Schlagwort-Archiv: Datenschutz

Tagsüber Spionage, abends Banküberfall

Die Welt der Hacker ist unübersichtlich. Es gibt White-Hat-Hacker, die nach ethischen Maßstäben agieren und nur mit Erlaubnis hacken. Die Black Hats stehen dagegen auf der anderen Seite und hacken für ihren finanziellen oder anderweitig persönlichen Vorteil. Grey Hats verorten sich dazwischen und sind moralisch flexibel. Die meisten Hacktivisten, die für politische Ziele kämpfen, fallen wohl in diese Kategorie. Ein Beitrag in der „Süddeutschen“. … mehr

 

Hacker auf Walfang: Führungskräfte im Visier

WalfischBei Whaling-Attacken wählen Cyberkriminelle ihre Opfer sorgfältig aufgrund deren Autorität und Befugnisse innerhalb eines Unternehmens aus. Im Visier stehen speziell hochrangige Führungskräfte wie der CEO, CFO oder andere leitende Angestellte, die vollständigen Zugriff auf sensible Daten haben.

Ziel ist es, Führungskräfte dazu zu bringen, Unternehmensinformationen preiszugeben, die für Kriminelle besonders lukrativ sind: Hierzu zählen wertvolles geistiges Eigentum, hochvertrauliche Daten zu Geschäftsprozessen, Finanzdaten, Schlüsselkunden und -kontakte oder E-Mails mit kompromittierenden Inhalten – also alles, was sich gut an die Konkurrenz verkaufen lässt oder sich für Erpressungsversuche eignet.

Whaling: Die Vorgehensweise der Angreifer

Beim klassischen Phishing versenden Cyberkriminelle massenhaft betrügerische E-Mails an beliebige Opfer, in der Hoffnung, dass ein kleiner Prozentsatz erfolgreich sein wird. Als eine Form des Spear-Phishings sind Whaling-Angriffe wesentlich schwieriger zu erkennen, da sie nur an sehr ausgewählte, hochrangige Ziele innerhalb eines Unternehmens gesendet und sehr stark personalisiert werden.

Aufgrund der hohen Renditen, die Cyberkriminelle mit Whaling erzielen können, investieren sie wesentlich mehr Zeit und Mühe in die Vorabrecherche, um Informationen über ihre Zielpersonen zu sammeln und die anschließende Kommunikation so legitim wie möglich erscheinen zu lassen. Unternehmensinformationen, Jobdetails, Namen von wichtigen Mitarbeitern und Geschäftspartnern sowie persönliche Vorlieben und Hobbys der Zielpersonen werden häufig aus sozialen Netzwerken wie LinkedIn, Xing, Twitter und Facebook abgegriffen.

Anschließend nutzen Angreifer beispielsweise gefälschte E-Mail-Adressen realer Unternehmen, Geschäftspartner, Banken oder Regierungsbehörden, inklusive Abbinder mit Firmenlogo und Kontaktdetails, um Angriffe so aussehen zu lassen, als würden sie von einem vertrauenswürdigen Absender stammen.

Dadurch versuchen sie, ihre Opfer dazu zu bringen, sensible Daten preiszugeben oder eine gefälschte Website zu besuchen. Diese ähnelt der eines legitimen Unternehmens und fragt nach vertraulichen Informationen, etwa Zahlungs- oder Account-Daten. Viele Whaling-Angriffe kommen auch ohne schädliche Links oder Anhänge aus und verlassen sich ganz auf Social Engineering. Dadurch entgehen sie häufig der Entdeckung durch traditionelle Sicherheitslösungen.

 Maßnahmen zur Abwehr von Whaling-Angriffen

Es gibt eine Reihe von Maßnahmen, die Unternehmen ergreifen können, um die Wahrscheinlichkeit zu verringern, dass Whaling-Angriffe für Kriminelle zum Erfolg führen. Hierzu zählen:

  • Schulung und Sicherheitstrainings für Führungskräfte: Bei allen Social Engineering-Angriffen ist und bleibt eine der wichtigsten Verteidigungslinien der Mensch. Deshalb sollten Führungskräfte, Finanzteams und anderes Personal mit Zugriff auf besonders sensible Daten umfassend geschult werden. Unternehmen sollten diese Mitarbeiter über die möglichen Folgen eines Angriffs aufklären sowie über Erkennungsmerkmale wie gefälschte Absendernamen, angeblich dringende Anfragen, bösartige Anhänge und gefälschte Hyperlinks. Zudem ist es empfehlenswert, in regelmäßigen Abständen Sicherheitstrainings mit simulierten Whaling-Angriffen durchzuführen, um Mitarbeiter immer wieder aufs Neue für diese Art Angriffe zu sensibilisieren.
  • Informationssparsamkeit in Social Media-Profilen: Führungskräfte sollten so wenig persönliche Informationen wie möglich in öffentlichen Profilen von Berufs- und sozialen Netzwerken preisgeben. Geburtstage, Freunde, Adressen sowie persönliche Interessen und Hobbys können alle für einen Angriff genutzt werden.
  • Markierung externer E-Mails: Viele Whaling-E-Mails sollen so aussehen, als kämen sie von einem hochrangigen Mitarbeiter innerhalb des Unternehmens. Eine gute Möglichkeit, diese Art Angriffe zu erkennen, besteht darin, E-Mails, die von außerhalb des Unternehmensnetzwerks gesendet werden, automatisch markieren zu lassen.
  • Etablierung eines Verifizierungsprozesses: Erhält ein Mitarbeiter per E-Mail die Anforderung von sensiblen Informationen oder die Bitte um eine Überweisung, und wird dieser Vorgang normalerweise nicht per E-Mail übermittelt, ist der sicherste Weg, die Anfrage mit dem angegebenen Absender über einen anderen Kanal zu überprüfen, beispielsweise telefonisch. Die Etablierung von klaren Richtlinien und Verifizierungsverfahren, wie Mitarbeiter mit diesen Anfragen umgehen sollen, ist eine wirksame Maßnahme, um Whaling-Attacken abzuwehren.
  • Datensicherheit implementieren: Datenzentrierte Sicherheitslösungen wie Data Loss Prevention bieten eine kritische letzte Verteidigungslinie gegen Whaling und andere Formen von Social Engineering-Angriffen. Selbst wenn ein Mitarbeiter dazu verleitet wird, sensible Daten an einen Angreifer zu senden, blockieren diese Technologien eine Daten-Exfiltration.

Es ist kaum zu verhindern, dass Führungskräfte durch Angreifer ins Visier genommen werden. Doch mit einem mehrschichtigen Ansatz aus Schulungen, Sicherheitstrainings, Verhaltensrichtlinien sowie Technologien können die Risiken einer Whaling-Attacke deutlich reduziert werden.

Autor: Christoph M. Kumpa ist  Director DACH & EE bei Digital Guardian. das Unternehmen bietet branchenweit eine bedrohungserkennende Datensicherungsplattform, die speziell entwickelt wurde, um Datendiebstahl sowohl durch interne als auch durch externe Angriffe zu verhindern. Die Digital Guardian-Plattform kann für das gesamte Unternehmensnetzwerk, traditionelle und mobile Endgeräte sowie Cloudanwendungen eingesetzt werden.  

Facebook, Google und der Datenschutz: So verwanzt ist das Netz

Das „Modern Fit Freizeithemd mit Allover Muster“ ist auf 9,99 Euro heruntergesetzt, die „Slim Fit Chinoshorts mit Stretch-Anteil“ auf 49,99. Das können Besucher des Online-Mode-Händlers „Fashion ID“ anderen mit zwei Klicks mitteilen. Neben jedem Produkt auf der Webseite ist ein kleines „f“ verbaut. Wer daraufklickt, verbreitet Foto und Link des Artikels auf Facebook weiter. Dieser „Share“-Button ist eine entschärfte Variante des „Like“-Buttons, der anderen auf Facebook anzeigt, dass einem eine Webseite, ein Video oder ein Produkt gefällt. Ein Bericht in der Süddeutschen“. … mehr

 

„Like Button“: EuGH nimmt Websites in die Pflicht

Webseiten mit einem integrierten „Like Button“ von Facebook, der die IP-Adresse von Usern überträgt, benötigen vorab eine Einwilligung des Nutzers. Zu diesem Urteil kommt der Europäische Gerichtshof (EuGH)  . Die Richter nehmen mit ihrer heute, Montag, getroffenen Entscheidung folglich die Betreiber von Webseiten mit in die Pflicht, wobei es hierbei jedoch lediglich um die Erhebung sowie Übertragung der Daten geht. Denn die folgende Verarbeitung dieser Infos fällt alleinig in den Verantwortungsbereich von Facebook. Auch andere ähnlich funktionierende Plug-ins sind von der EuGH-Entscheidung betroffen. Ein Bericht in „Pressetext“. … mehr …

 

Cybermobbing: Vor allem Mädchen im Fokus

Mädchen in den USA sind dreimal stärker gefährdet, Opfer von Cybermobbing zu werden als gleichaltrige Jungen. Dies hat eine Umfrage des National Center for Education Statistics für den Zeitraum 2016/17 ergeben. Während sich bei 12- bis 18-jährigen Mittel- und High-School-Mädchen 21 Prozent entsprechenden Cyber-Attacken ausgesetzt sahen, waren es unter den Jungen lediglich sieben Prozent. Bei der vorhergehenden Umfrage (2014/15) waren es 16 Prozent im Vergleich zu sechs Prozent. Ein Bericht in „Pressetext“. … mehr

 

Neue Studie: Warum „anonyme“ Daten eine Illusion sind

Vor zwei Jahren zog der belgische Informatik-Dozent Yves-Alexandre de Montjoye von Boston nach London, suchte einen neuen Arzt und bekam dort in der Praxis ein Formular in die Hand gedrückt. Er sollte einwilligen, dass seine Gesundheitsdaten an Forschungseinrichtungen und Unternehmen weitergegeben werden dürfen; selbstverständlich anonymisiert. An einen Satz erinnert sich de Montjoye noch heute: Manche glaubten, stand dort, dass einzelne Patienten mit diesen Daten identifiziert werden könnten. Ein Bericht in der Süddeutschen“. … mehr …

 

Sabotage von smarten Geräten: Studie zeigt, wie Kriminelle Überwachungskameras manipulieren können

Forescout Technologies, Spezialist für Gerätesichtbarkeit und -kontrolle, veröffentlichte jüngst seine Untersuchung “Rise of the Machines: Transforming Cybersecurity Strategy for the Age of IoT“. Dabei zeigt das Team, wie Überwachungskameras, smarte Lichter und andere IoT-Geräte in intelligenten Gebäuden von Cyberkriminellen angegriffen werden könnten und wie man diese Attacken verhindern kann.

„Die heutige vernetzte Welt besteht aus Milliarden von Geräten, die eine Vielzahl von Betriebssystemen und Netzwerkprotokollen verwenden, um Daten über Branchen und Grenzen hinweg auszutauschen“, sagt Elisa Costante, Senior Director der Forescout Research Labs. „Wir haben Forescout Research Labs gegründet, um die Sicherheitsimplikationen dieser hyper-vernetzten Welt zu erforschen und die damit verbundenen Bedrohungen und Risiken zu untersuchen, die von diesen Geräten ausgehen.“

Die Forschung hebt folgende Ergebnisse hervor

  • Viele IoT-Geräte, einschließlich Überwachungskameras, sind standardmäßig so eingerichtet, dass sie über unverschlüsselte Protokolle kommunizieren, was das Abgreifen und Manipulieren vertraulicher Informationen ermöglicht.
  • Eine Suche über Shodan ergab fast 4,7 Millionen Geräte, die durch die Verwendung dieser unverschlüsselten Protokolle potenziell beeinträchtigt werden könnten.

Laden Sie den vollständigen Bericht herunter, um mehr darüber zu erfahren, wie IoT-Geräte als Einstiegspunkt in das Netzwerk eines Gebäudes genutzt werden können.

Das Privatsphäre-Paradox

3-affenObwohl sich deutsche Nutzer zunehmend um ihre Privatsphäre im Internet sorgen, bleiben sie oft tatenlos. Ein Grund dafür könnte ausgerechnet die DSGVO sein. Zu diesen Ergebnissen kommt eine aktuelle Studie von Brabbler.

Das sogenannte Privatsphäre-Paradox beschreibt das Phänomen, dass sich viele Menschen große Sorgen um ihre Privatsphäre im Internet machen, bei der Nutzung von digitalen Diensten aber völlig sorglos handeln. Eine aktuelle Umfrage von Brabbler mit 729 deutschen Teilnehmern zeigt, dass sich dieser Widerspruch in Teilbereichen sogar weiter verschärft.

66 Prozent der Umfrageteilnehmer gaben an, ein schlechtes Gefühl zu haben, wenn sie über den Schutz ihrer persönlichen Daten im Internet nachdenken. Dieselbe Umfrage wurde von Brabbler bereits vor rund einem Jahr durchgeführt, und zum damaligen Zeitpunkt äußerten mit 62 Prozent noch vier Prozentpunkte weniger diese Bedenken. Ebenfalls gestiegen ist die Zahl der Umfrageteilnehmer, die der Meinung sind, sie müssten noch mehr unternehmen, um ihre Daten zu schützen. Waren 2018 noch 67 Prozent dieser Ansicht, sind es jetzt 69 Prozent.

Der Will ist da, die Handlung nicht

In ihren Handlungen sind die Befragten allerdings teilweise deutlich halbherziger als noch vor einem Jahr. Zwar gaben 70 Prozent von ihnen an (2018: 67 Prozent), aktiv etwas für den Schutz ihrer privaten Daten zu tun, indem sie beispielsweise den Zugriff von Apps einschränken; regelrecht eingebrochen ist aber der Umgang mit Datenschutzhinweisen. Nur noch 49 Prozent der Umfrageteilnehmer sagten, dass sie Datenschutzhinweise prüfen. Im vergangenen Jahr waren es noch 65 Prozent.

Ein möglicher Grund für diese Nachlässigkeit könnte ausgerechnet die DSGVO sein. Bei der Umfrage im vergangenen Jahr, die kurz vor Inkrafttreten der EU-Datenschutz-Grundverordnung durchgeführt wurde, waren 34 Prozent der Meinung, dass der Gesetzgeber genug unternimmt, um ihre persönlichen Daten zu schützen. Jetzt, rund ein Jahr später, sind 38 Prozent dieser Meinung. In so manchem Fall dürfte also die DSGVO ein willkommenes Alibi für das eigene halbherzige Handeln der Nutzer liefern.

Facebook trotz großer Bedenken unangefochtener Platzhirsch

Besonders deutlich zeigt sich die Inkonsequenz auch bei der Nutzung von Diensten des Facebook-Konzerns. Allen Datenskandalen zum Trotz hat Facebook nach wie vor die unumstrittene Vorherrschaft bei den Befragten inne. Der Konzern stellt die vier der fünf meistgenutzten Dienste und 89 Prozent der Umfrageteilnehmer nutzen mindestens einen Facebook-Dienst.

Obwohl der Unmut der Nutzer über Facebooks Umgang mit ihren persönlichen Daten immens ist, schlägt sich das nur äußerst selten in konkretem Handeln nieder. So stimmte mit 82 Prozent der Befragen, die einen Facebook-Dienst nutzen, die große Mehrheit der Aussage zu, dass der Konzern zu sorglos mit den Daten seiner Nutzer umgeht – wobei nur 40 Prozent von ihnen angaben, ihre Nutzung geändert zu haben. Immerhin plant aber beinahe jeder Vierte (23 Prozent) sich von einem Facebook-Dienst abzumelden.

„Sich nur zu beklagen, bringt wenig und darauf zu hoffen, dass es die DSGVO schon richten wird, ist naiv. Die US-amerikanischen Internet-Giganten werden in ihrer Datensammelwut immer einen Weg finden, das europäische Recht auszuhebeln. Zudem unterliegen sie Gesetzen ihres Heimatlandes wie dem Cloud Act, die im offenen Widerspruch zur DSGVO stehen“, sagt Eric Dolatre, CEO bei Brabbler. „Die Nutzer müssen den Schutz ihrer Privatsphäre schon selbst in die Hand nehmen. Ein erster wichtiger Schritt dabei ist, europäische Alternativen zu den US-amerikanischen Diensten zu nutzen und das auch seiner Familie und seinen Bekannten zu empfehlen. Die deutsche Lösung ginlo beispielsweise ist kinderleicht zu bedienen und verschlüsselt alle Inhalte nicht nur Ende-zu-Ende, sondern auch auf den Endgeräten. ginlo für Privatnutzer wird über die Einnahmen der ginlo Business App, dem sicheren Messenger für Unternehmen, finanziert. Somit ist der Nutzer frei von Tracking, Profiling und Werbung und kann ohne jegliche Nebenwirkungen kommunizieren.“

Über die Studie

Die Studie von Brabbler widmet sich sowohl im beruflichen als auch im privaten Kontext dem Einsatz von Kommunikationsdiensten und den Meinungen zum Datenschutz in Deutschland. Für die Studie wurde im Zeitraum vom 30. April bis 13. Mai 2019 mithilfe des Marktforschungsunternehmens Toluna Deutschland und dessen Umfrageplattform QuickSurveys eine Online-Umfrage durchgeführt. Beteiligt haben sich 729 deutsche Berufstätige im Alter zwischen 20 und 60 Jahren.

 

Google ermöglicht Löschung von Standortdaten

Der Internetriese Google erlaubt ab jetzt die automatische Löschung von Standortdaten. User können einen Zeitraum wählen, der festlegt, wie lange Daten gespeichert werden. Zur Auswahl stehen entweder drei oder 18 Monate, alle älteren Informationen werden gelöscht. Vor kurzem hat dieses Feature sich nur auf App und Web-Aktivitäten bezogen, doch Google hat kürzlich eine Ausdehnung auf Ortungsdaten angekündigt, berichtet „Pressetext“….mehr

l

 

Google: „Project Strobe“ verschärft Datenschutz

Internetriese Google kündigt neue Richtlinien an, die den Zugriff auf Benutzerdaten für Ad-ons von Drittanbietern in Chrome und Drive einschränken. Die Neuerungen sind im Rahmen des „Project Strobe“ beschlossen worden. Ab sofort sind die Entwickler der Chrome-Erweiterungen dazu verpflichtet, ein Minimum an sensiblen Informationen anzufordern, die dazu ausreichen, dass ihre Anwendungen funktionieren, berichtet „Pressetext“. … mehr …

 

Vertrauter Feind: Wie Unternehmen mit Insiderbedrohungen umgehen

Bildquelle: Fotolia_146248266_M

Bildquelle: Fotolia_146248266_M

IT-Sicherheitsbedrohungen durch Insider rücken immer mehr in das Bewusstsein von Unternehmen. Wie sie das Risiko wahrnehmen, inwieweit sie schon von Insiderattacken betroffen waren und welche Sicherheitsmaßnahmen sie anwenden, erklärten 437 IT-Verantwortliche in einer Umfrage von Bitglass und der Information Security Community.

Die Sicherheit von Daten nimmt im Zeitalter der Digitalisierung einen immer höheren Stellenwert ein. Durch die starke Vernetzung im Rahmen von Cloudanwendungen und dem Zugriff von einer Vielzahl an Mobilgeräten stellen mittlerweile nicht nur externe Hacker ein Risiko für die Datensicherheit dar.

Auch Insider, also Unternehmensangehörige mit weit reichenden Nutzerrechten, gelten im Zuge dessen mittlerweile als ein Faktor, der in der IT-Sicherheitsstrategie berücksichtigt werden muss. Ob lediglich aus Unachtsamkeit oder tatsächlich aus böswilliger Absicht: Hat eine Insiderhandlung einen Datenverlust zur Folge, handelt es sich nach gesetzlichen Datenschutzvorgaben um einen massiven Sicherheitsverstoß. Dementsprechend sollte das Risiko, das von Insidern ausgeht, nicht unterschätzt werden.

Eine deutliche Mehrheit von 73 Prozent der IT-Security-Verantwortlichen ist gegenwärtig der Ansicht, dass Insiderangriffe im vergangenen Jahr deutlich zugenommen haben. Diese Einschätzung fußt auf stabilen Tatsachen: 59 Prozent gaben an, im vergangenen Jahr mindestens einen Insiderangriff erlebt zu haben. Im Jahr 2017, bei der letzten Befragung, waren lediglich 33 Prozent von einem derartigen Angriff betroffen.

Cloudservices und Mobilgeräte erschweren die Sicherung

Schwierigkeiten, Insiderattacken ausfindig zu machen, sehen 56 Prozent der Befragten durch die Verlagerung auf Cloudservices. Auf die Frage, welche Faktoren dies besonders erschweren, nannten die Teilnehmer folgende am häufigsten:

  • Insider verfügen über gültige Anmeldedaten und legitime Zugriffsrechte
  • Verstärkte Nutzung von verschiedenen Apps
  • Mangelnde Kontrolle über Daten außerhalb des eigenen Netzwerks

Zu entsprechend verstärkten Sicherheitsmaßnahmen in der Nutzung von Cloudanwendungen hat dies jedoch nur bei einem kleinen Anteil der Befragten geführt: Nur 40 Prozent erklärten, anormales Nutzerverhalten in SaaS-, IaaS- und PaaS-Diensten überhaupt zu überwachen. Weitere 19 Prozent sind sich nicht sicher, ob ihnen dies auch in ausreichendem Maße gelingt.

Ein ähnliches Bild ergibt sich für die Sicherung des Zugriffs auf Unternehmensanwendungen über private Mobilgeräte: 27 Prozent der Teilnehmer gehen lediglich davon aus, manche Insiderbedrohungen auch beim Zugriff über private Geräte erkennen zu können. Nur 12 Prozent der Befragten sind sich sicher, typische Verhaltensanomalien von Insidern unter allen gegebenen Umständen erkennen zu können.

32 Prozent hingegen gelingt dies ausschließlich durch die Installation agentenbasierter Lösungen, beispielsweise im Rahmen von BYOD-Richtlinien, weiteren sieben Prozent wiederum nur, sofern der Mobilzugriff on-premises erfolgt. Lediglich vier Prozent sehen von privaten Geräten ein derart hohes Risiko, dass sie den Zugriff darüber vollständig unterbinden.

Entdeckung von Insiderattacken: Wenige Minuten versus mehrere Monate

Auch bei Insiderangriffen ist Zeit entscheidend: Je länger es dauert, einen Insiderangriff zu entdecken und einzudämmen, umso höher ist das Risiko für einen Datenverlust. Entsprechend individuell verschiedener Erfahrungswerte und Sicherheitsniveaus, variiert die Einschätzung der Befragten darüber, wie lange es dauern würde, einen Insiderangriff zu entdecken, äußerst breit: 22 Prozent sehen sich in der Lage, einen derartigen Angriff binnen weniger Stunden ausfindig machen zu können, 19 Prozent im Lauf eines Tages und 15 Prozent sogar innerhalb von Minuten. 17 Prozent sehen eine Woche als realistischen Zeitrahmen an und weitere 13 Prozent gehen von etwa einer Woche aus. Die verbliebenen 14 Prozent nehmen an – wenn überhaupt – für das Entdecken eines Insiderangriffs mindestens drei Monate zu benötigen.

Sicherheitsmaßnahmen: Konventionell weitgehend ausgeschöpft, technologisch verbesserungswürdig

Die von den Unternehmen geschätzte Reaktionszeit spiegelt auch die Ausgereiftheit ihrer Sicherheitsmaßnahmen wider. Wie die Ergebnisse der Umfrage nahelegen, nutzt die Mehrheit der Befragten dieselben Maßnahmen – zumindest diejenigen konventioneller Art. Die Hälfte der Teilnehmer sorgt nach eigenen Angaben für eine Sensibilisierung der Mitarbeiter. Regelmäßige Schulungen sorgen dafür, dass Unternehmensangehörige ein Bewusstsein für die Bedeutung von Datensicherheit und potentielle Risiken entwickeln.

Auf diese Weise kann vor allem Datenverlusten, die durch Unachtsamkeit oder unsachgemäße Nutzung von Anwendungen entstehen, vorgebeugt werden. Weiterhin setzen etwa 40 Prozent in der Gestaltung ihrer Strukturen und Prozesse die Ratschläge der zuständigen Behörden zur Informationssicherheit um. 35 Prozent unterziehen ihre Mitarbeiter sogar einem Backgroundcheck, um das Gefahrenpotential durch Insider gering zu halten.

Auf Seite der technologischen Maßnahmen hingegen zeigen sich deutlich weniger Gemeinsamkeiten zwischen den einzelnen Unternehmen. Einfache Sicherheitsmaßnahmen, die insbesondere in Cloud-Umgebungen für besseren Schutz sorgen, wie eine Überwachung der Benutzeraktivitäten und eine Zwei-Faktor-Authentifizierung, werden lediglich von 31 beziehungsweise 33 Prozent der befragten Unternehmen eingesetzt.

Welche Technologien hingegen sie als hilfreich erachten, darüber herrscht unter der Hälfte der Befragten wiederum nahezu Einigkeit: Funktionen wie Data Loss Prevention (52 Prozent), Datenverschlüsselung (50 Prozent), Identity und Access Management (50 Prozent) und User Behaviour Anomaly Detection (48 Prozent) wurden als die bedeutendsten im Kampf gegen Insiderbedrohungen genannt.

Insider: Ein vertrauter Feind?

Zusammenfassend lässt sich festhalten, dass Unternehmen sich auf der einen Seite der Gefahr für die Datensicherheit, die von Insidern ausgeht, durchaus bewusst sind. Andererseits spiegelt sich dieses Bewusstsein derzeit nur bei wenigen in geeigneten Sicherheitsmaßnahmen wider.

Dies deutet darauf hin, dass Unternehmen Schwierigkeiten damit haben, das „Feindbild“ Insider genau zu definieren und entsprechend in ihre IT-Sicherheitsstrategie einzubauen. Maßnahmen, die ein notwendiges Maß an Misstrauen gegenüber Unternehmensmitarbeitern erkennen ließen, waren bislang hauptsächlich in regulierten Branchen vorherrschend.

Mit dem florierenden Markt für Daten im digitalen Zeitalter hat dies nun auch die breite Masse an Unternehmen erreicht, bei denen es in der IT-Security lange Zeit vornehmlich darum ging, Bedrohungen von außen abzuwehren. Insider hingegen stellen eine äußerst diffuse Bedrohung dar, da Datendiebstähle nicht zwangsläufig durch böse Absichten motiviert sein müssen. Auch Unachtsamkeiten, die einen Datenverlust zur Folge haben, können in den immer weiter vernetzten IT-Architekturen gravierende Konsequenzen nach sich ziehen.

Zudem können Nutzeraccounts oder Mobilgeräte von Unternehmensangehörigen ohne deren Kenntnis von Dritten für böswillige Zwecke missbraucht werden. Damit ergibt sich ein überaus diffuses Bedrohungsbild, das zunächst die Ermittlung potentieller Angriffsszenarien erfordert, um geeignete Sicherheitsmaßnahmen zu ableiten zu können.

Wie sich zeigt, stellen die Veränderungen in der IT-Umgebung – insbesondere durch die Cloud- und Mobilgerätenutzung – Unternehmen vor neue Herausforderungen. Die Tatsache, dass es offenbar noch nicht gelingt, lückenlosen Schutz für Daten über sämtliche Ebenen hinweg zu gewährleisten, mag auch darin begründet sein, dass IT-Security-Strategien nicht ausgehend von der Datensicherheit geplant werden. In diesem Sinne lassen die Ergebnisse der Studie auch folgende Schlussfolgerung zu: Ein Großteil der Unternehmen hat den erforderlichen Wandel hin zu einer datenzentrierten IT-Sicherheitsstrategie noch nicht vollständig vollzogen.

Autor: Von Michael Scheffler, Regional Director CEEU, Bitglass

Mehr Infos: Der „Insider Threat Report 2019″ von Bitglass mit allen Ergebnissen der Umfrage kann unter folgendem Link heruntergeladen werden.

Ist die Nutzung von öffentlichem WIFI eine gute Idee? Kommt drauf an….

…sagt Chester Wisniewski, Security-Experte bei Sophos. Verschlüsselung hat das WWW zwar sicherer gemacht, aber nicht gänzlich risikolos.

Lange galt die Warnung, keine öffentlichen WiFi-Netzwerke zu nutzen; das Risiko gehackt zu werden war zu groß. Parallel dazu wurde WiFi immer flächendeckender und beliebter, in Regierungsgebäuden, Coffee-Shops, öffentlichen Verkehrsmitteln. Nahezu überall findet man Hot-Spots auf Kosten des Hauses. Gefahrlos nutzbar? „Die Mehrheit sensibler Daten wird nun via verschlüsselte Kanäle versendet“, räumt Chester Wisniewski von Sophos, ein. „Die Risiken öffentlicher WiFis sind verblasst, seitdem Erwachsene in ihr Online-Leben starteten.“

Phishing weitaus risikoreicher als WiFi

Mit der Entwicklung der Umgebung verändern sich auch die Sicherheitsbedenken. In der digitalen Welt haben Cyberkriminelle heutzutage mit Phishing-Emails und Ransomware-Angriffe weitaus lukrativere Möglichkeiten, Geld zu machen, als bei Starbucks herumzulungern, um Laptops zu hacken.

Wer öffentliches WiFi nutzen möchte, sollte sich demnach folgende Fragen stellen:

Bietet Verschlüsselung einen guten Schutz?

Verschlüsselte Webseiten, erkennbar am https und Vorhängeschloss-Logo, sind ein wesentlicher Sicherheitsfaktor beim Surfen in öffentlichen WiFis. Natürlich gib es auch hier keine 100-prozentige Sicherheit. Zudem lässt sich das Logo auf mobilen Geräten kaum erkennen, besonders beim Gebrauch von Anwendungen, die ja in der Regel keine Webseiten anzeigen. „Hier ist es sinnvoll, eher auf die sicherere Datenverbindung des Handys auszuweichen, statt WiFi zu benutzen“, empfiehlt Wisniewski.

Bin ich ein mögliches Ziel?

Sicherheitsgesteuerte Entscheidungen beinhalten oft die beiden Pole von Sicherheit und Bequemlichkeit. Dies gilt natürlich auch für die Nutzung von öffentlichen WiFis. Und jeder muss für sich allein beantworten, ob die Vorteile die Nachteile überwiegen. „Als Regierungsmitarbeiter mit geheimen Informationen auf dem Handy oder als Geschäftsführer eines zukunftsweisenden Unternehmens mit Plänen für den nächsten Verkaufsschlager auf dem Laptop ist die Entscheidung gegen eine öffentliches WiFi offensichtlich“, so Wisniewski.

Aber für ganz normale User, die nur eine begrenzte Menge an Geduld und Mühe für sicheres Surfen aufbringen, rät der Sicherheitsexperte zu besseren Passwörtern und einer 2FA, um ihre Accounts zu schützen. „Was geht verloren, wenn man bei Starbucks Opfer eines Man-in-the-middle-Angriffs würde? Würde ich mich auf meinem Bank-Account bei Starbucks einloggen? Eher nein. Auf Twitter? Schon eher.“ Also: Surfgewohnheiten der Umgebung anpassen.

Wie bleibe ich sicher im öffentlichen WiFi?

Sophos Security-Experte Chester Wisniewski rät jedem Nutzer zu folgenden Sicherheitsmaßnahmen:

  • Starke Passwörter verwenden. „Lange Zeichenketten zufälligen Charakters sind am besten. Und bitte nicht der Versuchung unterliegen, das gleiche gute Passwort mehrfach zu verwenden“, so Wisniewski. Gezielte Zugangsdaten-Angriffe, wo Hacker Bots-Armeen einsetzen, um Listen gestohlener Passwörter abzuarbeiten, nehmen zu.
  • 2FA. Hält Hacker sehr lange ab, selbst wenn das Passwort für den Account geknackt wurde.
  • Vorsicht vor dem eigenen Posting-Verhalten. Accounts in sozialen Medien können eine virtuelle Goldmine für Cyberkriminelle sein, um das Passwort zu knacken. Obacht, welche persönlichen Details man mitteilt.
  • Geräte verschlüsseln, mit denen man in öffentlichen WiFis unterwegs ist.
  • Aufgepasst, Phishing! Fake-Webseiten können teuflisch echt aussehen. Besonders wenn sie via Link angeklickt werden. Sicherer ist es, die URL direkt in den Browser einzutippen.
  • Alte Informationen löschen. Drei Jahre alte Steuerbescheide lagern noch auf dem mobilen Gerät? Riskant bei der öffentlichen Surferei. Lieber in einem Back-up zu Hause ablegen. So kann es keiner beim Hot-Spot im Coffeeshop stehlen.

 

Vorwürfe bestätigt – Facebooks Targeting bei Housing und Job Ads ist diskriminierend

Wir berichteten bereits über die Veränderungen in Facebooks Targeting auf Grund von Diskriminierungsvorwürfen und die darauffolgende Klage. Eine anschließend durchgeführte Studie, die im Preprint Server Arxiv veröffentlicht wurde, aber noch auf Freigabe wartet, bestätigt laut Reuters jetzt die Vorwürfe. Facebooks Algorithmus scheint sich an Stereotypen zu orientieren und Anzeigen basierend darauf zu schalten – selbst wenn Werbetreibende versuchen, ein breiteres Publikum zu erreichen, ist auf „Onlinemarketing.de“ zu lesen. … mehr

 

Cybercriem: Phishing kann auch kleine Unternehmen treffen

Kürzlich wurde bekannt, dass sich diverse Restaurants sogenanntem „Dynamit-Phishing“ ausgesetzt sehen. Betroffene Betriebe erhielten eine E-Mail, laut der die Ehefrau des Absenders nach Besuch des Restaurants an einer Lebensmittelvergiftung erkrankt war. Die Aussage wird mit dem Bild einer Frau mit geschwollenem Gesicht verstärkt.

Angefügt an die Mail ist ein Word-Dokument, bei dem es sich scheinbar um einen ärztlichen Bericht handelt. Will der Empfänger das Dokument lesen, muss er zuvor die Ausführung von Makros erlauben. Tut er dies, geht der Plan des Angreifers auf und eine Schadsoftware wird auf dem Zielrechner installiert.

Ähnlich wie bei der Trojaner-Welle Emotet Ende letzten Jahres, ist das besonders perfide an dieser Phishing-Mail, dass sie, im Gegensatz zu vielen anderen derartigen Nachrichten, in einwandfreiem Deutsch geschrieben ist und darüber hinaus einen glaubhaften Grund liefert, den Anhang zu öffnen.

Die Gefahr für kleine Unternehmen

Die Folgen können besonders für kleinere Betriebe verheerend sein, die sich bis jetzt nicht im Visier von Hackern sahen. Je nachdem, welchem Zweck die Schadsoftware dient, können geschäftskritische Daten verschlüsselt oder ausgelesen werden. Auch die Verwendung kompromittierter Rechner für Bot-Netzwerke im Rahmen von DDoS-Angriffen ist möglich. Wenn im Falle einer Spyware kundenspezifische Informationen an unberechtigte Dritte weitergeleitet werden, kann es zusätzlich zum finanziellen Schaden, der durch den Ausfall und Wiederinstandsetzung der EDV-Systeme entsteht, zu Datenschutzproblemen kommen. Im Rahmen neuerer Verordnungen werden Verstöße gegen den Datenschutz mit hohen Bußgeldern geahndet, die besonders für kleinere Betriebe schnell geschäftsgefährdend sein können.

Eine dedizierte Lösung für E-Mail-Security kann helfen, schädliche Mails herauszufiltern, bevor diese den Empfänger überhaupt erreichen. Hierzu werden Anhänge und Links, die sich im Nachrichtentext befinden, in Echtzeit auf Gefahren hin untersucht und bei Bedarf geblockt. Doch wie können sich auch kleinere Betriebe, die wahrscheinlich kein großes Budget für IT-Security bzw. E-Mail-Security haben, vor solchen Attacken schützen?

Mitarbeiterschulung als beste Gegenwehr

Das beste Mittel, um nicht Opfer eines Phishing-Angriffs zu werden, ist bei Mitarbeitern ein schärferes Bewusstsein für E-Mail-Betrug zu schaffen. Hier sollten Unternehmensleiter Schulungen anbieten, die auf die Gefahren von Phishing hinweisen und Beispiele geben, anhand derer man potenzielle Phishing-Mails erkennen kann. Darüber hinaus sollten Makros in Word-Dokumenten grundsätzlich deaktiviert bleiben und Links zu Websites mit Argwohn betrachtet werden. Attacken wie diese werden in Zukunft häufiger werden. Mit der richtigen Strategie können sich auch kleine und mittlere Unternehmen effektiv vor den finanziellen und reputativen Schäden schützen, die ein solcher Angriff verursacht.

Autor:  Michael Kretschmer, VP EMEA, Clearswift RUAG Cyber Security. Clearswift ist ein weltweit anerkannter Partner zur Vermeidung von Bedrohungen und zum Schutz kritischer Informationen von Organisationen weltweit. 

V für Value: das fünfte ‚V‘ der Datenspeicherung

Volume, Velocity, Variety, Veracity. Im englischen IT-Sprachgebrauch haben sich die vier Vs der Datenspeicherung längst etabliert. Volumen, Geschwindigkeit, Vielfalt und Wahrhaftigkeit gilt es in Einklang zu bringen, um die Daten eines Unternehmens erfolgreich verwalten zu können. Herkömmliche Data-Warehouse-Infrastrukturen sind häufig nicht mehr in der Lage, die enormen Datenmengen, die Vielfalt der Datentypen, die Geschwindigkeit mit der Daten entstehen, ausgewertet und weiterverarbeitet werden sowie die Fehlerfreiheit von Daten zu managen.

In Zeiten, in denen Daten für Unternehmen immer wertvoller werden, hat sich mittlerweile ein fünftes „V“ zum bestehenden Quartett dazugesellt: V für Value beschreibt den Wert der Daten für das Unternehmen.

Selbst nur die vier Vs der Datenspeicher in Unternehmen in Einklang zu bringen war für viele IT-Teams schon immer sehr schwierig, wenn nicht gar unmöglich. Flash ist beispielsweise zwar schnell (Velocity), kann aber kaum bei großem Volumen helfen. Und für verschiedene Datentypen, wie etwa Datei-, Block- oder Objektdaten (Variety) unterschiedliche Speicher anzuschaffen, sprengt schnell jedes Budget. Das fünfte V (Value) stellt die IT jedes Unternehmen nun vor die zusätzliche Herausforderung die Daten nicht nur so effektiv wie möglich speichern zu müssen, sondern auch noch den Wert der Daten für das Unternehmen optimal nutzbar zu machen. Für CDOs ist dies bereits jetzt eine der wichtigsten und zeitaufwändigsten Aufgaben geworden. Die Facette den Wert von Daten für ein Unternehmen zu erhöhen, und damit zu monetarisieren, wird somit immer wichtiger und IT-Abteilungen suchen aktiv nach Methoden, die dabei helfen aus Daten Wert zu schaffen.

Data-Warehouse ist die zentrale Schaltstelle für Informationen im Unternehmen

Unabhängig von den genutzten Speichertechnologien und  -orten ist das Data-Warehouse der zentrale Punkt, an dem alle Unternehmensdaten zusammenkommen. Im Data-Warehouse werden aus einem Berg von Rohdaten im besten Fall wertvolle Informationen, die anschließend vorteilhaft genutzt werden können. Daten helfen wichtige Entscheidungen zu treffen, und entsprechend sind die Erwartungen der Benutzer, was den potentiellen Mehrwert von Daten anbetrifft, in den letzten Jahren enorm gestiegen.

In vielen Unternehmen führt dies bei den Benutzern jedoch zu Enttäuschung, da viele Data-Warehouses die Anforderungen aktuelle, nutzbare Daten zeitnah bereitzustellen oft nicht bieten können. Benutzer wollen Erkenntnisse aus den Daten heute in Echtzeit, was viele Data-Warehouses nicht leisten können. Gleichzeitig wächst die Menge neu generierter Daten stetig: Social-Media-Daten, Sensor-Daten, IoT-Daten, Kundenkommunikation und hochauflösende Videodaten bringen nicht nur die Speichertechnologien an ihre Grenzen, sondern auch das Data-Warehouse und die für die Systeme zuständigen IT-Teams.

Diese Teams waren es bisher gewohnt, das Data-Warehouse in lange andauernden Projektzyklen weiterzuentwickeln. Das Data-Warehouse ist seit jeher ein komplexes System, das man nicht mal so im Vorübergehen umbauen kann. Als ein Kernelement der Digitalen Transformation sind Unternehmen jedoch gezwungen ihre Data-Warehouses schneller zu modernisieren, um moderne Anforderungen zu erfüllen. Aufwändige Projektzyklen widersprechen einer schnellen und kontinuierlichen Transformation.

Automatisierung des Data-Warehouse hilft Time to Value zu verkürzen

In vielen Unternehmen stellt sich an diesem Punkt die Frage, wer denn für die Modernisierung des Data-Warehouse, und damit direkt auch für die Schaffung von Mehrwert aus Daten, zuständig sein soll. In den meisten Unternehmen liegt die Zuständigkeit hierfür in der meist noch frisch geschaffenen Stelle des CDO, also des Chief Digital Officer. Und eine der zentralen Aufgaben eines CDOs, ist es, die Zeitspanne zu verkürzen, bis Daten für Unternehmen einen greifbaren Wert darstellen.

„Time to Value“ heißt die Forderung. Und das zu erreichen, kommt kein CDO um eine Prozessautomatisierung herum. Automatisierung bringt in vielen Bereichen der IT Vorteile. Das gilt natürlich auch im Data-Warehouse, wo entsprechende Softwarelösungen das Fundament automatisierter Prozesse bilden. Die Data-Warehouse-Automation ist jedoch mehr als eine bloße Softwarelösung. Sie ist eine Philosophie, die das Unternehmen in seine Kultur durchaus einbinden muss um sie erfolgreich zu meistern. Mindestens genauso wichtig  sind darüber hinaus ein starke Führung und transparente Prozesse.

Vier praktische Schritte für CDOs das Data-Warehouse erfolgreich zu automatisieren

  1. Wissen, was tatsächlich benötigt wird

Bevor CDOs Entscheidungen über die Zukunft der Data-Warehouse-Infrastruktur treffen, sollten sie sich im Klaren sein, was genau die spezifischen Herausforderungen sind. Insbesondere sollte man im Detail wissen, wozu die Benutzer die Daten benötigen um Entscheidungen zu treffen.

  1. Verstehen, was man bereits hat

Die meisten Unternehmen verfügen bereits über ausgefeilte Datenmanagement-Tools, die als Teil ihrer Infrastruktur eingesetzt werden. Unternehmen, die bereits SQL Server, Oracle oder Teradata einsetzen, verfügen beispielsweise bereits über eine Reihe von Tools für das Datenmanagement und die Datenbewegung, die im Rahmen eines Projekts zur Data-Warehouse-Automation effektiv genutzt werden können. Bei diesem Inventurprozess sollten die CDOs sicherstellen, dass sie aktuellen und zukünftigen Kapazitätsanforderungen ihres Data-Warehouse berücksichtigt haben.

  1. Priorisieren, was zuerst automatisiert werden sollte

Die Automatisierung eines Data Warehouse erfordert Ressourcen – und diese sind aufgrund strenger Budgets und konkurrierender Prioritäten oft knapp. Das bedeutet, dass CDOs genau darüber nachdenken müssen, was zuerst automatisiert werden sollte. Einige gute Beispiele dafür, wo Automatisierung ein kostengünstiger Schritt ist, könnten die manuelle Programmierung von SQL, das Schreiben von Skripten oder die manuelle Verwaltung von Metadaten sein.

  1. Mit Veränderungen rechnen

Die Modernisierung und Automatisierung des Data Warehouse ist leider kein Projekt mit einem definierten Ziel, da sich das Data-Warehouse jedes Mal anpassen muss, wenn sich die Geschäftsanforderungen ändern oder neue Datenquellen entstehen.

Entsprechend müssen CDOs ständig in der Lage sein, verschiedene Teile der Infrastruktur anzupassen. Um Störungen zu minimieren und den Übergang für Geschäftsanwender zu erleichtern, sollten CDOs bei der Modernisierung einen schrittweisen Ansatz mit einem festen Zeitplan wählen, und genau definieren, wann unterschiedliche Stufen der Modernisierung erfüllt werden.

Unternehmen, die den Wert ihrer Daten steigern möchten, sollten auf die Automatisierung ihres Data-Warehouse setzten. Dieser Wandel positioniert die IT-Abteilung so, dass sie zeitgemäße Technologien und neue Datenquellen leichter integrieren und flexibler agieren kann, wenn es die Geschäftsanforderungen erfordern. Ohne eine robuste Data-Warehouse-Automatisierung werden Unternehmen zukünftig kaum das „fünfte V“ der Datenspeicherung erreichen können.