Schlagwort-Archiv: Datenschutz

V für Value: das fünfte ‚V‘ der Datenspeicherung

Volume, Velocity, Variety, Veracity. Im englischen IT-Sprachgebrauch haben sich die vier Vs der Datenspeicherung längst etabliert. Volumen, Geschwindigkeit, Vielfalt und Wahrhaftigkeit gilt es in Einklang zu bringen, um die Daten eines Unternehmens erfolgreich verwalten zu können. Herkömmliche Data-Warehouse-Infrastrukturen sind häufig nicht mehr in der Lage, die enormen Datenmengen, die Vielfalt der Datentypen, die Geschwindigkeit mit der Daten entstehen, ausgewertet und weiterverarbeitet werden sowie die Fehlerfreiheit von Daten zu managen.

In Zeiten, in denen Daten für Unternehmen immer wertvoller werden, hat sich mittlerweile ein fünftes „V“ zum bestehenden Quartett dazugesellt: V für Value beschreibt den Wert der Daten für das Unternehmen.

Selbst nur die vier Vs der Datenspeicher in Unternehmen in Einklang zu bringen war für viele IT-Teams schon immer sehr schwierig, wenn nicht gar unmöglich. Flash ist beispielsweise zwar schnell (Velocity), kann aber kaum bei großem Volumen helfen. Und für verschiedene Datentypen, wie etwa Datei-, Block- oder Objektdaten (Variety) unterschiedliche Speicher anzuschaffen, sprengt schnell jedes Budget. Das fünfte V (Value) stellt die IT jedes Unternehmen nun vor die zusätzliche Herausforderung die Daten nicht nur so effektiv wie möglich speichern zu müssen, sondern auch noch den Wert der Daten für das Unternehmen optimal nutzbar zu machen. Für CDOs ist dies bereits jetzt eine der wichtigsten und zeitaufwändigsten Aufgaben geworden. Die Facette den Wert von Daten für ein Unternehmen zu erhöhen, und damit zu monetarisieren, wird somit immer wichtiger und IT-Abteilungen suchen aktiv nach Methoden, die dabei helfen aus Daten Wert zu schaffen.

Data-Warehouse ist die zentrale Schaltstelle für Informationen im Unternehmen

Unabhängig von den genutzten Speichertechnologien und  -orten ist das Data-Warehouse der zentrale Punkt, an dem alle Unternehmensdaten zusammenkommen. Im Data-Warehouse werden aus einem Berg von Rohdaten im besten Fall wertvolle Informationen, die anschließend vorteilhaft genutzt werden können. Daten helfen wichtige Entscheidungen zu treffen, und entsprechend sind die Erwartungen der Benutzer, was den potentiellen Mehrwert von Daten anbetrifft, in den letzten Jahren enorm gestiegen.

In vielen Unternehmen führt dies bei den Benutzern jedoch zu Enttäuschung, da viele Data-Warehouses die Anforderungen aktuelle, nutzbare Daten zeitnah bereitzustellen oft nicht bieten können. Benutzer wollen Erkenntnisse aus den Daten heute in Echtzeit, was viele Data-Warehouses nicht leisten können. Gleichzeitig wächst die Menge neu generierter Daten stetig: Social-Media-Daten, Sensor-Daten, IoT-Daten, Kundenkommunikation und hochauflösende Videodaten bringen nicht nur die Speichertechnologien an ihre Grenzen, sondern auch das Data-Warehouse und die für die Systeme zuständigen IT-Teams.

Diese Teams waren es bisher gewohnt, das Data-Warehouse in lange andauernden Projektzyklen weiterzuentwickeln. Das Data-Warehouse ist seit jeher ein komplexes System, das man nicht mal so im Vorübergehen umbauen kann. Als ein Kernelement der Digitalen Transformation sind Unternehmen jedoch gezwungen ihre Data-Warehouses schneller zu modernisieren, um moderne Anforderungen zu erfüllen. Aufwändige Projektzyklen widersprechen einer schnellen und kontinuierlichen Transformation.

Automatisierung des Data-Warehouse hilft Time to Value zu verkürzen

In vielen Unternehmen stellt sich an diesem Punkt die Frage, wer denn für die Modernisierung des Data-Warehouse, und damit direkt auch für die Schaffung von Mehrwert aus Daten, zuständig sein soll. In den meisten Unternehmen liegt die Zuständigkeit hierfür in der meist noch frisch geschaffenen Stelle des CDO, also des Chief Digital Officer. Und eine der zentralen Aufgaben eines CDOs, ist es, die Zeitspanne zu verkürzen, bis Daten für Unternehmen einen greifbaren Wert darstellen.

„Time to Value“ heißt die Forderung. Und das zu erreichen, kommt kein CDO um eine Prozessautomatisierung herum. Automatisierung bringt in vielen Bereichen der IT Vorteile. Das gilt natürlich auch im Data-Warehouse, wo entsprechende Softwarelösungen das Fundament automatisierter Prozesse bilden. Die Data-Warehouse-Automation ist jedoch mehr als eine bloße Softwarelösung. Sie ist eine Philosophie, die das Unternehmen in seine Kultur durchaus einbinden muss um sie erfolgreich zu meistern. Mindestens genauso wichtig  sind darüber hinaus ein starke Führung und transparente Prozesse.

Vier praktische Schritte für CDOs das Data-Warehouse erfolgreich zu automatisieren

  1. Wissen, was tatsächlich benötigt wird

Bevor CDOs Entscheidungen über die Zukunft der Data-Warehouse-Infrastruktur treffen, sollten sie sich im Klaren sein, was genau die spezifischen Herausforderungen sind. Insbesondere sollte man im Detail wissen, wozu die Benutzer die Daten benötigen um Entscheidungen zu treffen.

  1. Verstehen, was man bereits hat

Die meisten Unternehmen verfügen bereits über ausgefeilte Datenmanagement-Tools, die als Teil ihrer Infrastruktur eingesetzt werden. Unternehmen, die bereits SQL Server, Oracle oder Teradata einsetzen, verfügen beispielsweise bereits über eine Reihe von Tools für das Datenmanagement und die Datenbewegung, die im Rahmen eines Projekts zur Data-Warehouse-Automation effektiv genutzt werden können. Bei diesem Inventurprozess sollten die CDOs sicherstellen, dass sie aktuellen und zukünftigen Kapazitätsanforderungen ihres Data-Warehouse berücksichtigt haben.

  1. Priorisieren, was zuerst automatisiert werden sollte

Die Automatisierung eines Data Warehouse erfordert Ressourcen – und diese sind aufgrund strenger Budgets und konkurrierender Prioritäten oft knapp. Das bedeutet, dass CDOs genau darüber nachdenken müssen, was zuerst automatisiert werden sollte. Einige gute Beispiele dafür, wo Automatisierung ein kostengünstiger Schritt ist, könnten die manuelle Programmierung von SQL, das Schreiben von Skripten oder die manuelle Verwaltung von Metadaten sein.

  1. Mit Veränderungen rechnen

Die Modernisierung und Automatisierung des Data Warehouse ist leider kein Projekt mit einem definierten Ziel, da sich das Data-Warehouse jedes Mal anpassen muss, wenn sich die Geschäftsanforderungen ändern oder neue Datenquellen entstehen.

Entsprechend müssen CDOs ständig in der Lage sein, verschiedene Teile der Infrastruktur anzupassen. Um Störungen zu minimieren und den Übergang für Geschäftsanwender zu erleichtern, sollten CDOs bei der Modernisierung einen schrittweisen Ansatz mit einem festen Zeitplan wählen, und genau definieren, wann unterschiedliche Stufen der Modernisierung erfüllt werden.

Unternehmen, die den Wert ihrer Daten steigern möchten, sollten auf die Automatisierung ihres Data-Warehouse setzten. Dieser Wandel positioniert die IT-Abteilung so, dass sie zeitgemäße Technologien und neue Datenquellen leichter integrieren und flexibler agieren kann, wenn es die Geschäftsanforderungen erfordern. Ohne eine robuste Data-Warehouse-Automatisierung werden Unternehmen zukünftig kaum das „fünfte V“ der Datenspeicherung erreichen können.

Sextortion: Cybererpressung mit „kompromittierenden“ Videos

HerzCyberkriminelle haben betrügerische Sextortion-E-Mails bisher als große Spam-Kampagnen verteilt, jetzt erweitern die Angreifer ihre Taktik: Eine Analyse durch Sicherheitsforscher von Barracuda Networks ergab, dass einer von zehn Spear-Phishing-Attacken ein Sextortion-Angriff war. Damit ist es doppelt so wahrscheinlich, dass Mitarbeiter durch einen gezielten Sextortion-Angriff ins Visier genommen werden als durch Business Email-Compromise (BEC).

Sextortion: Vorgehensweise der Angreifer

Bei einem Sextortion-Angriff geben Cyberkriminelle vor, im Besitz eines kompromittierenden Videos zu sein, das angeblich auf dem Computer des Opfers aufgezeichnet wurde, und drohen, es mit allen Kontakten des Opfers zu teilen – es sei denn, die Zielperson bezahlt. Typerweise werden Bitcoins verlangt und die Wallet-Details in der Erpressungsnachricht mitgeschickt. Sextortion-Angreifer nutzen bei der Kommunikation E-Mail-Adressen und gegebenenfalls Passwörter, die bei Datenlecks gestohlen wurden. Oftmals fälschen Angreifer auch die E-Mail-Adresse durch Spoofing und geben vor, Zugang zum Konto zu haben.

Sextortion-E-Mails werden in der Regel als Teil größerer Spam-Kampagnen an Tausende von Zielpersonen gesendet, sodass die meisten durch Spam-Filtern entdeckt werden. Doch Kriminelle nutzen mittlerweile auch Social-Engineering, um traditionelle E-Mail-Sicherheitsgateways zu umgehen. Sextortion-E-Mails, die in Posteingänge gelangen, stammen meist von angesehenen Absendern und IPs.

Hacker verwenden hierfür bereits kompromittierte Office 365- oder Gmail-Konten. Zudem enthalten Sextortion-E-Mails in der Regel keine bösartigen Links oder Anhänge, die von herkömmlichen Gateways erkannt werden. Angreifer haben auch begonnen, den Inhalt der E-Mails zu variieren und zu personalisieren, was es für Spamfilter schwierig macht, sie zu stoppen. Sextortion-Scams werden zudem aufgrund ihres vermeintlich peinlichen Inhalts von Opfern oft nicht gemeldet. IT-Teams sind sich dieser Angriffe deshalb häufig nicht bewusst.

Gängige Sextortion Betreffzeilen

Sexting5E Es zeigte sich, dass die Mehrheit der Betreffzeilen in den untersuchten Sextortion-E-Mails eine Form von Sicherheitswarnung enthält. Mehr als ein Drittel fordert eine Passwortänderung. Angreifer geben zudem oft die E-Mail-Adresse oder das Passwort des Opfers in der Betreffzeile an, damit die Zielperson die E-Mail öffnet. Im Folgenden einige Beispiele:

  • name@emailaddress.com wurde angegriffen. Ändern Sie Ihre Zugangsdaten.
  • Ihr Konto wurde gehackt, Sie müssen es wieder freischalten.
  • Ihr Konto wird von einer anderen Person genutzt.
  • Ändern Sie umgehend Ihr Passwort. Ihr Konto wurde gehackt.

Gelegentlich sind Angreifer auch direkter und verwenden bedrohliche Betreffzeilen:

  • Du bist mein Opfer.
  • Hör mir besser zu.
  • Du hast nicht viel Zeit.
  • Das ist meine letzte Warnung name@emailadresse.com

 Branchen, die am stärksten von Sextortion betroffen sind

Laut der Untersuchung ist der Bildungsbereich am häufigsten von Sextortion-Angriffen betroffen, gefolgt von Regierungsstellen und Unternehmen im Bereich Business Services. Der starke Fokus auf den Bildungsbereich ist ein kalkulierter Zug der Angreifer. Bildungseinrichtungen haben in der Regel eine große und junge Benutzerbasis. Diese verfügt meist über weniger Sicherheitsbewusstsein und weiß oft nicht, wo sie sich im Fall eines solchen Angriffs Hilfe suchen kann. Aufgrund mangelnder Erfahrung mit dieser Art Bedrohung besteht ein größeres Risiko, dass junge Menschen Opfer von Sextortion werden.

 Vier Möglichkeiten zum Schutz vor Sextortion

KI-basierter Schutz: Angreifer personalisieren mittlerweile ihre Sextortion-E-Mails, um E-Mail-Gateways und Spam-Filter zu umgehen. Daher ist eine gute Sicherheitslösung gegen Spear-Phishing ein Muss. Entsprechende KI-basierte Technologien analysieren und erlernen das spezifische Kommunikationsverhalten innerhalb eines Unternehmens und verfügen über integrierte Komponenten, die diese Art Angriffe erkennen.

Schutz vor Account-Übernahme: Viele Sextortion-Angriffe stammen von kompromittierten Accounts. KI-basierte Technologien können erkennen, wenn Konten gefährdet sind und greifen in Echtzeit ein, indem sie Benutzer benachrichtigen und bösartige E-Mails entfernen, die von gehackten Konten versendet werden.

Proaktive Untersuchungen: Bei Sextortion sind Mitarbeiter möglicherweise weniger als sonst bereit, den Angriff zu melden. IT-Teams sollten deshalb regelmäßig Untersuchungen von zugestellten E-Mails durchführen, um Nachrichten mit Bitten um Passwortänderungen, Sicherheitswarnungen und anderen verdächtigen Inhalten zu entdecken. Viele Sextortion-E-Mails stammen aus Ländern außerhalb Westeuropas oder Nordamerikas. Spezielle Technologien bietet interaktive Berichte über die geografische Herkunft und helfen, bösartige Nachrichten, die in Posteingängen gefunden werden, automatisch zu entfernen.

Sicherheitsschulungen: Organisationen sollten als Teil ihrer Sicherheitsschulungen Benutzer zudem umfassend über Sextortion aufklären, insbesondere wenn sie über eine große, vielfältige und junge Benutzerbasis wie im Bildungsbereich verfügen. So können Nutzer Sextortion-Angriffe erkennen und sich sicher fühlen, sie auch zu melden. Mit Phishing-Simulationstrainings können die Effektivität der Schulungen getestet und diejenigen Benutzer identifiziert werden, die am anfälligsten für Erpressungsangriffe sind.

Durch einen mehrschichtigen Ansatz aus Technologien, Best Practices und umfangreicher Aufklärung kann so das Risiko durch Sextortion-Angriffe deutlich reduziert werden.

Autor: Klaus Gheri ist VP Network Secirity bei Barracuda. Das Unternehmen  ist bestrebt, die Welt zu einem sichereren Ort zu machen und überzeugt davon, dass jedes Unternehmen Zugang zu Cloud-fähigen, unternehmensweiten Sicherheitslösungen haben sollte, die einfach zu erwerben, zu implementieren und zu nutzen sind. Barracuda schützt E-Mails, Netzwerke, Daten und Anwendungen mit innovativen Lösungen, die im Zuge der Customer Journey wachsen und sich anpassen.

 

Millionen von Account-Daten stehen im Darknet zum Verkauf: Weitreichende Folgen sind zu befürchten

DarknetWie gestern bekannt wurde, steht eine enorm große Datenbank mit E-Mailadressen sowie Passwörtern auf der Webseite Dream Market zum Verkauf. Hierbei handelt es sich um eine Schwarzmarkt-Seite, die sich nicht im öffentlich zugänglichen Internet befindet. Insgesamt wurden hier Daten von rund 620 Millionen Accounts kompromittiert. Ersten Informationen der britischen News-Seite The Register zufolge sind die Quellen der Anmeldeinformationen 16 verschiedene Websites und sie waren zwischen den Jahren 2016 und 2018 entwendet worden.

Der Vorfall reiht sich ein in eine Welle von verheerenden Datensicherheitsvorfällen, die alleine in diesem Jahr bereits wieder die Schlagzeilen bestimmt haben. Diese Tatsache verwundert nicht, schließlich ist Cyberkriminalität ein florierender Wirtschaftszweig. Der Brancheverband BITKOM schätzt die Schäden für die deutsche Wirtschaft alleine in den letzten 2 Jahren auf rund 43 Milliarden Euro. Die Zusammenhänge der einzelnen Vorfälle sind bisweilen für Außenstehende nicht klar. Datenpannen – wie aktuell der Diebstahl von Abermillionen personenbezogener Informationen – sind dabei nur der Anfang. Die gestohlenen Daten werden oftmals, wie im aktuellen Fall, an Kriminelle im Darknet verkauft.

Die Folgen sind verheerend: Diese können zum einen beispielsweise automatisiert Konten bei Onlinehändlern eröffnen, um mittels gefälschter Identitäten Ware im realen Leben zu erwerben. Doch noch fataler ist die Tatsache, dass die Käufer zum anderen ebenso automatisierte Konten bei Public Cloud Anbietern eröffnen und die Infrastruktur dieser Anbieter für Cyberangriffe missbrauchen können – Beispielsweise für Distributed-Denial-of-Service (DDoS)-Angriffe. So stieg etwa 2018 die Anzahl der DDoS-Angriffe, die alleine über Public Cloud-Dienste generiert wurden, um 35% Prozent gegenüber dem Vorjahr. Nur allzu oft stehen hinter diesen Attacken also gestohlene Datensätze und unbeteiligte Personen, die letztendlich selbst Opfer einer Straftat (nämlich Datendiebstahl) wurden und somit ins Fadenkreuz von Ermittlungen geraten.

Autor: Marc Wilczek, Geschäftsführer und COO von Link11. Link11 ist ein europäischer IT-Security-Provider mit Hauptsitz in Frankfurt am Main und Standorten in Europa, den USA und Asien.  

DSVGO: Die Hälfte sieht keinen Einfluss auf die Sicherheit ihrer Daten im Internet

Seit letztem Jahr gilt die Datenschutz-Grundverordnung, kurz DSGVO. Die Deutschen sehen die Auswirkungen auf die Sicherheit der eigenen Daten im Internet eher kritisch. Über die Hälfte (56 Prozent) gibt an, dass die DSGVO keinen Einfluss auf die Sicherheit ihrer Daten im Internet hat. Nur 13 Prozent sind der Meinung, dass die DSVGO die Sicherheit der eigenen Daten im Internet verbessert hat. Fast jeder Dritte (32 Prozent) ist sogar der Ansicht, dass die DSGVO die Benutzerfreundlichkeit des Internets verschlechtert hat.

Dies ist das Ergebnis einer Analyse des internationalen Marktforschungs- und Beratungsinstituts YouGov, für die 2.055 Personen ab 18 Jahren vom 25. bis 29. Januar 2019 mittels standardisierter Online-Interviews repräsentativ befragt wurden.

Nicht alle Befürworter sehen Nutzen der DSGVO im Internet

Unter den Befürwortern der DSVGO finden zwar zwei von fünf Befragten (38 Prozent), dass sich die Sicherheit ihrer Daten verbessert hat, ein höherer Anteil (43 Prozent) findet allerdings, dass die DSVGO keinen Einfluss auf die Sicherheit ihrer Daten im Internet hat. Die Ablehner der DSVGO beklagen besonders die Verschlechterung der Benutzerfreundlichkeit im Internet (60 Prozent) und dass die Datenschutz-Grundverordnung keinen Einfluss auf die Sicherheit der Daten im Netz hat (73 Prozent).

Die DSGVO spaltet Deutschland

Jeder Dritte (33 Prozent) beurteilt die neue Datenschutz-Grundverordnung alles in allem negativ. Jeder Vierte beurteilt sie alles in allem positiv (28 Prozent). 27 Prozent sind unentschlossen, ob sie die DSVGO nur positiv oder negativ beurteilen sollen.

Roadmap zur Cybersicherheitsforschung

RoadmapWie den digitalen Bedrohungen auf europäischer Ebene künftig besser begegnet werden kann, haben unter der Koordination des BMBF-Verbundprojektes secUnity 30 namhafte europäische IT-Sicherheitsexperten in der secUnity-Roadmap niedergelegt, darunter Forscherinnen und Forscher des Karlsruher Instituts für Technologie (KIT). Am  Dienstag, 5. Februar, stellen die Wissenschaftlerinnen und Wissenschaftler von secUnity die Roadmap in Brüssel vor und übergeben sie offiziell an die Europäische Agentur für Netzwerk und Informationssicherheit ENISA.

Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung, Verwaltung

Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung, Verwaltung – nahezu kein Bereich kommt mehr ohne moderne Informations- und Kommunikationstechnologien aus. Gleichzeitig nimmt die Zahl der Cyberangriffe, die bekannt werden, stetig zu. Solche Attacken auf die digitale Infrastruktur durch Kriminelle oder  staatliche Organisationen bedrohen den Wohlstand und die Sicherheit unserer Gesellschaften, am Ende sogar Freiheit und Demokratie.

Bei einer Abendveranstaltung in der Vertretung des Landes Hessen bei der Europäischen Union in Brüssel werden secUnity-Wissenschaftler mit Vertretern des Europäischen Parlaments und der Europäischen Kommission über „Zivile Cybersicherheitsforschung für digitale Souveränität“ diskutieren und im Anschluss offiziell die secUnity-Roadmap veröffentlichen und an die Europäische Agentur für Netzwerk und Informationssicherheit  übergeben.

„Das Gefahrenpotenzial, das Cyberattacken für hochentwickelte Länder entfalten können, kann man nicht hoch genug einschätzen“, warnt Professor Jörn Müller-Quade, Sprecher des Kompetenzzentrums für IT-Sicherheit KASTEL am KIT. In secUnity arbeiten IT-Sicherheitsexperten aus ganz Deutschland zusammen. Beteiligt sind, neben den drei nationalen Kompetenzzentren KASTEL, CRISP und CISPA, Spezialisten der TU Darmstadt, der Ruhr-Universität Bochum und der Fraunhofer-Institute für Angewandte und Integrierte Sicherheit AISEC und für Sichere Informationstechnologie SIT.

Cybersicherheitsexperten bemängeln schon lange, dass Firmen, öffentliche Einrichtungen und Institutionen nicht ausreichend auf digitale Bedrohungen vorbereitet seien. Im Gegenteil: Durch die fortschreitende Vernetzung, die sich durch digitale Trends wie Industrie 4.0, Smart Home oder selbstfahrende Autos noch potenzieren wird, würden die Angriffsflächen für Cyberkriminelle immer größer.

In der jetzt vorgelegten Roadmap, die das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Verbundprojekt secUnity initiiert hat, haben die über 30 europäischen Autoren zukünftige Herausforderungen und Lösungswege identifiziert.  Zum Beispiel werden die Sicherheit eingebetteter Systeme, Maschinelles Lernen, die Problematik der fehlenden Awareness und das Phänomen von Fake News untersucht und Vorschläge für mehr Sicherheit erarbeitet.

Problem: Hardwarelösungen ohne IT-Sicherheitsüberprüfung

Sehr kritisch sehen die Experten die Verwendung von Hardwarelösungen, die oft ohne IT-Sicherheitsüberprüfung verwendet werden. Dies gefährde die digitale Souveränität Europas. „Eine Möglichkeit diese Situation zu verbessern, wären hier europäische Prüfinstitute, um die Technik unabhängig zu analysieren“, so Professor Michael Waidner, Direktor des Nationalen Forschungszentrums für angewandte Cybersicherheit CRISP und des Fraunhofer-Instituts SIT in Darmstadt. Zudem könnten Open-Source-Software- und Hardwarelösungen transparent in der EU entwickelt werden.

Da aber auch in Zukunft noch weiterhin eine Vielzahl von preiswerten jedoch unsicheren Hard- und Softwarekomponenten  verbaut und genutzt wird, reichen Ansätze zur Entwicklung vertrauenswürdiger europäischer Lösungen  nicht aus, um  vernetzte Systeme wirksam zu schützen. Am Beispiel Smart Home führt Professorin Claudia Eckert, Direktorin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in München aus: „Wir brauchen Lösungen, um die Risiken solcher Komponenten zu minimieren und die Systeme resilient zu betreiben.

Kameras, Türöffner, die Heizungssteuerung – jedes Heimautomatisierungsgerät ist ein mögliches Einfallstor für große Netz-Attacken. Sichere Gateways für die Verbindung unsicherer Komponenten können beispielsweise dafür sorgen, dass keine sensitive Information die Heimumgebung verlässt und keine Zugriffe von außen auf Steuerungskomponenten möglich sind.“ Resilienz trotz unkalkulierbarer Komponenten – dies muss natürlich insbesondere für kritische Infrastrukturen wie Gesundheits- und Energieversorgung, aber auch für Behörden und Unternehmen sichergestellt werden.

Auch die weltweit stark vorangetriebene Entwicklung von Quantencomputern berge Gefahren. Jörn Müller-Quade warnt: „Es ist zwar bislang noch nicht gelungen, einen hinreichend großen Quantencomputer zu bauen, um die Sicherheit aktueller kryptographischer Verfahren zu gefährden, aber dies könnte sich schnell ändern. Der derzeitige Fortschritt in der Quantentechnologie ist so groß, dass wir heute schon Vorsorge treffen müssen. Wir müssen unsere komplexen vernetzten Systeme auf zukunftssichere, noch weiter zu erforschende Verschlüsselungsverfahren umstellen.”

Methoden der Künstlichen Intelligenz viele neue Anwendungsfälle, sie bringen aber auch gravierende Risiken für die IT-Sicherheit mit sich: Maschinelle Lernprozesse können durch gezielte Manipulationen während der Lernphase und auch im Betrieb einfach angegriffen werden. „Bevor diese Technologien in kritischen Bereichen oder zur Verbesserung der Lebensqualität eingesetzt werden können, muss das Vertrauen in diese Verfahren und in deren Zuverlässigkeit auf ein wissenschaftliches Fundament gesetzt werden“, fordert Professor Thorsten Holz von der Ruhr-Universität Bochum.

Auch werfen neue Möglichkeiten der Informationsgesellschaft wie etwa intelligente Stromnetze, die den Alltag komfortabler machen und beim Energiesparen helfen, rechtliche und ganz besonders datenschutzrechtliche Fragen auf: „Angesichts der fundamentalen Risiken, die durch die Digitalisierung ganzer Industriezweige und auch kritischer Infrastrukturen wie die Strom- oder Energieversorgung für die Versorgungssicherheit entstehen, brauchen wir dringend einen europäisch harmonisierten Rechtsrahmen für IT-Sicherheit“, sagt Dr. Oliver Raabe vom Zentrum für Angewandte Rechtswissenschaft (ZAR) des KIT.

Die rechtlichen Maßstäbe, welche Risiken akzeptabel sind und welche Schutzmaßnahmen den Unternehmen zugemutet werden könnten, müssten erst noch entwickelt werden. Ebenso Maßgaben für die Sicherung von Qualität und Unverfälschbarkeit der großen Datenbestände (Big Data).

Zudem müssen die Bürgerinnen und Bürger selbst, die zunehmend komplexe Kommunikationssysteme nutzen, beim Schutz ihrer Privatsphäre und IT-Sicherheit unterstützt werden. „Ziel der Forschung ist daher zum Beispiel, Methoden für einen Privacy Advisor zu entwickeln.

Diese sollen beim Hochladen von Bildern oder Nachrichten ins Netz die Risiken einschätzen und unter Berücksichtigung bisheriger Posts aufzeigen, wie viel zusätzliche private Information durch die Veröffentlichung preisgegeben wird. Dies würde die Bürger dabei unterstützen, sich souverän in sozialen Netzwerken zu bewegen“, kündigt Professor Michael Backes, Gründungsdirektor des CISPA Helmholtz-Zentrums für Informationssicherheit, an.

Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition

Angesichts dieser immer größer werdenden Datenbestände, ergeben sich für viele Unternehmen neue Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition im digitalen Zeitalter zu verlieren. „Daten sind nicht per se das Öl des 21. Jahrhunderts. Sie bekommen erst dann einen Wert, wenn Geschäftsmodelle entwickelt werden, die sie wertvoll machen – und Wertvolles hat besonderen Schutz und Sicherheit verdient“, erklärt Peter Buxmann, CRISP-Wissenschaftler und Professor für Wirtschaftsinformatik sowie Leiter des Gründungszentrums HIGHEST an der TU Darmstadt. Bürgerinnen und Bürger müssen sich des Wertes und Schutzbedarfs ihrer Daten bewusst werden, während Transparenz bei der Nutzung und Weiterverarbeitung von Daten sowie faire Preismodelle von Anbietern umgesetzt werden müssen. „Politisch sollten wir uns deswegen eher weg vom Prinzip der Datensparsamkeit in Richtung Datensouveränität bewegen und faire Geschäftsmodelle fördern und fordern“, so Buxmann.

„Um all diesen Herausforderungen zu begegnen, braucht die zivile Cybersicherheit ein interdisziplinäres Netzwerk von Experten der zivilen Cybersicherheitsforschung auf EU-Ebene“, fasst secUnity-Sprecher Jörn Müller-Quade zusammen.

Weitere Informationen  im Internet unter: https://it-security-map.eu/de/startseite/

CEO & Co. als Zielscheibe von Cyberkriminellen

(Bildquelle: Thinkstock_iStock_Hiscox Studie_Digital Economy in Cyber-Gefahr)

(Bildquelle: Thinkstock_iStock_Hiscox Studie_Digital Economy in Cyber-Gefahr)

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des öffentlichen Lebens böswillig exponiert werden. Das zeigt gerade eindrücklich der Datenleak hunderter deutscher Politiker, Journalisten und Prominenten. Doch auch in Unternehmen herrscht beim Umgang mit sensiblen Daten oft eine gefährliche Mischung aus Unwissenheit und sträflicher Ignoranz. Anders lässt sich der enorme Umfang an sensiblen Daten im Netz nicht erklären.

Cybercrime kann jeden treffen

Betroffen sind längst nicht nur Politiker und Prominente. Wer sich die Mühe macht, nach sicherheitsrelevanten Informationen im Netz zu suchen, wird fündig – egal ob es sich um einen Bundestagsabgeordneten oder den CEO eines Unternehmens handelt. Erst im letzten Jahr stieß der Threat Intelligence Anbieter Digital Shadows bei einer Untersuchung auf insgesamt 1,5 Mrd. geleakte Unternehmens- und Kundendokumente. Die 12.000 Terabyte an Daten wurden meist unwissentlich und ohne böse Absicht über falsch konfigurierte Server wie FTP, SMB, rsync und Amazon S3 öffentlich ins Netz gestellt.

Risiken und Folgen von Identitätsklau im Internet. (Bildquelle: Digital Shadows)

Risiken und Folgen von Identitätsklau im Internet. (Bildquelle: Digital Shadows)

Auch die nun über Twitter veröffentlichten Adressbücher mit Telefonnummern, E-Mailkonten mit Nachrichten, Messaging-Apps mit Fotos und Chatverläufen waren teilweise bereits seit 2017 im Netz zu finden. In der Regel werden solche Informationen von Cyberkriminellen genutzt, um Angriffe vorzubereiten wie etwa Business Email Compromise(BEC).

In vielen Fällen geht es jedoch schlichtweg darum, Unternehmen und Personen Schaden zuzufügen, ein politisches Statement zu setzen oder Aufmerksamkeit zu erregen (Doxing). VIP Exposure reicht dabei vom gefälschten LinkedIn-Account des Personalchefs, der Bewerber auf gefährliche Webportale lotst, bis zur Verbreitung der privaten Handynummer des CEOs durch einen unzufriedenen Mitarbeiter.

CEOs bevorzugtes Ziel

„In jedem Unternehmen gibt es Personen, die in der Öffentlichkeit stehen und sehr schnell zur Zielscheibe von Cyberkriminellen werden können“; erklärt Stefan Bange, Country Manager Deutschland bei Digital Shadows. „Unternehmen müssen diese VIPs kennen und genau beobachten, welche Informationen über Vorstandsmitglieder, Aufsichtsrat oder wichtige Führungskräfte im Umlauf sind. Erst dann lassen sich entsprechende Gegenmaßnahmen ergreifen – und zwar zeitnah, ehe es zur nächsten großen Enthüllungsstory kommt und der Ruf des Unternehmens in Mitleidenschaft gezogen wird.“

So ist die Cyber-Abwehr in Deutschland organisiert

Wer kümmert sich eigentlich um die Cyber-Sicherheit in Deutschland? Wer das beantworten will, muss erst mal tief Luft holen, schreibt die „Internetworld“. Polizei, Geheimdienste und ein eigenes Bundesamt: Bei der IT-SicherheitIT-Sicherheit braucht eine gute Organisation reden viele mit in Deutschland. Auch beim Datenklau mit rund 1.000 Betroffenen ist gleich eine ganze Behördenriege involviert. … mehr

 

Amazon Interview zu Alexa Hacking, Datenschutz und Ethik

(Bildquelle: Amazon)

(Bildquelle: Amazon)

Ein Beitrag in „Home&Smart“: Mit dem Einzug von Alexa in die deutschen Privathaushalte hat sich Amazons Sprachassistentin binnen eines Jahres vom Geek-Objekt zum digitalen Superstar entwickelt. Vom TV bis zur Ratgeberzeitschrift – es gibt kaum ein Medienformat, das sich noch nicht mit Amazons intelligenten Echo-Lautsprecher und Alexa beschäftigt hat. Doch was verbirgt sich wirklich hinter dem Lautsprecher-Chassis eines Echos? Im Tiefen-Interview hat sich der deutsche „Alexa Vater“, Alexa-Manager Dr. Philipp Berger den kritischen Fragen der homeandsmart-Redaktion gestellt und verraten, wieviel Spionin oder Engel in Alexa steckt. Dabei musste der Country Manager Amazon Alexa Rede und Antwort stehen, zu den Themen Sprachaufzeichnung, Analyse von Emotionen und Nebengeräuschen, Hacking sowie Ethik und Datenschutz. … mehr …

 

Malware nutzt Facebook, WhatsApp und Co

Laut dem IT-Security-Experten Trend Micro  gibt es im Google Play Store derzeit sechs Anwendungen, die auf sensible Daten von WhatsApp, Facebook und Co zugreifen. Die in den Apps identifizierte Malware nennt sich „ANDROIDOS_MOBSTSPY“. Die Programme konnten im Jahr 2018 heruntergeladen werden und haben User in mehr als 200 Ländern betroffen, berichtet „Pressetext“. … mehr

 

IBM: „Weather Channel“ missbraucht Daten

Die „Weather Channel„-App des IT-Giganten IBM  wird der Datenweitergabe an Dritte beschuldigt. Laut der Klage der Stadt Los Angeles gegen das Unternehmen geht hervor, dass der Weather Channel Zugriff auf persönliche Standortdaten genommen und diese an Dritte weitergegen haben soll, berichtet „Pressetext“. … mehr

 

Die ultimative Liste: So viele Datenskandale gab es 2018 bei Facebook

Cambridge Analytica war nur die Spitze des Eisberges: Weitergabe von Nutzerdaten, Hacks und Sicherheitslücken – die Skandale bei Facebook reißen nicht ab. Wer soll sich das alles merken? Hier sind die elf wichtigsten Skandalmeldungen des Jahres zum Chaoskonzern, berichtet „Netzpolitik.org“. …mehr