrecht auf das Social Media-, Persönlichkeits- und Markenrecht/ E-Commerce spezialisiert. Neben seiner juristischen Tätigkeit ist Karsten Gulden auch als Blogger und YouTuber aktiv.

Wie mobile Agenten in die Privatsphäre von Benutzern eindringen

AVG_NetzspionageMit der zunehmenden Einführung von BYOD im Arbeitsalltag stehen Unternehmen vor der Herausforderung, Datensicherheit, Privatsphäre und Benutzerfreundlichkeit miteinander in Einklang zu bringen. Um die mit dem Unternehmensnetzwerk verbundenen Mobilgeräte zu überwachen, setzen zahlreiche Firmen auf Mobile Device Management (MDM)-Lösungen.

Dies erfordert die Installation eines Software-Agenten auf dem privaten Endgerät der Mitarbeiter. In der Regel sind sich die Mitarbeiter darüber bewusst, dass sie durch die Aktivierung der Software auf ihren persönlichen Geräten ein gewisses Maß an Kontrolle über ihre Daten an ihren Arbeitgeber abgeben.

Wie ein Experiment von Bitglass allerdings zeigt, hat die allgemein vorherrschende Vorstellung, sowohl auf Seiten der Mitarbeiter als auch der Arbeitgeber, mit der Realität wenig zu tun. Vor allem mit Blick auf die Europäische Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft treten wird und Nutzern mehr Rechte zur Wahrung ihrer Privatsphäre einräumt, lassen die Ergebnisse aufhorchen.

Das Experiment

In einem einwöchigen Experiment testete ein IT-Forschungsteam von Bitglass, inwieweit MDM dazu genutzt werden kann, Smartphones und Tablets von Mitarbeitern ohne ihr Wissen zu überwachen und zu steuern. Jeder, der an der Studie teilnahm, gab dem Team die Erlaubnis, MDM-Zertifikate per Push an ihre Geräte zu übertragen.

Eine Praxis, die üblicherweise für die Datenübertragung über das Firmennetzwerk über ein Virtual Private Network (VPN) oder einen globalen Proxy verwendet wird. In nur sieben Tagen sammelte die MDM-Software eine Reihe von Informationen über die Interessen, Aktivitäten, Identitäten und Beziehungen der Mitarbeiter. Während des Experiments gelang es den Versuchsleitern, auf folgende Informationen zuzugreifen:

Surfverhalten

Mit dem Routing des Datenverkehrs über einen globalen Proxy war es möglich, das Surfverhalten von Mitarbeitern zu erfassen. Der Zugriff auf ihren Browserverlauf gewährte Einblick in sämtliche Vorgänge, von der Amazon-Produktsuche über vertrauliche Anfragen bei Gesundheitsdienstleistern bis hin zu politischen Interessen und Mitgliedschaften.

SSL-verschlüsselte Daten

Darüber hinaus gelang es den IT-Experten, mittels eines globalen Proxy in Verbindung mit einem vertrauenswürdigen Zertifikat, die SSL-Verschlüsselung zu deaktivieren. Durch die unverschlüsselte Umleitung von SSL-Datenverkehr erhielt das Forschungsteam Zugang zu den persönlichen E-Mail-Postfächern von Benutzern, ihren Konten bei sozialen Netzwerken und Bankdaten. Mit anderen Worten: Alle sicheren  Anmeldedaten wurden offengelegt, da Benutzernamen und  Kennwörter, die zur Kontoanmeldung verwendet werden, als Klartext an den Server der Versuchsleiter übermittelt wurden.

E-Mailverkehr

Die Fähigkeit zur Überwachung aus- und eingehender privater Kommunikation mittels MDM war auch bei Apps von Drittanbietern möglich – und sogar auf iOS, was die vorherrschende Meinung, dass App-Sandboxing den Einblick von Arbeitgebern in das Benutzerverhalten einschränke, wohl widerlegt. Mit Hilfe von Apps wie Gmail und Messenger gelang es sogar, versendete persönliche Mitteilungen abzufangen und eine Liste aller auf dem Gerät eines Mitarbeiters installierten Apps zu erstellen.

Aufenthaltsorte

Die meisten Teilnehmer des Experiments waren sich darüber bewusst, dass Administratoren verwalteter Geräte problemlos deren Standort ermitteln können, sofern GPS aktiviert ist. Wenigen war jedoch klar, inwieweit dies für das Erstellen eines Bewegungsprofils missbraucht werden kann. Das Forschungsteam ging noch einen Schritt weiter und sorgte dafür, dass GPS ohne Benachrichtigung des Benutzers im Hintergrund aktiv blieb. Dies ging nicht nur deutlich zu Lasten der Akkuleistung, sondern gab anhand des Standorts auch Auskunft über die Freizeitgewohnheiten der Teilnehmer. Dadurch konnte das Forschungsteam nachvollziehen, wo die Mitarbeiter ihre Freizeit verbrachten, wie häufig sie einkaufen gingen und vieles mehr.

Geräteeinstellungen

Vor allem das im Rahmen von MDM mögliche Zurücksetzen der Geräteeinstellungen, bereitet Mitarbeitern Sorgen, da viele von ihnen private Kontakte, Notizen, Fotos und andere Daten auf ihren persönlichen Geräten speichern. Dem Forschungsteam gelang es im Experiment, mittels MDM die Backup-Funktion so einzuschränken, dass eine Wiederherstellung von Diensten wie iCloud unmöglich wurde und den Betroffenen so gut wie keine Möglichkeit zur Wiedergewinnung verlorener Daten blieb.

Benutzerzugriff

Das Forschungsteam war zudem in der Lage, in zentrale Sicherungs- und Sperrfunktionen einzugreifen und so den Benutzerzugriff auf die Kamera, Apps wie FaceTime und grundlegende Aktionen wie Kopieren und Einfügen einzuschränken.

Angesichts des bevorstehenden Inkrafttretens der DSGVO im Mai 2018 ist es für europäische Unternehmen ratsam, die Sicherheit ihrer BYOD-Konzepte – beziehungsweise deren Potential für Sicherheitslücken – einer Prüfung zu unterziehen. Sie müssen sicherstellen, dass Mitarbeiterdaten nur in dem laut Datenschutzvereinbarung deklarierten Ausmaß verarbeitet und gespeichert werden. Gleichzeitig muss die Art der Datenverarbeitung gewährleisten, dass Mitarbeiter ihre Einwilligung dazu widerrufen können, und die bereits gesammelten Daten nicht an Dritte übermittelt sowie im Fall eines Widerspruchs gelöscht werden können.

Für den Fall, dass Mitarbeiter auf Grund von Datenschutzbedenken die Installation von MDM-Lösungen ablehnen, sollten Unternehmen bei der mobilen Sicherheit auch andere Ansätze in Betracht ziehen. Agentenlose BYOD-Softwarelösungen beispielsweise ermöglichen ein verbessertes Anwendungserlebnis, da keinerlei Einschränkungen in den Geräte- und Anwendungsfunktionen vorgenommen werden. Gleichzeitig ist die vollständige Übersicht und Kontrolle über Geschäftsdaten sichergestellt, ohne in die Privatsphäre der Endbenutzer einzugreifen, womit die Einhaltung von Datenschutzbestimmungen gewährleistet ist.

Autor: Eduard Meelhuysen ist Vice President Sales EMEA von Bitglass, einem weltweit tätigem Anbieter einer  Cloud-Access-Security-Broker-Lösung sowie von agentenloser Mobilsicherheit mit Sitz im Silicon Valley. Die Lösungen des Unternehmens ermöglichen durchgängige Datensicherheit, von der Cloud zu dem Gerät. Bitglass wird finanziell von hochrangigen Investoren unterstützt und wurde 2013 von einer Gruppe von Branchenveteranen gegründet, die in der Vergangenheit zahlreiche Innovationen eingeführt und umgesetzt haben.

 

Das Gesicht der Digitalisierung: Unternehmen müssen auf neue Rollen setzen

Socrates_Louvre_Dunja_2005Die Digitalisierung ermöglicht Innovationen, Services und neue Geschäftsmodelle – so entstehen enorme Chancen. Deshalb ist es in Zeiten der digitalen Transformation für Unternehmen unabdingbar, sich über aktuelle und neue Technologien zu informieren. Insbesondere der Mittelstand muss sich mehr mit der Thematik auseinandersetzen und sich einen Überblick über die Techniken, die die Digitalisierung unterstützen und vorantreiben, und deren Potenziale verschaffen.

Unternehmen benötigen deshalb eine Neuausrichtung ihrer Geschäftsstrategie. „Um in der Organisation die Voraussetzungen für die zielführende Platzierung der Digitalisierungsthemen zu gewährleisten und das Thema nachhaltig zu verankern, erfordert es eine zeitnahe Investition von Seiten der Unternehmen“, erläutert Dr. Consuela Utsch, Geschäftsführerin von Acuroc. „Auch den Mitarbeitern verlangt die digitale Transformation eine schnelle Anpassung an neu entstehende Rollen ab“

 

An Wertschöpfungsketten anknüpfen

Digitalisierung ist heute sowohl in der Geschäftsführung als auch im IT-Management das alles bestimmende und zukunftsweisende Thema. Die Führungsebenen in Unternehmen müssen sich über die sich wandelnde Welt ebenso bewusst werden wie bezüglich der sich verändernden Konsumenten und ihrer Wertschöpfungsketten, um dann die richtigen Schritte einzuleiten. „Sobald ein Unternehmen die Digitalisierung anstrebt, benötigt es neue Rollen.

Dazu zählen unter anderem der „Data Scientist“ und der „Data Compliance Officer“, insbesondere aber der „Chief Digital Officer“, kurz CDO. Sind die Dringlichkeit erkannt und erste Initiativen gestartet, stellt sich im Unternehmen die Frage, wie diese Maßnahmen am besten strukturiert und koordiniert weiter geführt werden können. Hierfür ist die Rolle des „Chief Digital Officer“ unverzichtbar, denn diese verantwortet die strategische Transformation und koordiniert und forciert gleichzeitig die Vernetzung zwischen Fachbereichen und IT.

Zudem sollte der CDO als Motivator im Unternehmen wirken und mit dem CIO auf Augenhöhe zusammenarbeiten“, empfiehlt Dr. Consuela Utsch. „Während der CIO den IT-Betrieb mit seinen Anforderungen verantwortet, treibt der CDO neue Geschäftsmodelle und deren Realisierung unter Einbeziehung der Mitarbeiter voran“, so die Geschäftsführerin weiter. Gleich zu Beginn der Tätigkeit muss der Chief Digital Officer eine digitale Veränderungslandkarte und eine Strategie entwickeln, um so die Koordination digitaler Aktivitäten zum Wandel des unternehmensweiten Geschäfts zu lenken.

 

Kompetenzen und Fähigkeiten

Für die erfolgreiche Integration der Rolle des Chief Digital Officers im Unternehmen benötigt dieses zunächst einmal eine passend ausgewählte Person mit den entsprechenden Kompetenzen und Fähigkeiten. Hierzu zählen neben weitreichenden Kenntnissen der Geschäftsprozesse sowie der Kundenanforderungen auch der Aufbau eines guten internen und externen Netzwerks und entsprechendes Know-how über die Branche sowie deren Anforderungen. Erfahrungen im Änderungsmanagement sind ebenso notwendig wie Innovationskraft und der Mut, disruptive Ideen zu entwickeln und umzusetzen.

Agilität, Kreativität und das Infragestellen der aktuellen Situation durch intensive Auseinandersetzung mit der Frage „Was ist, wenn dieses Geschäftsmodell morgen kippt?“ zeichnen den erfolgreichen Chief Digital Officer neben strategischem Denken aus. Der Kandidat sollte außerdem die Koordination digitaler Aktivitäten unter Einbindung externer Key-Player beherrschen und eine hohe Kommunikationsfähigkeit besitzen. Abgerundet werden die Kompetenzen durch einen qualifizierten Umgang mit unterschiedlichen Hierarchieleveln und Persönlichkeitsstrukturen.

Der Chief Digital Officer ist somit das „Gesicht der Digitalisierung“ im Unternehmen. „Der Job benötigt zudem vor allem Businessverständnis und Überzeugungskraft. Insbesondere der Schritt, langjährige Prozesse neu zu beleuchten und in Frage zu stellen, stellt eine große Herausforderung dar“, erklärt Dr. Consuela Utsch. „Es kann eben auch passieren, dass ein Unternehmen sich hierfür vollständig neu strukturieren muss. Deshalb fehlen in vielen Vorständen häufig noch diese Führungskräfte.“

Datenschutz: Wenn der Teddybär Geheimnisse ausplaudert

Teddybaer Der Sicherheitsforscher Troy Hunt hat einen Blogpost veröffentlicht, in dem er beschreibt, wie Hacker über eine ungesicherte Datenbank an vertrauliche Daten gelangen konnten, die von CloudPets Teddybären generierte wurden. In erster Linie handelt es sich dabei um Sprachnachrichten von Kindern und Eltern, mit denen die Kriminellen mutmaßlich versuchen, das Herstellerunternehmen SpiralToys zu erpressen.

Zwar bestreitet die Firma das Datenleck gegenüber Networkworld und gibt an, dass die öffentlich zugängliche MongoDB-Datenbank, in der sich die Aufnahmen und weitere Anmeldedaten von Nutzern befanden, von einem externen Unternehmen verwaltet wird; sie haben allerdings dennoch allen Nutzern die Änderung des Passworts empfohlen.

Vernetzte Spielzeuge mit Risikopotenzial

Es ist nicht das erste Mal, dass moderne vernetzte Spielzeuge in letzter Zeit in die Schlagzeilen geraten: Erst vor Kurzem hat die Bundesnetzagentur die Kinderpuppe Cayla aus ähnlichen Gründen vom Markt nehmen lassen.

Oliver Keizers, Regional Director DACH beim Sicherheitsspezialisten Fidelis Cybersecurity.

Oliver Keizers, Regional Director DACH beim Sicherheitsspezialisten Fidelis Cybersecurity.

Oliver Keizers, Regional Director DACH beim Sicherheitsspezialisten Fidelis Cybersecurity, sieht Hersteller und Eltern nun in der Pflicht:

„Die Tatsache, dass die Sprachaufnahmen ihrer Kinder frei online zugänglich und vielleicht in den falschen Händen sind, wird wohl alle Eltern zum Schwitzen bringen. Dieses Datenleck ist nach aktuellem Kenntnisstand einer Mischung aus schlechten Authentifizierungsmethoden und dem Nutzen einer Datenbank geschuldet, die bereits Anfang des Jahres als risikoanfällig beschreiben wurde.

Für Nutzer und Eltern, die mit dem Gedanken spielen, ihren Kindern ein ähnliches, vernetztes Spielzeug zu kaufen, gilt es jetzt abzuwägen, ob man das Risiko eingehen möchte, dass damit einhergeht. Zudem sollten sie sofort natürlich ihr Zugangspasswort ändern, sowohl bei ihrem CloudPets-Account, als auch bei allen anderen Zugängen, die das gleiche Passwort nutzen. Viele Menschen verwenden ein und das selbe Passwort für mehrere Apps und Websites, was Cyberkriminellen nach einem Datenklau immer wieder Zugriff auf weit mehr Daten gibt, als zunächst angenommen.

CloudPets wiederum wird seine eigene Infrastruktur, ihre Authentifizierungsmaßnahmen und die Verwendung einer unsicheren Datenbank in den Händen eines Drittanbieters evaluieren müssen. Die Sicherung der Nutzerdaten muss für jedes moderne Unternehmen oberste Priorität besitzen – ansonsten riskieren sie vom Vertrauensverlust wie im vorliegenden Fall bis zum Verbot wie im Fall ‚Cayla‘ alles.“

 

Das Internet der Dinge kann auch Mörder verraten…

Mit smarten Kameras von LUPUS-Electronics haben Sie ihr Zuhause von überall aus im Blick © LUPUS-Electronics

Mit smarten Kameras von LUPUS-Electronics haben Sie ihr Zuhause von überall aus im Blick © LUPUS-Electronics

Das Internet der Dinge (IoT) ist definitiv in unseren Haushalten angekommen und irgendwie fühlt man sich schon fast wie auf der Brücke vom Raumschiff Enterprise. Coole Gadgets steuern vieles per Stimme, wofür wir normalerweise ein paar Schritte wie beispielsweise zum Lichtschalter oder zur Stereoanlage gehen müssten – alles ganz einfach per Sprachbefehl oder Frage.

Damit diese beeindruckenden persönlichen Assistenten funktionieren benötigen sie das Internet und das nicht nur, um Musik abzuspielen oder eine Antwort zu geben. Sie nehmen alle Befehle auf und speichern diese. Erst so können Hersteller von Echo/Alexa, Siri, Cortana oder Google Home die Qualität der sprachlichen Interaktion weiter verbessern und den Geräten noch mehr Beeindruckendes beibringen.

In einem jüngeren Fall in USA wollte sich die Polizei derartiger Sprachaufnahmen einer Anwenderin zunutze machen. In Zusammenhang mit einem Mord verlangte die Polizei sämtliche Sprachaufnahmen des Amazon Echo-Geräts in der Hoffnung, Hinweise zur Aufklärung der Tat zu erhalten. Doch Amazon hat sich an den Datenschutz gehalten und geweigert, die entsprechenden Sprachaufzeichnungen herauszugeben. Dieser Fall zeigt, dass bestimmte Einrichtungen ein valides Interesse an derartig gespeicherten Informationen haben. Es ist aber auch leicht vorstellbar, dass Cyber-Kriminelle eine lohnende Einnahmequelle durch Erpressung daraus entwickeln könnten.

Hundertprozentige Privatsphäre ausgeschlossen

Anwender, die solche Technologien zuhause oder im Büro einsetzen, dürfen nicht mit einer hundertprozentigen Privatsphäre rechnen. Aber es gibt ein paar Dinge, auf die Benutzer achten sollten, um zumindest etwas mehr Sicherheit zu erhalten:

Wenn Echo nicht genutzt wird, sollte die Stummtaste aktiviert sein. Die Stummschaltung befindet sich direkt am Gerät. Das „immer hörende“ Mikrofon wird somit abgeschaltet, bis es wieder aktiviert wird.

  1. Man sollte Echo nicht mit sensiblen Accounts verbinden. Es gab bereits einige Fälle in denen die Verkettung von mehreren Accounts zu unschönen Überraschungen oder Tränen geführt haben. Ein Kontrollverlust wie beispielsweise bei Bestellungen ist schnell geschehen.
  2. Alte Aufnahmen sollten gelöscht werden. Bei Echo beispielsweise können auf dem Amazon-Konto unter „Manage my Device“ über ein praktisches Dashboard einzelne Abfragen oder der gesamten Suchverlauf gelöscht werden.
  3. Google-Settings sollten restriktiv eingestellt sein. Wer Google Home verwendet, kennt das immense Datensammelverhalten des Unternehmens. Aber immerhin bietet Google auf der Webseite diverse Einstellmöglichkeiten an, um Berechtigungen zu erlauben oder zu entziehen. Darüber hinaus verfügt auch Home über eine Mute-Taste.

„Systeme wie Amazon Echo/Alexa oder Google Home sind faszinierend und werden sich in unserer technisch affinen Welt sehr schnell verbreiten. So angenehm und interessant sie unser Leben auch gestalten, die Nutzer sollten unbedingt auf Sicherheit und Privatsphäre achten. Hier ist jeder einzelne Nutzer gefragt, aktiv darüber nachzudenken, welche Informationen er preis gibt und welche nicht“, sagt Michael Veit, Security-Experte bei Sophos.

Cyberangriffe als politische Waffe – auch in Deutschland?

WP_001217Am 6. Januar 2016 – also noch vor dem unmittelbaren Ende der Präsidentschaft Barrack Obamas – veröffentlichte das Intelligence Community Assessment (ICA) unter dem Titel „Assessing Russian Activitites and Intentions in Recent US Elections“ ein entsprechendes Hintergrundpapier.

Eines der wichtigsten Ergebnisse der Nachforschungen: Russland wird für eine mehrschichtige Kampagne verantwortlich gemacht, die sich ausdrücklich gegen einen regulären Ablauf der jüngsten US-Wahlen richtete. Zum einen sollte das Vertrauen in den demokratischen Prozess als solchen unterminiert werden, vor allem aber die Glaubwürdigkeit der Präsidentschaftskandidatin Hillary Clinton.

Zwar beschäftigt sich das Papier mit der mutmaßlichen Einflussnahme Russlands auf die US-Wahlen, die Autoren weisen aber ausdrücklich darauf hin, dass wir bei anstehenden Wahlen weltweit mit ähnlichen Szenarien rechnen dürfen. 2017 ist das Jahr der Präsidentschaftswahl in Frankreich und das der Bundestagswahl in Deutschland.

Cyberangriffe als politische Waffe

Cyberangriffe als politische Waffe zu nutzen ist nicht unbedingt etwas Neues. Neu sind allerdings Qualität und Ausmaß wie bei den jüngsten Wahlen in den USA. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ahnt dahingehend nichts Gutes und geht davon aus, dass es eines besonderen Schutzes gegen Online-Wahlmanipulationen bei den in diesem Jahr anstehenden Bundestagswahlen bedarf.

Das BSI sieht wie auch die ICA im Wesentlichen zwei Säulen einer möglichen Einflussnahme. Das sind zum einen gezielte Hackerangriffe zum anderen eine Art automatisierter Meinungsbildung über verschiedene Instrumentarien in den sozialen Medien. Beides gelte es zu bekämpfen, so das BSI. Anlass für die Stellungnahme des BSI war eben jener Bericht zu den Cyberangriffen für die der russische Präsident verantwortlich gemacht wird. Es soll vermutlich anders klingen, dennoch betreten Parteien, Mandatsträger und Staaten hier tatsächlich anderweitig berühmt gewordenes „Neuland“.

 Karte und Gebiet: Neuland

Regierungsinstitutionen, Parteien, Mandatsträger und solche die es werden wollen, sehen sich (wie es der US-Wahlkampf besonders sinnfällig dokumentiert hat) mit einer neuen Qualität von Cyberangriffen konfrontiert. Manches davon war nach den Vorkommnissen im Wahljahr zu erwarten manches eher nicht.

Wir sind inzwischen daran gewöhnt, dass Hacker Unternehmen ins Visier nehmen. Dass die Angreifer dabei Millionen von Daten, Kreditkartennummern und Passwörter stehlen, zum sofortigen oder späteren Gebrauch oder wichtige Systeme zum Erliegen bringen. Wenn es sich dabei um Angriffe handelt, die von einem Staat in Auftrag gegeben worden sind, richtet sich die Attacke vielleicht gegen Wissenskapital, militärische Geheimnisse oder andere Arten von sensiblen Informationen – beispielsweise im Rahmen einer groß angelegten Offensive zur Wirtschaftsspionage.

Aber Cyberangriffe und Hackerattacken auf politische Parteien, Kandidaten und Mandatsträger? IT-gestützte Systeme im Visier, Daten und Dateien, die herausgeschleust oder geleaked werden, gezielte Manipulationen und das Schüren grundsätzlicher Verunsicherung in Bezug auf das politische System und seine Repräsentanten? Natürlich sind schmutzige Spielchen keine Erfindung des digitalen Zeitalters, und es gibt ausreichend viele Beispiele für analoge „Hacks“. Digitale Angriffstechniken allerdings gezielt einzusetzen, um den politischen Gegner zu diskreditieren, Wahlen zu manipulieren und Kampagnen so zu beeinflussen, dass sie ein Klima der Verunsicherung  schaffen, ist in dieser Form neu. Dazu gehört auch, was das BSI in seiner Verlautbarung als „automatisierte Meinungsmache“ bezeichnet.

Wir waren uns ziemlich sicher, dass Datenschutzverletzungen dieser Art nicht nur die Cybersicherheit als solche in die Schlagzeilen bringen würde, sondern auch, dass diese eng mit schwerwiegenden geopolitischen Veränderungen, Umbrüchen und Bedrohungen wie beispielsweise dem internationalen Terrorismus in Verbindung stehen würden.

Der DNC Hack – ein beispielhafter Hack mit Folgen

Im Sommer des letzten Jahres wurde das Democratic National Committe (DNC) Opfer einer der Hacker-Gruppierungen, die wahrscheinlich mit dem russischen Geheimdienst in Verbindung stehen. Dabei kamen Technologien zum Einsatz zum Standard-Repertoire eines Hackers gehören und als solche keineswegs neu sind: Spear-Phishing, Remote Access Trojaner, Malware, C2-Server und so weiter.

In diesem Fall ging es aber nicht darum Konten- oder Kreditkarteninfos abzuziehen wie in vergleichbaren Fällen von Online-Kriminalität. Hier hatten die Hacker es auf E-Mails mit vertraulichen Inhalten abgesehen. Diese Inhalte veröffentlichten sie anschließend im Internet mit dem einzigen Ziel größtmöglichen Schaden anzurichten. Nicht unähnlich dem Sony-Hack bei dem es um den größtmöglichen wirtschaftlichen Schaden ging. Neu beim Angriff auf das DNC: Hier attackiert eine politische Entität eine andere, und zwar aus politischen Gründen. Ähnliche Vorfälle in europäischen Ländern – Deutschland eingeschlossen – haben das Thema auf die nationale politische Agenda gebracht.

E-Mail – Die Mutter allen Übels?

Auf den DNC-Hack folgten weitere, politisch motivierte Angriffe wie beispielsweise auf die E-Mails von Hillary Clinton. Dass sich Politiker und Repräsentanten des Staates zukünftig sehr viel stärker damit auseinandersetzen müssen, wie sie sensible Inhalte, die meist in Form unstrukturierter Daten vorliegen, besser schützen, auch das ist in dieser Form eher neu.

Obwohl wir die Vorgehensweisen aus dem kommerziellen Sektor zur Genüge kennen, scheint die Vorstellung noch gewöhnungsbedürftig zu sein. Wenn jemand aber auf der Suche nach vertraulichen, persönlichen Informationen ist, sind und bleiben E-Mails so etwas wie der One-Stop-Shop.

Hacker, deren Angriffe primär finanziell motiviert sind, haben mit den in Dokumenten, Präsentationen und so weiter enthaltenen PII-Daten (Personally Identifiable Informationen) den eigentlichen Schatz gefunden, der überall in den jeweiligen Dateisystemen verborgen liegt.

Wer auf der Suche nach vertraulichen Daten und Insiderinformationen ist, für den sind E-Mail-Server und persönliche E-Mail-Konten der schnellste und einfachste Weg zum Ziel. Angreifer wissen, dass E-Mail-Konten die Quelle sind, aus der sich die meisten Daten auf einmal abschöpfen lassen: vertrauliche Informationen, Geschäftsgeheimnisse und andere IPs.

Dazu kommt, dass selbst Führungskräfte, äußerst leichtsinnig sind, wie der Hack auf das Gmail-Konto des ehemaligen Secretary of State, Colin Powell, zeigt. Für die Angreifer öffnet sich ein digitales Fenster mit freier Aussicht auf eine weitestgehend ungeschützte Kommunikation. Mittlerweise ist längst bekannt, dass Powell sein privates E-Mail-Konto während seiner Tätigkeit im State Department benutzte um mit „Freunden“ – darunter Führungskräfte und Regierungschefs anderer Länder – „off the records“ zu kommunizieren. Und nicht nur das. Er gab der damaligen Secretary of State, Hillary Clinton, Tipps wie sie den offiziellen E-Mail-Account und die IT-Sicherheit mit Hilfe eines Modems und eines Laptops umgehen könnte. Derartig tiefgreifende Insidereinblicke zu bekommen hätte in der analogen Ära ein Vielfaches an Aufwand und Risiko bedeutet.

Was die Krise lehrt

Ob Schaden klug macht, wird sich zeigen und berechtigte Zweifel bleiben. Dennoch. Die Tatsache, dass es bei politischen Institutionen und Prozessen schwerwiegende Sicherheitsmängel gibt, dass hoch vertrauliche und persönliche Daten vergleichsweise einfach zugänglich waren, und dass sie anschließend veröffentlicht werden konnten, hat einige aus dem Dornröschenschlaf geweckt. Schließlich betreffen solche Leaks nicht nur politische Mandatsträger und Kandidaten. Familie und Freundeskreis sind bei prekären Enthüllungen ebenso betroffen.

Autor David Lin arbeitet beim Experten für Datenschutz und Datenanalyse Varonis.

Autor David Lin arbeitet beim Experten für Datenschutz und Datenanalyse Varonis.

Der Hackerangriff auf den Bundestag im Jahr 2015 hatte jedenfalls weitreichende Folgen sogar für die Ausgestaltung des IT-Sicherheitsgesetzes (sodass jetzt beispielsweise auch Bundesbehörden Sicherheitsauflagen einhalten müssen). Ende Dezember 2016 warnte jedenfalls das BSI nicht nur vor Wahlmanipulationen und Fake News im bevorstehenden Bundestagswahlkampf.

Präsident Arne Schönbohm sagte der Welt am Sonntag: „Wir optimieren kontinuierlich die Verteidigungsfähigkeit der Regierungsnetze, um gegen mögliche Cyberangriffe gewappnet zu sein.“ Dazu tausche man sich mit anderen europäischen Ländern aus, in denen in naher Zukunft gewählt wird. Denn gerade mit Blick auf die Bundestagswahl im nächsten Jahr mache man sich Sorgen und fürchte eine hohe „Bedrohung für Staat, Wirtschaft und Gesellschaft durch professionelle und vermutlich staatlich gelenkte Cyberangriffe“. Es könne zu einer „gezielten Manipulation der öffentlichen Meinung durch Dritte“ kommen.

Wem es gelingt sensible Daten aus einer hoch vertraulichen E-Mail-Korrespondenz abzuziehen, der profitiert davon in zweierlei Hinsicht: Er ist in der Lage die öffentliche Meinung zu beeinflussen und Informationen gezielt nach einem minutiösen Zeitplan zu veröffentlichen. Interessenten gibt es in ausreichender Zahl, eingeschlossen die Opposition im jeweiligen Land und Dritte. Der zweite, nicht zu unterschätzende Aspekt ist, dass Mitbewerber oder konkurrierende Parteien Einblick in die strategische Wahlkampfplanung bekommen und die eigene Kampagne daraufhin ausrichten oder feinjustieren können.

Ob Gesetze ausreichen, den Schutz von vertraulichen Daten zu gewährleisten, bleibt fraglich. Die neue, 2018 in Kraft tretende EU-Datenschutz-Grundverordnung, sieht jedenfalls sowohl eine 72-Stunden Meldepflicht bei Datenschutzverletzungen vor als auch eine erweiterte Definition für PII-Daten vor. Und sie ist deutlich restriktiver als vergleichbare Gesetze und Richtlinien in den USA. Ein übergreifender Ansatz, um solche Bedrohungen in den Griff zu bekommen ist beispielsweise die Analyse des Benutzerverhaltens (UBA = User Behavior Analytics). Einfach gesagt, definiert UBA sozusagen die Normalwerte in einer bestimmten Umgebung. Weicht ein Verhalten oder eine Aktivität davon ab, kann das auf einen Datenschutzverstoß hinweisen. In solchen Fällen wird ein entsprechender Alarm ausgelöst, nachgeforscht und die Verantwortlichen in Kenntnis gesetzt, um Gegenmaßnahmen zu ergreifen.

Haben die Deutschen Angst vor der Technik?

Wolfram Jost, CTO der Software AG, plädiert für mehr Offenheit in Deutschland gegenüber technischen Innovationen. (Bild: Software AG)

Wolfram Jost, CTO der Software AG, plädiert für mehr Offenheit in Deutschland gegenüber technischen Innovationen. (Bild: Software AG)

Kommunizieren, arbeiten, einkaufen und bezahlen: Ein wachsender Teil unseres privaten und beruflichen Alltags spielt sich digital ab. Wie mithilfe von digitalen Plattformen schnell gute Geschäfte zu machen sind, haben neue Firmen wie Alibaba, Airbnb oder Uber bereits gezeigt. Das ist kein Hexenwerk, erfordert jedoch mutige Entscheidungen und die konsequente Verfolgung des Ziels, ein durch und durch digitales Unternehmen aufzubauen.

Technikskepsis wird in der Wirtschaft schnell zum Nachteil

Technikskepsis wird in der Wirtschaft schnell zum Nachteil, denn die Digitalisierung schreitet voran und hängt diejenigen ab, die zu lange zögern. Alle Unternehmen müssen mittelfristig zu digitalen Unternehmen werden. Nur so können sie – egal in welcher Branche – auf lange Sicht erfolgreich am Markt agieren, weil sie verstanden haben, wie grundlegend sich die Kommunikation und die Abläufe verändern.

Wie man einen Technologie-Rückstand in einen Vorsprung verwandelt, können wir bei Schwellenländern beobachten. In vielen Ländern Afrikas und Asiens beispielsweise wurde der Aufbau einer teuren Festnetzinfrastruktur übersprungen, und eine junge Bevölkerung begrüßt die Annehmlichkeiten der mobilen Kommunikation mit offenen Armen.

Annehmlichkeiten der mobilen Kommunikation

Aus dieser besonderen Situation entsteht eine mobile Kultur, die eine Vielfalt an Innovationen hervorbringt: Via Smartphone können in Indonesien Mitfahrgelegenheiten auf Motorrädern und Rollern gebucht werden, und das Konzept findet großen Anklang, denn das „Uber für Zweiräder“ weist mittlerweile über 11.000 Fahrer aus. Ein weiteres Beispiel: Awamo, ein Start-up-Unternehmen aus Frankfurt am Main, ermöglicht es Nutzern aus Afrika, per Smartphone Mikrokredite zu organisieren. Der gesamte Vorgang, vom Kreditangebot bis zur Rückzahlung, erfolgt digital. Die Infrastruktur gibt den möglichen Rahmen vor, und das bedeutet: so einfach, schnell und unkompliziert wie möglich. In den meisten Fällen also mobil.

Was lernen wir daraus, um unsere wirtschaftliche Pole Position international nicht zu verlieren? Offenheit gegenüber Innovationen war und ist ein Erfolgsprinzip. Neue Innovationen zu nutzen bedeutet jedoch auch, bewährte, aber veraltete Technologien hinter sich zu lassen oder mit neuen Methoden zu experimentieren – ein Schritt, dem viele hierzulande skeptisch gegenüberstehen. Erschwerend hinzu kommt, dass der digitale Wandel schwer vorhersehbar ist. Diese Ungewissheit ist gegenläufig zu unserem hohen deutschen Planungs- und Sicherheitsbedürfnis.

Die Herausforderung für Industrieländer ist es, einen gesunden Mittelweg zu finden

Die Herausforderung für Industrieländer ist es, einen gesunden Mittelweg zu finden: Es ist ratsam, Digitalisierungsprojekte stufenweise aufzusetzen und flexible Technologie-Plattformen einzurichten. Dabei steht die Sicherheit neuer Technologien an erster Stelle und Risiken müssen kritisch hinterfragt werden. Übertriebene Technikskepsis darf jedoch nicht dazu führen, dass die Chance verspielt wird, eine mobile Kultur aktiv mitzugestalten und zu leben. Denn die Digitalisierung kommt ganz sicher und technologisch ist sie bereits hier. Nun muss ihr eine digitale Mentalität folgen.

Autor: Dr. Wolfram Jost ist seit August 2010 Mitglied des Vorstandes der Software AG, einem Anbiete für Softwarelösungen für Unternehmen und verbundene Dienstleistungen. Als Chief Technology Officer (CTO) ist er verantwortlich für Forschung & Entwicklung sowie Produktmanagement und Produktmarketing.

Digitale Arbeitswelten: Kontrolle ist gut, Vertrauen ist besser

Martin Beims ist geschäftsführender Gesellschafter von aretas, einer servicebetonten Unternehmensberatung mit Sitz in Aschaffenburg.

Martin Beims ist geschäftsführender Gesellschafter von aretas, einer servicebetonten Unternehmensberatung mit Sitz in Aschaffenburg.

Vertrauen als Schmiermittel der Wirtschaft: Verschenktes Potenzial? Ob in der Führungsetage, im Projektteam oder in der Kaffeeküche: Vertrauen ist ein brisantes Thema. Denn wenn es mal richtig schwierig wird, vertraut doch jeder nur sich selbst. Getreu dem Motto: „Nur wenn ich es selbst mache, wird es richtig gemacht.“

Nach einer repräsentativen Studie von Ernst & Young setzen die Beschäftigten weltweit kein großes Vertrauen in die eigene Firma oder den direkten Vorgesetzten: 44 Prozent vertrauen hierzulande ihrem Unternehmen und 47 Prozent ihren Vorgesetzten. Im Umkehrschluss heißt das: Die Mehrheit aller Arbeitnehmer ist gegenüber ihrem Arbeitgeber skeptisch oder sogar misstrauisch eingestellt. „Das kann fatale Folgen haben. Vertrauen ist eine zu wenig genutzte Ressource. Letztlich verschenktes Potenzial“, weiß Martin Beims, geschäftsführender Gesellschafter von aretas, einer servicebetonten Unternehmensberatung mit Sitz in Aschaffenburg. „Vertrauen ist das vielleicht wichtigste Schmiermittel der Wirtschaft. Ohne Vertrauen kann sich kein Unternehmenserfolg einstellen.

Wenn jeder nur vor sich hin arbeitet und keinem vertraut, entsteht keine echte Zusammenarbeit.

Führungskräfte und Mitarbeiter müssen den enormen Wert ‚Vertrauen‘ erkennen und endlich wertschätzen.“ Nur so lässt sich ein gutes Betriebsklima schaffen.

Wenn Mitarbeiter und Führungskräfte sich gegenseitig vertrauen, ist die gemeinsame Zusammenarbeit von einer erhöhten Produktivität geprägt. Untersuchungen zeigen: Wer vertraut, ist motiviert und auch bereit, mehr zu leisten.1 Ein Mangel an Vertrauen bildet dagegen den idealen Nährboden für Angst.

Warum fehlt das Vertrauen?

Als Hauptgrund für das Misstrauen nennen die Befragten der Studie vor allem das Gefühl der Ungerechtigkeit. Über die Hälfte stört die als unfair empfundene Bezahlung, 48 Prozent bemängeln fehlende Chancengleichheit. Von den Befragten, die das Vertrauen in ihren Arbeitgeber verloren haben, arbeiten 30 Prozent nicht mehr, als von ihnen explizit verlangt wird.

Mit Folgen für das Unternehmen: 28 Prozent sagen, die Enttäuschung führe generell dazu, dass sie weniger engagiert und produktiv seien. Für ein Viertel der Beschäftigten wird Qualität zur Nebensache und knapp ein Viertel spricht negativ über das Unternehmen gegenüber Kollegen oder Bewerbern. „Diese Erkenntnisse sollten jeden Arbeitgeber aufrütteln. Fehlt das Vertrauen auf beiden Seiten, halten Mitarbeiter und auch Führungskräfte im schlimmsten Fall Leistungen zurück“, warnt Beims. „Die Beschäftigten ziehen sich zurück – sie machen Dienst nach Vorschrift und hören auf, sich mit Ideen und besonderer Leistungsbereitschaft in das Unternehmen einzubringen.“ Das ist aber gerade im Digitalen Wandel problematisch für Unternehmen. Denn in einer sich wandelnden Arbeitswelt mit globalem Wettbewerb und wachsender Dynamik brauchen Unternehmen leistungsbereite und loyale Belegschaften, die ihre Kreativität und ihre Ideen einbringen.

Vertraust du schon oder kontrollierst du noch?

Vertrauen kann sich nur in der Zusammenarbeit und der damit verbundenen Kommunikation entwickeln. Drei wesentliche Grundlagen fördern den Aufbau von Vertrauen: selbst Vertrauen schenken, eine klare Ausdruckweise und Authentizität.2 „Voraussetzung für den Aufbau ist die Glaubwürdigkeit. Diese kann am ehesten erlangt werden, wenn Denken, Sprechen und Handeln aller Beteiligten übereinstimmen, also kongruent sind“, so Beims.

Es ist die Klarheit im Handeln insbesondere der Führungskraft, die absolut von Nöten ist, damit sich alle beteiligten Akteure sicher orientieren können. Für die Beschäftigten ist es von äußerster Wichtigkeit, dass Führungskräfte Versprechen einhalten und der Job als sicher wahrgenommen wird. Nur so ist eine vertrauensvolle Zusammenarbeit möglich. Außerdem wichtig: gegenseitigen Respekt nicht nur einzufordern, sondern auch jeden Tag zu leben.

Das perfekte Paar: Vertrauen und Verantwortung

Vertrauen ist besonders dann gefordert, wenn Veränderungen im Unternehmen anstehen: Es bildet die Grundlage für die erfolgreiche Durchführung von Veränderungsprozessen, denn Umgestaltungen rufen immer auch Ängste bei den Beteiligten hervor. „Nur wenn das Team den Führungskräften vertraut und diese auf der anderen Seite den Mitarbeitern das notwendige Vertrauen entgegenbringen, können Veränderungsprozesse weitgehend frei von Störungen gestaltet werden“, erklärt Beims.

Als Führungskraft ist es wichtig, gerade in diesen Phasen Orientierung und Sicherheit zu geben. Unerlässlich dafür: ein wertschätzender Umgang mit allen Beteiligten, klar formulierte Erwartungen und ausreichend Freiräume, Neues umzusetzen und einzuüben. Zu Vertrauen gehört auch immer Verantwortung. Damit Mitarbeiter Verantwortung übernehmen, sollten Vorgesetzte – wo immer möglich – mit klar formulierten Zielen und Vereinbarungen statt mit Arbeitsanweisungen führen.

Voraussetzung hierfür: Die an der Veränderung Beteiligten für die neuen Aufgaben und Verantwortungen ausreichend zu befähigen. Vertrauen beinhaltet immer eine zweite Seite der Medaille: Erst der verantwortungsvolle Umgang mit dem entgegengebrachten Vertrauen ermöglicht, die vereinbarten Ziele zuverlässig und wirtschaftlich zu erreichen. Vertrauen und Verantwortung sind also ein untrennbar verbundenes Paar.

Neue Formen der Zusammenarbeit brauchen Vertrauen

Vor dem Hintergrund der rasanten Veränderungen der digitalen Transformation der Unternehmensprozesse spielen neue Arten der Zusammenarbeit eine zentrale Rolle. Starre Strukturen werden ersetzt durch Teams, die ihr Produkt durch den gesamten Lebenszyklus – Ende zu Ende – verantworten. Agile Formen der Projektplanung und flexible Formen der disziplinübergreifenden, horizontalen Zusammenarbeit spielen eine wachsende Rolle. Nur so ist es möglich, den Forderungen nach immer kürzeren Innovationszyklen gerecht zu werden.

Die Konsequenz: Entscheidungen werden nicht mehr an der Spitze einer starren Hierarchie sondern direkt in den Teams getroffen. Dafür müssen die Teammtglieder die Verantwortung für Ihre Entscheidungen und Ergebnisse übernehmen. Gleichzeitig müssen Führungskräfte innerhalb des vereinbarten Werte- und Zielerahmens diese Entscheidungen akzeptieren.

Ohne Vertrauen ist das nicht möglich. Werden Entscheidungen der Mitarbeiter permanent in Frage gestellt und revidiert, wandern sie schnell wieder in der Hierarchie nach oben. Das Ergebnis ist derzeit in vielen Unternehmen zu beobachten: Pseudo-agile Herangehensweisen und scheinbar hierarchieübergreifende Teams, in denen schlussendlich der Abteilungsleiter jede Entscheidung bestätigen und jede Investition freigeben muss. Der Grund: Bürokratische Strukturen und Abläufe haben sich seit Jahren etabliert und lassen sich nur zögerlich aufbrechen.

Muss Vertrauen verdient werden?

„Vertrauen muss man sich verdienen.“ Wer kennt diese Redensart nicht? Vertrauen ist jedoch eine positive Grundhaltung, die zunächst nicht an Vorbedingungen geknüpft sein sollte. „Bei Vertrauen handelt es sich zunächst immer um einen Vorschuss. In der Unternehmensführung heißt das, den Menschen im Unternehmen vom ersten Tag an Vertrauen entgegenzubringen“, erläutert Beims. „Das bedeutet zum Beispiel auch, statt immer neue Belohnungen in Aussicht zu stellen, einfach davon auszugehen, dass die Beschäftigten den bestmöglichen Beitrag zum Unternehmenserfolg leisten wollen.“

Aber Vertrauen kann natürlich verloren gehen, wenn es nicht gerechtfertigt wird. Damit Vertrauen dauerhaft bestehen bleibt, sollte ein gemeinsames Verständnis über zu erreichende Ziele und die notwendigen Schritte auf dem Weg dorthin vorhanden sein. Noch wichtiger ist es, dass alle Beteiligten über längere Zeit ein für das jeweilige Gegenüber einschätzbares Verhalten zeigen. Entscheidungen müssen nachvollziehbar und plausibel sein und in ihrer Grundrichtung mit dem gemeinsam vereinbarten Weg übereinstimmen, um bestehendes Vertrauen weiter zu festigen.

Beschäftigte in einem von Vertrauen und Verantwortung geprägten Umfeld bilden Vertrauen bei Kunden und Kollegen durch Zuverlässigkeit – was sie versprechen, halten sie auch. Außerdem ist ihr Handeln in der von Fairness geprägt: Der Nutzen für das Unternehmen und seine Kunden ist ihnen genauso wichtig wie persönliche Vorteile. Darüber hinaus gehen sie verantwortungsvoll mit den Ressourcen des Unternehmens um und halten sich an vereinbarte Regeln.

 

 

Smart Home Kühlschrank: Der Spion, der mich liebt

Elektronik-Hersteller Samsung hat im 2016 einen "smarten Kühlrank" vorgestellt, den sogenannten Family Hub. Dabei handelt es sich um einen smarten Kühlschrank, mit dem der südkoreanische Konzern das Internet der Dinge in die Küche bringen möchte.

Elektronik-Hersteller Samsung hat 2016 den sogenannten Family Hub vorgestellt. Dabei handelt es sich um einen smarten Kühlschrank, mit dem der südkoreanische Konzern das Internet der Dinge in die Küche bringen möchte.

Wenn es nach den Herstellern internetfähiger Kühlgeräte geht, soll der smarte Kühlschrank mit seiner intuitiven Kontrolle das neue Herzstück jeder Küche sein. Dank eines digitalen Assistenten kann man seinem Kühlgerät sagen, welche Lebensmittel es besorgen soll. Im Supermarkt selbst hilft der Blick aufs Smartphone, denn die integrierte Kühlschrankkamera verbindet sich via Wi-Fi ins heimische Netz und gibt einen Überblick über die Bestände. Smart weist der Kühlschrank nicht nur auf geringe oder leere Vorräte hin, sondern auch auf schnell zu verbrauchende Lebensmittel.

 Smart-Home-Geräte sind derzeit „der Renner“

Derartige Smart-Home-Geräte waren auf der diesjährigen Consumer Electronics Show (CES), einer der weltweit größten Fachmessen für Unterhaltungselektronik, der Renner. So unterhaltsam diese Gadgets sind, sollte man sich doch im Klaren darüber sein, dass hier Nutzerdaten gesammelt werden.

Auf den ersten Blick erscheint eine Einkaufshistorie harmlos. Doch die großen Datenmengen werden gespeichert, an den Hersteller gesendet, ausgewertet und können mit vielerlei anderen gespeicherten Informationen zu individuellen Profilen verknüpft werden. Ohne unser Wissen, ohne unseren Einfluss. Das ist nichts Neues. Kennen wir dieses Problem doch aus zahlreichen Diskussionen um Soziale Netzwerke wie Facebook & Co.

Der Kühlschrank – ein Angriffsziel für Hacker

Es gilt also Lösungen zu entwickeln, die dem Kühlschrank verbieten, Daten an den Hersteller zu senden – sofern man das möchte. Dies ist aber nur eine Seite der Misere. Weitaus kritischer ist zu sehen, dass der Kühlschrank als ein reguläres WLAN-Gerät ins häusliche Netzwerk eingebunden und damit potenziellen Angriffen durch Hacker ausgesetzt ist. Da das Kühlgerät aber selbst nicht über eine eigene Firewall oder eine andere Security-Lösung geschützt werden kann, stellt sich auch hier die Frage, wie der Anwender diese offene Tür ins Internet schließen kann.

„Smarte Geräte sind faszinierend und ich denke, dass diese sehr rasch Einzug in unser tägliches Leben halten werden“, sagt Michael Veit, Sicherheitsexperte bei Sophos in Wiesbaden. „Damit wird der Schutz von privaten Informationen für den Konsumenten immer schwieriger. Im Grunde entwickelt sich der zunehmend smarte Privathaushalt – aus IT-Security-Sicht – in Richtung einer komplexen Infrastruktur, ähnlich einem kleinen Unternehmen. Und hier helfen im Moment nur klassischer Endpoint-Schutz wie Sophos Home in Verbindung mit unserer kostenlosen Firewall-Lösung, die ursprünglich für kleine Unternehmen entwickelt wurde.“

„Digitales Arbeiten kommt ohne Mobilität nicht aus“

Der studierte Diplom-Mathematiker Matthias Kunisch ist Geschäftsführer der forcont business technology GmbH.

Der studierte Diplom-Mathematiker Matthias Kunisch ist Geschäftsführer der forcont business technology GmbH.

Aktuell gibt es wohl kaum ein Unternehmen in Deutschland, das sich nicht mit dem digitalen Wandel der Arbeitswelt auseinandersetzen muss. Traditionelle Geschäftsmodelle und die daraus abgeleiteten Geschäftsprozesse müssen überdacht und zum Teil ganz neu ausgerichtet werden.

Das ist aber nicht die einzige Änderung, die der digitale Umbruch mit sich bringt. Matthias Kunisch, Geschäftsführer von forcont business technology , gibt einen Ausblick darauf, wie die digitale Arbeitswelt im Jahr 2017 aussehen wird.

xethix: Herr Kunisch, die Digitalisierung ist inzwischen in vielen deutschen Unternehmen bestimmendes Thema. Ihre Prognose: Wie wird sich die digitale Arbeitswelt 2017 verändern? Welche Herausforderungen kommen auf Unternehmen zu?

Matthias Kunisch: Der digitale Umbruch in Unternehmen ist in vollem Gange und wird im kommenden Jahr definitiv ein neues Level erreichen. Täglich nutzen mehr und mehr Marktteilnehmer digitale Methoden zur Kommunikation und zur Abwicklung von Geschäftsprozessen.

Digitalisierte Arbeitswelt heißt nicht mehr nur, die berufliche und private Zeiteinteilung zu optimieren oder am Strand mit dem Tablet auf dem Schoß die letzten E-Mails zu beantworten. Vielmehr geht es zunehmend darum, neue Geschäftsprozesse zu etablieren und Arbeitsinhalte anzupassen, etwa indem automatische Prozesse für Routine-Aufgaben eingeführt werden. Gleichzeitig gewinnen Kreativität, Erfindungsreichtum und Gestaltungswille der Mitarbeiter immer mehr an Bedeutung.

Der Freiraum, der durch die digitalisierte Arbeitswelt geschaffen wird, ist allerdings nur die eine Seite der Medaille. Auf der anderen Seite darf man nicht unterschätzen, dass ein hoher Management-Aufwand und gut durchdachte Einführungsprojekte für die digitale Abwicklung spezifischer Geschäftsprozesse nötig sind, um überhaupt die gewünschten Effekte zu erzielen. Im Übrigen erfordern die Segnungen der Digitalisierung auch eine gewisse Bereitschaft der Mitarbeiter, sich dieser mitsamt ihrer Herausforderungen zu stellen. Die Transformation in die digitale Welt ist – wie jede große Änderung – ein langwieriger Weg, auf dem es keine Zeit für große Experimente gibt.

xethix: Inwiefern ist das Dokumentenmanagement hierbei ein zentraler Ansatzpunkt?

Matthias Kunisch: Informationen steuern Geschäftsprozesse, ohne sie geht es nicht. Geschäftsbeziehungen der Marktteilnehmer untereinander werden maßgeblich von Angebot, Auftrag, Lieferung und Rechnung  bestimmt. Innerhalb des Unternehmens spielen Arbeitsanweisungen, Bestätigungen, Produktdokumentationen und Lieferpapiere eine große Rolle. Natürlich gibt es weitaus mehr Dokumentenarten.

Man denke nur an den Vertragsbestand im Personalwesen und die Kommunikation mit Behörden, Ämtern oder Versicherungen. Fakt ist: Die Menge der Papiere nimmt von Jahr zu Jahr stark zu. Viele Dokumente werden von Maschinen erzeugt und an Maschinen zur Bearbeitung weitergegeben. Dokumentketten bzw. elektronische Akten bilden Geschäftsprozesse vollständig ab –  zum Beispiel die Anstellung eines Mitarbeiters oder die Anmeldung eines Medikaments bei entsprechenden Ämtern.

Dokumentenmanagementsysteme (DMS) unterstützen Unternehmen dabei, die Vielzahl an Dokumenten zu verwalten und compliancegerecht zu archivieren. Aber auch für die Vollständigkeit und Widerspruchsfreiheit gespeicherter Informationen und Dokumente dienen DM-Systeme als wichtiges Hilfsmittel.

Die Herausforderung in diesem und in den kommenden Jahren wird sein, riesige Datenmengen mit einer großen Zahl an Nutzern performant, sicher und datenschutzgerecht vorzuhalten. Mithilfe von intelligenten Analysemethoden lassen sich die Daten und Dokumente, die im Geschäftsleben entstehen, nach vielerlei Gesichtspunkten auswerten – etwa um Rückschlüsse auf die Tendenzen der Marktnachfrage nach bestimmten Produkten zu ziehen. Insbesondere DM-Systeme aus der Cloud werden hierbei eine große Hilfe sein.

xethix: Welche Rolle spielt die Mobilität von Business-Anwendungen im kommenden Jahr?

Matthias Kunisch: Das verteilte Arbeiten losgelöst von räumlichen und zeitlichen Grenzen kommt ohne Mobilität nicht aus. Denn gerade der Faktor Zeit bestimmt das Geschäftsleben in einem bisher nicht gekannten Maße. Getrieben durch die Technologieentwicklung und die Erwartungshaltung der Menschen, dass Ihre Wünsche sofort erfüllt werden, müssen Geschäftsprozesse schnellstmöglich abgewickelt werden können.

Man denke nur an die Bestellung bei einem Online-Händler, dessen Lieferung wir spätestens am nächsten Tag erwarten, oder an die Reisebuchung, die just in time und verbindlich möglich sein soll. Mobilität hat eine technische und eine organisatorische Komponente. Technisch gesehen sind durch die heute verfügbaren Geräte – vom Laptop bis hin zum Smartphone – und durch das Zusammenspiel mit dem Internet beste Voraussetzungen für mobiles Arbeiten geschaffen. In Zukunft wird es noch schnelleres Internet und sicher noch interessantere Devices geben, die einen weiteren Qualitätssprung ermöglichen.

Organisatorisch sind jedoch noch Hürden zu überwinden. So müssen arbeitsrechtliche Aspekte in Bezug auf die freie Arbeitsgestaltung und -organisation beachtet und umgesetzt werden. Trotz aller Euphorie darf man zudem nicht vergessen, dass die Zusammenarbeit von Menschen über das Internet nicht immer erfolgreich sein wird. Die Kommunikation untereinander hat mehr Facetten als nur eine ausgetauschte E-Mail oder ein Webinar. Menschen kommunizieren am besten, wenn sie sich gegenüber sitzen. Das heißt, die Business-Prozesse, die sich mobil erledigen lassen, werden auch mobil ablaufen. Andere Prozesse wie etwa die Produktentwicklung werden hingegen unter physischer, gegenseitiger Anwesenheit erfolgen.

Hintergrund: Der studierte Diplom-Mathematiker Matthias Kunisch ist Geschäftsführer der forcont business technology GmbH , ein auf Enterprise Content Management (ECM) spezialisiertes Softwarehaus, und seit 1976 in der IT-Branche tätig.  Matthias Kunisch ist zudem Mitglied des Vorstandes des Cloud-EcoSystem e.V. forcont bietet standardisierte Anwendungsprodukte und individuelle Projektlösungen zur Steuerung dokumentenlastiger Geschäftsprozesse – alternativ auch als Software-as-a-Service (SaaS) aus der Cloud. Zudem leistet das Unternehmen den kompletten Service im ECM-Umfeld von SAP.

 

Analyse der Antrittsreden: Trump will Erfolg – Obama sprach von Hoffnung – Busch glaubte an Mut

Inauguration 2017Wie wird die Sprache der Antrittsrede von Präsident Trump bewertet? Was sind die primären Unterschiede im Vergleich zu denen der Präsidenten Georg W. Bush und Barack Obama? Um diese Fragen zu beantworten, hat Expert System (EXSY.MI), Anbieter multilingualer Technologien für Cognitive Computing zur Analyse unstrukturierter Informationen, seine kognitive Cogito-Technologie genutzt. Cogito begreift kontextbasiert die Bedeutung von Wörtern und ihren Zusammenhang zu Emotionen.

Es verarbeitet unstrukturierte Inhalte mit der Geschwindigkeit modernster Technologie. Ergebnisse der Analyse zeigen die syntaktische Struktur der Rede auf, sowie den verwendeten Sprachstil, die Leserlichkeit und das Vokabular. Gleichzeitig wurden mitschwingende Emotionen, die in der Rede übertragen wurden, offengelegt.

Satzbau und Vokabular

Schon allein beim parataktischen Satzbau unterschied sich Trumps Rede von denen seiner Vorgänger, wobei die Präferenz zu kürzeren Wörtern allen drei Präsidenten zu eigen ist. Ein weiteres auffallendes Merkmal in der Rede des derzeit mächtigsten Mannes der Welt ist seine Verwendung von Adjektiven.

Jedoch sind auch teilweise Ähnlichkeiten in den drei Ansprachen zu finden. So sind die Reden von Trump und Bush leichter verständlich als die von Ex-Präsident Obama. Die Lesbarkeit der Reden wird in verschiedene Schwierigkeitsgrade unterteilt. Dieser wird nach dem durchschnittlich aktiven Wortschatz der unterschiedlichen Bildungsabschlüsse bemessen. Trumps und Bushs Reden weisen einen mittleren Schwierigkeitsgrad auf und richteten sich demnach überwiegend an High-School Absolventen.

Demnach richtete sich Obamas Rede an Akademiker und wurde zu einem höheren Schwierigkeitsgrad eingestuft. Allerdings bedienten sich alle Drei eines ähnlichen Vokabulars und einer häufigen Verwendung von Substantiven.

„America“ und „American“ im Mittelpunkt

Die Analyse von Expert System legte die Hauptbegriffe offen, die in Trumps Amtsantrittsrede vorlagen. Trump nahm häufig Bezug auf „America“ und „American“ (auch im Slogan, der mehrmals am Ende der Rede wiederholt wurde), während Bush die Wörter „Nation“ und „Story“ hervorgehoben hatte und Obama Wert auf die Wörter „Work“ und „Generation“ gelegt hatte.

Trump verwendete, wie seine beiden Vorgänger, immer wieder das Possessivpronomen „unser“ und das Substantiv „Nation“, was ein starkes Einheitsgefühl vermittelt. Wie bei der Amtsantrittsrede von Obama, waren seine Worte vor allem an die Menschen (People) gerichtet, während Bush direkt die Bürger (Citizens) ansprach.

Das Thema Umweltschutz, das eine starke Rolle in Präsident Obamas Rede (Ecology, Planet Earth) hat, wird von Trump nie erwähnt. Stattdessen thematisierte er öfter Sicherheit (Protect) und das Streben nach Glück (Dreams), während Busch sich mehr auf das Thema der Gerechtigkeit (Justice, Law) konzentrierte.

Von den drei Präsidenten ist Bush der einzige, der Demokratie (Democracy, Democratic) zum Thema hatte. Obamas Ansprache verweist auf Missstände wie „Crisis“, „Fear“ und „Threat“, wohingegen Trump weniger häufig das Wort „Danger“ fallen ließ. Er konzentrierte sich vor allem auf die eher positiven Themen im Zusammenhang mit dem Schutz des Landes.

Trump will Erfolg – Obama sprach von Hoffnung – Busch glaubte an Mut

Die Algorithmen der künstlichen Intelligenz von Expert System ermöglichen es, die Emotionen, die im Text vermittelt werden sollten, zu identifizieren. Trumps Rede enthält eine Mischung aus Worten, die positiven Emotionen hervorrufen, darunter Erfolg (Success) und Engagement (Commitment). Allerdings bezog der jetzige Präsiden sich auch auf negative Emotionen wie Angst (Fear), vermutlich um sein Thema Schutz (Protection) hervorzuheben.

Verglichen damit ist in Bushs Rede der Fokus auf Mut (Courage), Hoffnung (Hope) und Mitgefühl (Compassion) gesetzt. Ebenso in Obamas Rede, die Hoffnung (Hope) als zentrales Element hatte. Weiterhin sprach der 44. Präsident unterschiedliche Emotionen mit kontrastreichen Worten wie Aktion (Action), Angst (Fear), Verachtung (Contempt), Mut (Courage), Erfolg (Success), Anstrengung (Effort), Sorge (Anxiety) und Vertrauen (Trust) an.

Die vollständige Expert System-Analyse finden Sie hier.