Schlagwort-Archiv: Datenschutz

Neue Studie: Warum „anonyme“ Daten eine Illusion sind

Vor zwei Jahren zog der belgische Informatik-Dozent Yves-Alexandre de Montjoye von Boston nach London, suchte einen neuen Arzt und bekam dort in der Praxis ein Formular in die Hand gedrückt. Er sollte einwilligen, dass seine Gesundheitsdaten an Forschungseinrichtungen und Unternehmen weitergegeben werden dürfen; selbstverständlich anonymisiert. An einen Satz erinnert sich de Montjoye noch heute: Manche glaubten, stand dort, dass einzelne Patienten mit diesen Daten identifiziert werden könnten. Ein Bericht in der Süddeutschen“. … mehr …

 

Sabotage von smarten Geräten: Studie zeigt, wie Kriminelle Überwachungskameras manipulieren können

Forescout Technologies, Spezialist für Gerätesichtbarkeit und -kontrolle, veröffentlichte jüngst seine Untersuchung “Rise of the Machines: Transforming Cybersecurity Strategy for the Age of IoT“. Dabei zeigt das Team, wie Überwachungskameras, smarte Lichter und andere IoT-Geräte in intelligenten Gebäuden von Cyberkriminellen angegriffen werden könnten und wie man diese Attacken verhindern kann.

„Die heutige vernetzte Welt besteht aus Milliarden von Geräten, die eine Vielzahl von Betriebssystemen und Netzwerkprotokollen verwenden, um Daten über Branchen und Grenzen hinweg auszutauschen“, sagt Elisa Costante, Senior Director der Forescout Research Labs. „Wir haben Forescout Research Labs gegründet, um die Sicherheitsimplikationen dieser hyper-vernetzten Welt zu erforschen und die damit verbundenen Bedrohungen und Risiken zu untersuchen, die von diesen Geräten ausgehen.“

Die Forschung hebt folgende Ergebnisse hervor

  • Viele IoT-Geräte, einschließlich Überwachungskameras, sind standardmäßig so eingerichtet, dass sie über unverschlüsselte Protokolle kommunizieren, was das Abgreifen und Manipulieren vertraulicher Informationen ermöglicht.
  • Eine Suche über Shodan ergab fast 4,7 Millionen Geräte, die durch die Verwendung dieser unverschlüsselten Protokolle potenziell beeinträchtigt werden könnten.

Laden Sie den vollständigen Bericht herunter, um mehr darüber zu erfahren, wie IoT-Geräte als Einstiegspunkt in das Netzwerk eines Gebäudes genutzt werden können.

Das Privatsphäre-Paradox

3-affenObwohl sich deutsche Nutzer zunehmend um ihre Privatsphäre im Internet sorgen, bleiben sie oft tatenlos. Ein Grund dafür könnte ausgerechnet die DSGVO sein. Zu diesen Ergebnissen kommt eine aktuelle Studie von Brabbler.

Das sogenannte Privatsphäre-Paradox beschreibt das Phänomen, dass sich viele Menschen große Sorgen um ihre Privatsphäre im Internet machen, bei der Nutzung von digitalen Diensten aber völlig sorglos handeln. Eine aktuelle Umfrage von Brabbler mit 729 deutschen Teilnehmern zeigt, dass sich dieser Widerspruch in Teilbereichen sogar weiter verschärft.

66 Prozent der Umfrageteilnehmer gaben an, ein schlechtes Gefühl zu haben, wenn sie über den Schutz ihrer persönlichen Daten im Internet nachdenken. Dieselbe Umfrage wurde von Brabbler bereits vor rund einem Jahr durchgeführt, und zum damaligen Zeitpunkt äußerten mit 62 Prozent noch vier Prozentpunkte weniger diese Bedenken. Ebenfalls gestiegen ist die Zahl der Umfrageteilnehmer, die der Meinung sind, sie müssten noch mehr unternehmen, um ihre Daten zu schützen. Waren 2018 noch 67 Prozent dieser Ansicht, sind es jetzt 69 Prozent.

Der Will ist da, die Handlung nicht

In ihren Handlungen sind die Befragten allerdings teilweise deutlich halbherziger als noch vor einem Jahr. Zwar gaben 70 Prozent von ihnen an (2018: 67 Prozent), aktiv etwas für den Schutz ihrer privaten Daten zu tun, indem sie beispielsweise den Zugriff von Apps einschränken; regelrecht eingebrochen ist aber der Umgang mit Datenschutzhinweisen. Nur noch 49 Prozent der Umfrageteilnehmer sagten, dass sie Datenschutzhinweise prüfen. Im vergangenen Jahr waren es noch 65 Prozent.

Ein möglicher Grund für diese Nachlässigkeit könnte ausgerechnet die DSGVO sein. Bei der Umfrage im vergangenen Jahr, die kurz vor Inkrafttreten der EU-Datenschutz-Grundverordnung durchgeführt wurde, waren 34 Prozent der Meinung, dass der Gesetzgeber genug unternimmt, um ihre persönlichen Daten zu schützen. Jetzt, rund ein Jahr später, sind 38 Prozent dieser Meinung. In so manchem Fall dürfte also die DSGVO ein willkommenes Alibi für das eigene halbherzige Handeln der Nutzer liefern.

Facebook trotz großer Bedenken unangefochtener Platzhirsch

Besonders deutlich zeigt sich die Inkonsequenz auch bei der Nutzung von Diensten des Facebook-Konzerns. Allen Datenskandalen zum Trotz hat Facebook nach wie vor die unumstrittene Vorherrschaft bei den Befragten inne. Der Konzern stellt die vier der fünf meistgenutzten Dienste und 89 Prozent der Umfrageteilnehmer nutzen mindestens einen Facebook-Dienst.

Obwohl der Unmut der Nutzer über Facebooks Umgang mit ihren persönlichen Daten immens ist, schlägt sich das nur äußerst selten in konkretem Handeln nieder. So stimmte mit 82 Prozent der Befragen, die einen Facebook-Dienst nutzen, die große Mehrheit der Aussage zu, dass der Konzern zu sorglos mit den Daten seiner Nutzer umgeht – wobei nur 40 Prozent von ihnen angaben, ihre Nutzung geändert zu haben. Immerhin plant aber beinahe jeder Vierte (23 Prozent) sich von einem Facebook-Dienst abzumelden.

„Sich nur zu beklagen, bringt wenig und darauf zu hoffen, dass es die DSGVO schon richten wird, ist naiv. Die US-amerikanischen Internet-Giganten werden in ihrer Datensammelwut immer einen Weg finden, das europäische Recht auszuhebeln. Zudem unterliegen sie Gesetzen ihres Heimatlandes wie dem Cloud Act, die im offenen Widerspruch zur DSGVO stehen“, sagt Eric Dolatre, CEO bei Brabbler. „Die Nutzer müssen den Schutz ihrer Privatsphäre schon selbst in die Hand nehmen. Ein erster wichtiger Schritt dabei ist, europäische Alternativen zu den US-amerikanischen Diensten zu nutzen und das auch seiner Familie und seinen Bekannten zu empfehlen. Die deutsche Lösung ginlo beispielsweise ist kinderleicht zu bedienen und verschlüsselt alle Inhalte nicht nur Ende-zu-Ende, sondern auch auf den Endgeräten. ginlo für Privatnutzer wird über die Einnahmen der ginlo Business App, dem sicheren Messenger für Unternehmen, finanziert. Somit ist der Nutzer frei von Tracking, Profiling und Werbung und kann ohne jegliche Nebenwirkungen kommunizieren.“

Über die Studie

Die Studie von Brabbler widmet sich sowohl im beruflichen als auch im privaten Kontext dem Einsatz von Kommunikationsdiensten und den Meinungen zum Datenschutz in Deutschland. Für die Studie wurde im Zeitraum vom 30. April bis 13. Mai 2019 mithilfe des Marktforschungsunternehmens Toluna Deutschland und dessen Umfrageplattform QuickSurveys eine Online-Umfrage durchgeführt. Beteiligt haben sich 729 deutsche Berufstätige im Alter zwischen 20 und 60 Jahren.

 

Google ermöglicht Löschung von Standortdaten

Der Internetriese Google erlaubt ab jetzt die automatische Löschung von Standortdaten. User können einen Zeitraum wählen, der festlegt, wie lange Daten gespeichert werden. Zur Auswahl stehen entweder drei oder 18 Monate, alle älteren Informationen werden gelöscht. Vor kurzem hat dieses Feature sich nur auf App und Web-Aktivitäten bezogen, doch Google hat kürzlich eine Ausdehnung auf Ortungsdaten angekündigt, berichtet „Pressetext“….mehr

l

 

Google: „Project Strobe“ verschärft Datenschutz

Internetriese Google kündigt neue Richtlinien an, die den Zugriff auf Benutzerdaten für Ad-ons von Drittanbietern in Chrome und Drive einschränken. Die Neuerungen sind im Rahmen des „Project Strobe“ beschlossen worden. Ab sofort sind die Entwickler der Chrome-Erweiterungen dazu verpflichtet, ein Minimum an sensiblen Informationen anzufordern, die dazu ausreichen, dass ihre Anwendungen funktionieren, berichtet „Pressetext“. … mehr …

 

Vertrauter Feind: Wie Unternehmen mit Insiderbedrohungen umgehen

Bildquelle: Fotolia_146248266_M

Bildquelle: Fotolia_146248266_M

IT-Sicherheitsbedrohungen durch Insider rücken immer mehr in das Bewusstsein von Unternehmen. Wie sie das Risiko wahrnehmen, inwieweit sie schon von Insiderattacken betroffen waren und welche Sicherheitsmaßnahmen sie anwenden, erklärten 437 IT-Verantwortliche in einer Umfrage von Bitglass und der Information Security Community.

Die Sicherheit von Daten nimmt im Zeitalter der Digitalisierung einen immer höheren Stellenwert ein. Durch die starke Vernetzung im Rahmen von Cloudanwendungen und dem Zugriff von einer Vielzahl an Mobilgeräten stellen mittlerweile nicht nur externe Hacker ein Risiko für die Datensicherheit dar.

Auch Insider, also Unternehmensangehörige mit weit reichenden Nutzerrechten, gelten im Zuge dessen mittlerweile als ein Faktor, der in der IT-Sicherheitsstrategie berücksichtigt werden muss. Ob lediglich aus Unachtsamkeit oder tatsächlich aus böswilliger Absicht: Hat eine Insiderhandlung einen Datenverlust zur Folge, handelt es sich nach gesetzlichen Datenschutzvorgaben um einen massiven Sicherheitsverstoß. Dementsprechend sollte das Risiko, das von Insidern ausgeht, nicht unterschätzt werden.

Eine deutliche Mehrheit von 73 Prozent der IT-Security-Verantwortlichen ist gegenwärtig der Ansicht, dass Insiderangriffe im vergangenen Jahr deutlich zugenommen haben. Diese Einschätzung fußt auf stabilen Tatsachen: 59 Prozent gaben an, im vergangenen Jahr mindestens einen Insiderangriff erlebt zu haben. Im Jahr 2017, bei der letzten Befragung, waren lediglich 33 Prozent von einem derartigen Angriff betroffen.

Cloudservices und Mobilgeräte erschweren die Sicherung

Schwierigkeiten, Insiderattacken ausfindig zu machen, sehen 56 Prozent der Befragten durch die Verlagerung auf Cloudservices. Auf die Frage, welche Faktoren dies besonders erschweren, nannten die Teilnehmer folgende am häufigsten:

  • Insider verfügen über gültige Anmeldedaten und legitime Zugriffsrechte
  • Verstärkte Nutzung von verschiedenen Apps
  • Mangelnde Kontrolle über Daten außerhalb des eigenen Netzwerks

Zu entsprechend verstärkten Sicherheitsmaßnahmen in der Nutzung von Cloudanwendungen hat dies jedoch nur bei einem kleinen Anteil der Befragten geführt: Nur 40 Prozent erklärten, anormales Nutzerverhalten in SaaS-, IaaS- und PaaS-Diensten überhaupt zu überwachen. Weitere 19 Prozent sind sich nicht sicher, ob ihnen dies auch in ausreichendem Maße gelingt.

Ein ähnliches Bild ergibt sich für die Sicherung des Zugriffs auf Unternehmensanwendungen über private Mobilgeräte: 27 Prozent der Teilnehmer gehen lediglich davon aus, manche Insiderbedrohungen auch beim Zugriff über private Geräte erkennen zu können. Nur 12 Prozent der Befragten sind sich sicher, typische Verhaltensanomalien von Insidern unter allen gegebenen Umständen erkennen zu können.

32 Prozent hingegen gelingt dies ausschließlich durch die Installation agentenbasierter Lösungen, beispielsweise im Rahmen von BYOD-Richtlinien, weiteren sieben Prozent wiederum nur, sofern der Mobilzugriff on-premises erfolgt. Lediglich vier Prozent sehen von privaten Geräten ein derart hohes Risiko, dass sie den Zugriff darüber vollständig unterbinden.

Entdeckung von Insiderattacken: Wenige Minuten versus mehrere Monate

Auch bei Insiderangriffen ist Zeit entscheidend: Je länger es dauert, einen Insiderangriff zu entdecken und einzudämmen, umso höher ist das Risiko für einen Datenverlust. Entsprechend individuell verschiedener Erfahrungswerte und Sicherheitsniveaus, variiert die Einschätzung der Befragten darüber, wie lange es dauern würde, einen Insiderangriff zu entdecken, äußerst breit: 22 Prozent sehen sich in der Lage, einen derartigen Angriff binnen weniger Stunden ausfindig machen zu können, 19 Prozent im Lauf eines Tages und 15 Prozent sogar innerhalb von Minuten. 17 Prozent sehen eine Woche als realistischen Zeitrahmen an und weitere 13 Prozent gehen von etwa einer Woche aus. Die verbliebenen 14 Prozent nehmen an – wenn überhaupt – für das Entdecken eines Insiderangriffs mindestens drei Monate zu benötigen.

Sicherheitsmaßnahmen: Konventionell weitgehend ausgeschöpft, technologisch verbesserungswürdig

Die von den Unternehmen geschätzte Reaktionszeit spiegelt auch die Ausgereiftheit ihrer Sicherheitsmaßnahmen wider. Wie die Ergebnisse der Umfrage nahelegen, nutzt die Mehrheit der Befragten dieselben Maßnahmen – zumindest diejenigen konventioneller Art. Die Hälfte der Teilnehmer sorgt nach eigenen Angaben für eine Sensibilisierung der Mitarbeiter. Regelmäßige Schulungen sorgen dafür, dass Unternehmensangehörige ein Bewusstsein für die Bedeutung von Datensicherheit und potentielle Risiken entwickeln.

Auf diese Weise kann vor allem Datenverlusten, die durch Unachtsamkeit oder unsachgemäße Nutzung von Anwendungen entstehen, vorgebeugt werden. Weiterhin setzen etwa 40 Prozent in der Gestaltung ihrer Strukturen und Prozesse die Ratschläge der zuständigen Behörden zur Informationssicherheit um. 35 Prozent unterziehen ihre Mitarbeiter sogar einem Backgroundcheck, um das Gefahrenpotential durch Insider gering zu halten.

Auf Seite der technologischen Maßnahmen hingegen zeigen sich deutlich weniger Gemeinsamkeiten zwischen den einzelnen Unternehmen. Einfache Sicherheitsmaßnahmen, die insbesondere in Cloud-Umgebungen für besseren Schutz sorgen, wie eine Überwachung der Benutzeraktivitäten und eine Zwei-Faktor-Authentifizierung, werden lediglich von 31 beziehungsweise 33 Prozent der befragten Unternehmen eingesetzt.

Welche Technologien hingegen sie als hilfreich erachten, darüber herrscht unter der Hälfte der Befragten wiederum nahezu Einigkeit: Funktionen wie Data Loss Prevention (52 Prozent), Datenverschlüsselung (50 Prozent), Identity und Access Management (50 Prozent) und User Behaviour Anomaly Detection (48 Prozent) wurden als die bedeutendsten im Kampf gegen Insiderbedrohungen genannt.

Insider: Ein vertrauter Feind?

Zusammenfassend lässt sich festhalten, dass Unternehmen sich auf der einen Seite der Gefahr für die Datensicherheit, die von Insidern ausgeht, durchaus bewusst sind. Andererseits spiegelt sich dieses Bewusstsein derzeit nur bei wenigen in geeigneten Sicherheitsmaßnahmen wider.

Dies deutet darauf hin, dass Unternehmen Schwierigkeiten damit haben, das „Feindbild“ Insider genau zu definieren und entsprechend in ihre IT-Sicherheitsstrategie einzubauen. Maßnahmen, die ein notwendiges Maß an Misstrauen gegenüber Unternehmensmitarbeitern erkennen ließen, waren bislang hauptsächlich in regulierten Branchen vorherrschend.

Mit dem florierenden Markt für Daten im digitalen Zeitalter hat dies nun auch die breite Masse an Unternehmen erreicht, bei denen es in der IT-Security lange Zeit vornehmlich darum ging, Bedrohungen von außen abzuwehren. Insider hingegen stellen eine äußerst diffuse Bedrohung dar, da Datendiebstähle nicht zwangsläufig durch böse Absichten motiviert sein müssen. Auch Unachtsamkeiten, die einen Datenverlust zur Folge haben, können in den immer weiter vernetzten IT-Architekturen gravierende Konsequenzen nach sich ziehen.

Zudem können Nutzeraccounts oder Mobilgeräte von Unternehmensangehörigen ohne deren Kenntnis von Dritten für böswillige Zwecke missbraucht werden. Damit ergibt sich ein überaus diffuses Bedrohungsbild, das zunächst die Ermittlung potentieller Angriffsszenarien erfordert, um geeignete Sicherheitsmaßnahmen zu ableiten zu können.

Wie sich zeigt, stellen die Veränderungen in der IT-Umgebung – insbesondere durch die Cloud- und Mobilgerätenutzung – Unternehmen vor neue Herausforderungen. Die Tatsache, dass es offenbar noch nicht gelingt, lückenlosen Schutz für Daten über sämtliche Ebenen hinweg zu gewährleisten, mag auch darin begründet sein, dass IT-Security-Strategien nicht ausgehend von der Datensicherheit geplant werden. In diesem Sinne lassen die Ergebnisse der Studie auch folgende Schlussfolgerung zu: Ein Großteil der Unternehmen hat den erforderlichen Wandel hin zu einer datenzentrierten IT-Sicherheitsstrategie noch nicht vollständig vollzogen.

Autor: Von Michael Scheffler, Regional Director CEEU, Bitglass

Mehr Infos: Der „Insider Threat Report 2019″ von Bitglass mit allen Ergebnissen der Umfrage kann unter folgendem Link heruntergeladen werden.

Ist die Nutzung von öffentlichem WIFI eine gute Idee? Kommt drauf an….

…sagt Chester Wisniewski, Security-Experte bei Sophos. Verschlüsselung hat das WWW zwar sicherer gemacht, aber nicht gänzlich risikolos.

Lange galt die Warnung, keine öffentlichen WiFi-Netzwerke zu nutzen; das Risiko gehackt zu werden war zu groß. Parallel dazu wurde WiFi immer flächendeckender und beliebter, in Regierungsgebäuden, Coffee-Shops, öffentlichen Verkehrsmitteln. Nahezu überall findet man Hot-Spots auf Kosten des Hauses. Gefahrlos nutzbar? „Die Mehrheit sensibler Daten wird nun via verschlüsselte Kanäle versendet“, räumt Chester Wisniewski von Sophos, ein. „Die Risiken öffentlicher WiFis sind verblasst, seitdem Erwachsene in ihr Online-Leben starteten.“

Phishing weitaus risikoreicher als WiFi

Mit der Entwicklung der Umgebung verändern sich auch die Sicherheitsbedenken. In der digitalen Welt haben Cyberkriminelle heutzutage mit Phishing-Emails und Ransomware-Angriffe weitaus lukrativere Möglichkeiten, Geld zu machen, als bei Starbucks herumzulungern, um Laptops zu hacken.

Wer öffentliches WiFi nutzen möchte, sollte sich demnach folgende Fragen stellen:

Bietet Verschlüsselung einen guten Schutz?

Verschlüsselte Webseiten, erkennbar am https und Vorhängeschloss-Logo, sind ein wesentlicher Sicherheitsfaktor beim Surfen in öffentlichen WiFis. Natürlich gib es auch hier keine 100-prozentige Sicherheit. Zudem lässt sich das Logo auf mobilen Geräten kaum erkennen, besonders beim Gebrauch von Anwendungen, die ja in der Regel keine Webseiten anzeigen. „Hier ist es sinnvoll, eher auf die sicherere Datenverbindung des Handys auszuweichen, statt WiFi zu benutzen“, empfiehlt Wisniewski.

Bin ich ein mögliches Ziel?

Sicherheitsgesteuerte Entscheidungen beinhalten oft die beiden Pole von Sicherheit und Bequemlichkeit. Dies gilt natürlich auch für die Nutzung von öffentlichen WiFis. Und jeder muss für sich allein beantworten, ob die Vorteile die Nachteile überwiegen. „Als Regierungsmitarbeiter mit geheimen Informationen auf dem Handy oder als Geschäftsführer eines zukunftsweisenden Unternehmens mit Plänen für den nächsten Verkaufsschlager auf dem Laptop ist die Entscheidung gegen eine öffentliches WiFi offensichtlich“, so Wisniewski.

Aber für ganz normale User, die nur eine begrenzte Menge an Geduld und Mühe für sicheres Surfen aufbringen, rät der Sicherheitsexperte zu besseren Passwörtern und einer 2FA, um ihre Accounts zu schützen. „Was geht verloren, wenn man bei Starbucks Opfer eines Man-in-the-middle-Angriffs würde? Würde ich mich auf meinem Bank-Account bei Starbucks einloggen? Eher nein. Auf Twitter? Schon eher.“ Also: Surfgewohnheiten der Umgebung anpassen.

Wie bleibe ich sicher im öffentlichen WiFi?

Sophos Security-Experte Chester Wisniewski rät jedem Nutzer zu folgenden Sicherheitsmaßnahmen:

  • Starke Passwörter verwenden. „Lange Zeichenketten zufälligen Charakters sind am besten. Und bitte nicht der Versuchung unterliegen, das gleiche gute Passwort mehrfach zu verwenden“, so Wisniewski. Gezielte Zugangsdaten-Angriffe, wo Hacker Bots-Armeen einsetzen, um Listen gestohlener Passwörter abzuarbeiten, nehmen zu.
  • 2FA. Hält Hacker sehr lange ab, selbst wenn das Passwort für den Account geknackt wurde.
  • Vorsicht vor dem eigenen Posting-Verhalten. Accounts in sozialen Medien können eine virtuelle Goldmine für Cyberkriminelle sein, um das Passwort zu knacken. Obacht, welche persönlichen Details man mitteilt.
  • Geräte verschlüsseln, mit denen man in öffentlichen WiFis unterwegs ist.
  • Aufgepasst, Phishing! Fake-Webseiten können teuflisch echt aussehen. Besonders wenn sie via Link angeklickt werden. Sicherer ist es, die URL direkt in den Browser einzutippen.
  • Alte Informationen löschen. Drei Jahre alte Steuerbescheide lagern noch auf dem mobilen Gerät? Riskant bei der öffentlichen Surferei. Lieber in einem Back-up zu Hause ablegen. So kann es keiner beim Hot-Spot im Coffeeshop stehlen.

 

Vorwürfe bestätigt – Facebooks Targeting bei Housing und Job Ads ist diskriminierend

Wir berichteten bereits über die Veränderungen in Facebooks Targeting auf Grund von Diskriminierungsvorwürfen und die darauffolgende Klage. Eine anschließend durchgeführte Studie, die im Preprint Server Arxiv veröffentlicht wurde, aber noch auf Freigabe wartet, bestätigt laut Reuters jetzt die Vorwürfe. Facebooks Algorithmus scheint sich an Stereotypen zu orientieren und Anzeigen basierend darauf zu schalten – selbst wenn Werbetreibende versuchen, ein breiteres Publikum zu erreichen, ist auf „Onlinemarketing.de“ zu lesen. … mehr

 

Cybercriem: Phishing kann auch kleine Unternehmen treffen

Kürzlich wurde bekannt, dass sich diverse Restaurants sogenanntem „Dynamit-Phishing“ ausgesetzt sehen. Betroffene Betriebe erhielten eine E-Mail, laut der die Ehefrau des Absenders nach Besuch des Restaurants an einer Lebensmittelvergiftung erkrankt war. Die Aussage wird mit dem Bild einer Frau mit geschwollenem Gesicht verstärkt.

Angefügt an die Mail ist ein Word-Dokument, bei dem es sich scheinbar um einen ärztlichen Bericht handelt. Will der Empfänger das Dokument lesen, muss er zuvor die Ausführung von Makros erlauben. Tut er dies, geht der Plan des Angreifers auf und eine Schadsoftware wird auf dem Zielrechner installiert.

Ähnlich wie bei der Trojaner-Welle Emotet Ende letzten Jahres, ist das besonders perfide an dieser Phishing-Mail, dass sie, im Gegensatz zu vielen anderen derartigen Nachrichten, in einwandfreiem Deutsch geschrieben ist und darüber hinaus einen glaubhaften Grund liefert, den Anhang zu öffnen.

Die Gefahr für kleine Unternehmen

Die Folgen können besonders für kleinere Betriebe verheerend sein, die sich bis jetzt nicht im Visier von Hackern sahen. Je nachdem, welchem Zweck die Schadsoftware dient, können geschäftskritische Daten verschlüsselt oder ausgelesen werden. Auch die Verwendung kompromittierter Rechner für Bot-Netzwerke im Rahmen von DDoS-Angriffen ist möglich. Wenn im Falle einer Spyware kundenspezifische Informationen an unberechtigte Dritte weitergeleitet werden, kann es zusätzlich zum finanziellen Schaden, der durch den Ausfall und Wiederinstandsetzung der EDV-Systeme entsteht, zu Datenschutzproblemen kommen. Im Rahmen neuerer Verordnungen werden Verstöße gegen den Datenschutz mit hohen Bußgeldern geahndet, die besonders für kleinere Betriebe schnell geschäftsgefährdend sein können.

Eine dedizierte Lösung für E-Mail-Security kann helfen, schädliche Mails herauszufiltern, bevor diese den Empfänger überhaupt erreichen. Hierzu werden Anhänge und Links, die sich im Nachrichtentext befinden, in Echtzeit auf Gefahren hin untersucht und bei Bedarf geblockt. Doch wie können sich auch kleinere Betriebe, die wahrscheinlich kein großes Budget für IT-Security bzw. E-Mail-Security haben, vor solchen Attacken schützen?

Mitarbeiterschulung als beste Gegenwehr

Das beste Mittel, um nicht Opfer eines Phishing-Angriffs zu werden, ist bei Mitarbeitern ein schärferes Bewusstsein für E-Mail-Betrug zu schaffen. Hier sollten Unternehmensleiter Schulungen anbieten, die auf die Gefahren von Phishing hinweisen und Beispiele geben, anhand derer man potenzielle Phishing-Mails erkennen kann. Darüber hinaus sollten Makros in Word-Dokumenten grundsätzlich deaktiviert bleiben und Links zu Websites mit Argwohn betrachtet werden. Attacken wie diese werden in Zukunft häufiger werden. Mit der richtigen Strategie können sich auch kleine und mittlere Unternehmen effektiv vor den finanziellen und reputativen Schäden schützen, die ein solcher Angriff verursacht.

Autor:  Michael Kretschmer, VP EMEA, Clearswift RUAG Cyber Security. Clearswift ist ein weltweit anerkannter Partner zur Vermeidung von Bedrohungen und zum Schutz kritischer Informationen von Organisationen weltweit. 

V für Value: das fünfte ‚V‘ der Datenspeicherung

Volume, Velocity, Variety, Veracity. Im englischen IT-Sprachgebrauch haben sich die vier Vs der Datenspeicherung längst etabliert. Volumen, Geschwindigkeit, Vielfalt und Wahrhaftigkeit gilt es in Einklang zu bringen, um die Daten eines Unternehmens erfolgreich verwalten zu können. Herkömmliche Data-Warehouse-Infrastrukturen sind häufig nicht mehr in der Lage, die enormen Datenmengen, die Vielfalt der Datentypen, die Geschwindigkeit mit der Daten entstehen, ausgewertet und weiterverarbeitet werden sowie die Fehlerfreiheit von Daten zu managen.

In Zeiten, in denen Daten für Unternehmen immer wertvoller werden, hat sich mittlerweile ein fünftes „V“ zum bestehenden Quartett dazugesellt: V für Value beschreibt den Wert der Daten für das Unternehmen.

Selbst nur die vier Vs der Datenspeicher in Unternehmen in Einklang zu bringen war für viele IT-Teams schon immer sehr schwierig, wenn nicht gar unmöglich. Flash ist beispielsweise zwar schnell (Velocity), kann aber kaum bei großem Volumen helfen. Und für verschiedene Datentypen, wie etwa Datei-, Block- oder Objektdaten (Variety) unterschiedliche Speicher anzuschaffen, sprengt schnell jedes Budget. Das fünfte V (Value) stellt die IT jedes Unternehmen nun vor die zusätzliche Herausforderung die Daten nicht nur so effektiv wie möglich speichern zu müssen, sondern auch noch den Wert der Daten für das Unternehmen optimal nutzbar zu machen. Für CDOs ist dies bereits jetzt eine der wichtigsten und zeitaufwändigsten Aufgaben geworden. Die Facette den Wert von Daten für ein Unternehmen zu erhöhen, und damit zu monetarisieren, wird somit immer wichtiger und IT-Abteilungen suchen aktiv nach Methoden, die dabei helfen aus Daten Wert zu schaffen.

Data-Warehouse ist die zentrale Schaltstelle für Informationen im Unternehmen

Unabhängig von den genutzten Speichertechnologien und  -orten ist das Data-Warehouse der zentrale Punkt, an dem alle Unternehmensdaten zusammenkommen. Im Data-Warehouse werden aus einem Berg von Rohdaten im besten Fall wertvolle Informationen, die anschließend vorteilhaft genutzt werden können. Daten helfen wichtige Entscheidungen zu treffen, und entsprechend sind die Erwartungen der Benutzer, was den potentiellen Mehrwert von Daten anbetrifft, in den letzten Jahren enorm gestiegen.

In vielen Unternehmen führt dies bei den Benutzern jedoch zu Enttäuschung, da viele Data-Warehouses die Anforderungen aktuelle, nutzbare Daten zeitnah bereitzustellen oft nicht bieten können. Benutzer wollen Erkenntnisse aus den Daten heute in Echtzeit, was viele Data-Warehouses nicht leisten können. Gleichzeitig wächst die Menge neu generierter Daten stetig: Social-Media-Daten, Sensor-Daten, IoT-Daten, Kundenkommunikation und hochauflösende Videodaten bringen nicht nur die Speichertechnologien an ihre Grenzen, sondern auch das Data-Warehouse und die für die Systeme zuständigen IT-Teams.

Diese Teams waren es bisher gewohnt, das Data-Warehouse in lange andauernden Projektzyklen weiterzuentwickeln. Das Data-Warehouse ist seit jeher ein komplexes System, das man nicht mal so im Vorübergehen umbauen kann. Als ein Kernelement der Digitalen Transformation sind Unternehmen jedoch gezwungen ihre Data-Warehouses schneller zu modernisieren, um moderne Anforderungen zu erfüllen. Aufwändige Projektzyklen widersprechen einer schnellen und kontinuierlichen Transformation.

Automatisierung des Data-Warehouse hilft Time to Value zu verkürzen

In vielen Unternehmen stellt sich an diesem Punkt die Frage, wer denn für die Modernisierung des Data-Warehouse, und damit direkt auch für die Schaffung von Mehrwert aus Daten, zuständig sein soll. In den meisten Unternehmen liegt die Zuständigkeit hierfür in der meist noch frisch geschaffenen Stelle des CDO, also des Chief Digital Officer. Und eine der zentralen Aufgaben eines CDOs, ist es, die Zeitspanne zu verkürzen, bis Daten für Unternehmen einen greifbaren Wert darstellen.

„Time to Value“ heißt die Forderung. Und das zu erreichen, kommt kein CDO um eine Prozessautomatisierung herum. Automatisierung bringt in vielen Bereichen der IT Vorteile. Das gilt natürlich auch im Data-Warehouse, wo entsprechende Softwarelösungen das Fundament automatisierter Prozesse bilden. Die Data-Warehouse-Automation ist jedoch mehr als eine bloße Softwarelösung. Sie ist eine Philosophie, die das Unternehmen in seine Kultur durchaus einbinden muss um sie erfolgreich zu meistern. Mindestens genauso wichtig  sind darüber hinaus ein starke Führung und transparente Prozesse.

Vier praktische Schritte für CDOs das Data-Warehouse erfolgreich zu automatisieren

  1. Wissen, was tatsächlich benötigt wird

Bevor CDOs Entscheidungen über die Zukunft der Data-Warehouse-Infrastruktur treffen, sollten sie sich im Klaren sein, was genau die spezifischen Herausforderungen sind. Insbesondere sollte man im Detail wissen, wozu die Benutzer die Daten benötigen um Entscheidungen zu treffen.

  1. Verstehen, was man bereits hat

Die meisten Unternehmen verfügen bereits über ausgefeilte Datenmanagement-Tools, die als Teil ihrer Infrastruktur eingesetzt werden. Unternehmen, die bereits SQL Server, Oracle oder Teradata einsetzen, verfügen beispielsweise bereits über eine Reihe von Tools für das Datenmanagement und die Datenbewegung, die im Rahmen eines Projekts zur Data-Warehouse-Automation effektiv genutzt werden können. Bei diesem Inventurprozess sollten die CDOs sicherstellen, dass sie aktuellen und zukünftigen Kapazitätsanforderungen ihres Data-Warehouse berücksichtigt haben.

  1. Priorisieren, was zuerst automatisiert werden sollte

Die Automatisierung eines Data Warehouse erfordert Ressourcen – und diese sind aufgrund strenger Budgets und konkurrierender Prioritäten oft knapp. Das bedeutet, dass CDOs genau darüber nachdenken müssen, was zuerst automatisiert werden sollte. Einige gute Beispiele dafür, wo Automatisierung ein kostengünstiger Schritt ist, könnten die manuelle Programmierung von SQL, das Schreiben von Skripten oder die manuelle Verwaltung von Metadaten sein.

  1. Mit Veränderungen rechnen

Die Modernisierung und Automatisierung des Data Warehouse ist leider kein Projekt mit einem definierten Ziel, da sich das Data-Warehouse jedes Mal anpassen muss, wenn sich die Geschäftsanforderungen ändern oder neue Datenquellen entstehen.

Entsprechend müssen CDOs ständig in der Lage sein, verschiedene Teile der Infrastruktur anzupassen. Um Störungen zu minimieren und den Übergang für Geschäftsanwender zu erleichtern, sollten CDOs bei der Modernisierung einen schrittweisen Ansatz mit einem festen Zeitplan wählen, und genau definieren, wann unterschiedliche Stufen der Modernisierung erfüllt werden.

Unternehmen, die den Wert ihrer Daten steigern möchten, sollten auf die Automatisierung ihres Data-Warehouse setzten. Dieser Wandel positioniert die IT-Abteilung so, dass sie zeitgemäße Technologien und neue Datenquellen leichter integrieren und flexibler agieren kann, wenn es die Geschäftsanforderungen erfordern. Ohne eine robuste Data-Warehouse-Automatisierung werden Unternehmen zukünftig kaum das „fünfte V“ der Datenspeicherung erreichen können.

Sextortion: Cybererpressung mit „kompromittierenden“ Videos

HerzCyberkriminelle haben betrügerische Sextortion-E-Mails bisher als große Spam-Kampagnen verteilt, jetzt erweitern die Angreifer ihre Taktik: Eine Analyse durch Sicherheitsforscher von Barracuda Networks ergab, dass einer von zehn Spear-Phishing-Attacken ein Sextortion-Angriff war. Damit ist es doppelt so wahrscheinlich, dass Mitarbeiter durch einen gezielten Sextortion-Angriff ins Visier genommen werden als durch Business Email-Compromise (BEC).

Sextortion: Vorgehensweise der Angreifer

Bei einem Sextortion-Angriff geben Cyberkriminelle vor, im Besitz eines kompromittierenden Videos zu sein, das angeblich auf dem Computer des Opfers aufgezeichnet wurde, und drohen, es mit allen Kontakten des Opfers zu teilen – es sei denn, die Zielperson bezahlt. Typerweise werden Bitcoins verlangt und die Wallet-Details in der Erpressungsnachricht mitgeschickt. Sextortion-Angreifer nutzen bei der Kommunikation E-Mail-Adressen und gegebenenfalls Passwörter, die bei Datenlecks gestohlen wurden. Oftmals fälschen Angreifer auch die E-Mail-Adresse durch Spoofing und geben vor, Zugang zum Konto zu haben.

Sextortion-E-Mails werden in der Regel als Teil größerer Spam-Kampagnen an Tausende von Zielpersonen gesendet, sodass die meisten durch Spam-Filtern entdeckt werden. Doch Kriminelle nutzen mittlerweile auch Social-Engineering, um traditionelle E-Mail-Sicherheitsgateways zu umgehen. Sextortion-E-Mails, die in Posteingänge gelangen, stammen meist von angesehenen Absendern und IPs.

Hacker verwenden hierfür bereits kompromittierte Office 365- oder Gmail-Konten. Zudem enthalten Sextortion-E-Mails in der Regel keine bösartigen Links oder Anhänge, die von herkömmlichen Gateways erkannt werden. Angreifer haben auch begonnen, den Inhalt der E-Mails zu variieren und zu personalisieren, was es für Spamfilter schwierig macht, sie zu stoppen. Sextortion-Scams werden zudem aufgrund ihres vermeintlich peinlichen Inhalts von Opfern oft nicht gemeldet. IT-Teams sind sich dieser Angriffe deshalb häufig nicht bewusst.

Gängige Sextortion Betreffzeilen

Sexting5E Es zeigte sich, dass die Mehrheit der Betreffzeilen in den untersuchten Sextortion-E-Mails eine Form von Sicherheitswarnung enthält. Mehr als ein Drittel fordert eine Passwortänderung. Angreifer geben zudem oft die E-Mail-Adresse oder das Passwort des Opfers in der Betreffzeile an, damit die Zielperson die E-Mail öffnet. Im Folgenden einige Beispiele:

  • name@emailaddress.com wurde angegriffen. Ändern Sie Ihre Zugangsdaten.
  • Ihr Konto wurde gehackt, Sie müssen es wieder freischalten.
  • Ihr Konto wird von einer anderen Person genutzt.
  • Ändern Sie umgehend Ihr Passwort. Ihr Konto wurde gehackt.

Gelegentlich sind Angreifer auch direkter und verwenden bedrohliche Betreffzeilen:

  • Du bist mein Opfer.
  • Hör mir besser zu.
  • Du hast nicht viel Zeit.
  • Das ist meine letzte Warnung name@emailadresse.com

 Branchen, die am stärksten von Sextortion betroffen sind

Laut der Untersuchung ist der Bildungsbereich am häufigsten von Sextortion-Angriffen betroffen, gefolgt von Regierungsstellen und Unternehmen im Bereich Business Services. Der starke Fokus auf den Bildungsbereich ist ein kalkulierter Zug der Angreifer. Bildungseinrichtungen haben in der Regel eine große und junge Benutzerbasis. Diese verfügt meist über weniger Sicherheitsbewusstsein und weiß oft nicht, wo sie sich im Fall eines solchen Angriffs Hilfe suchen kann. Aufgrund mangelnder Erfahrung mit dieser Art Bedrohung besteht ein größeres Risiko, dass junge Menschen Opfer von Sextortion werden.

 Vier Möglichkeiten zum Schutz vor Sextortion

KI-basierter Schutz: Angreifer personalisieren mittlerweile ihre Sextortion-E-Mails, um E-Mail-Gateways und Spam-Filter zu umgehen. Daher ist eine gute Sicherheitslösung gegen Spear-Phishing ein Muss. Entsprechende KI-basierte Technologien analysieren und erlernen das spezifische Kommunikationsverhalten innerhalb eines Unternehmens und verfügen über integrierte Komponenten, die diese Art Angriffe erkennen.

Schutz vor Account-Übernahme: Viele Sextortion-Angriffe stammen von kompromittierten Accounts. KI-basierte Technologien können erkennen, wenn Konten gefährdet sind und greifen in Echtzeit ein, indem sie Benutzer benachrichtigen und bösartige E-Mails entfernen, die von gehackten Konten versendet werden.

Proaktive Untersuchungen: Bei Sextortion sind Mitarbeiter möglicherweise weniger als sonst bereit, den Angriff zu melden. IT-Teams sollten deshalb regelmäßig Untersuchungen von zugestellten E-Mails durchführen, um Nachrichten mit Bitten um Passwortänderungen, Sicherheitswarnungen und anderen verdächtigen Inhalten zu entdecken. Viele Sextortion-E-Mails stammen aus Ländern außerhalb Westeuropas oder Nordamerikas. Spezielle Technologien bietet interaktive Berichte über die geografische Herkunft und helfen, bösartige Nachrichten, die in Posteingängen gefunden werden, automatisch zu entfernen.

Sicherheitsschulungen: Organisationen sollten als Teil ihrer Sicherheitsschulungen Benutzer zudem umfassend über Sextortion aufklären, insbesondere wenn sie über eine große, vielfältige und junge Benutzerbasis wie im Bildungsbereich verfügen. So können Nutzer Sextortion-Angriffe erkennen und sich sicher fühlen, sie auch zu melden. Mit Phishing-Simulationstrainings können die Effektivität der Schulungen getestet und diejenigen Benutzer identifiziert werden, die am anfälligsten für Erpressungsangriffe sind.

Durch einen mehrschichtigen Ansatz aus Technologien, Best Practices und umfangreicher Aufklärung kann so das Risiko durch Sextortion-Angriffe deutlich reduziert werden.

Autor: Klaus Gheri ist VP Network Secirity bei Barracuda. Das Unternehmen  ist bestrebt, die Welt zu einem sichereren Ort zu machen und überzeugt davon, dass jedes Unternehmen Zugang zu Cloud-fähigen, unternehmensweiten Sicherheitslösungen haben sollte, die einfach zu erwerben, zu implementieren und zu nutzen sind. Barracuda schützt E-Mails, Netzwerke, Daten und Anwendungen mit innovativen Lösungen, die im Zuge der Customer Journey wachsen und sich anpassen.

 

Millionen von Account-Daten stehen im Darknet zum Verkauf: Weitreichende Folgen sind zu befürchten

DarknetWie gestern bekannt wurde, steht eine enorm große Datenbank mit E-Mailadressen sowie Passwörtern auf der Webseite Dream Market zum Verkauf. Hierbei handelt es sich um eine Schwarzmarkt-Seite, die sich nicht im öffentlich zugänglichen Internet befindet. Insgesamt wurden hier Daten von rund 620 Millionen Accounts kompromittiert. Ersten Informationen der britischen News-Seite The Register zufolge sind die Quellen der Anmeldeinformationen 16 verschiedene Websites und sie waren zwischen den Jahren 2016 und 2018 entwendet worden.

Der Vorfall reiht sich ein in eine Welle von verheerenden Datensicherheitsvorfällen, die alleine in diesem Jahr bereits wieder die Schlagzeilen bestimmt haben. Diese Tatsache verwundert nicht, schließlich ist Cyberkriminalität ein florierender Wirtschaftszweig. Der Brancheverband BITKOM schätzt die Schäden für die deutsche Wirtschaft alleine in den letzten 2 Jahren auf rund 43 Milliarden Euro. Die Zusammenhänge der einzelnen Vorfälle sind bisweilen für Außenstehende nicht klar. Datenpannen – wie aktuell der Diebstahl von Abermillionen personenbezogener Informationen – sind dabei nur der Anfang. Die gestohlenen Daten werden oftmals, wie im aktuellen Fall, an Kriminelle im Darknet verkauft.

Die Folgen sind verheerend: Diese können zum einen beispielsweise automatisiert Konten bei Onlinehändlern eröffnen, um mittels gefälschter Identitäten Ware im realen Leben zu erwerben. Doch noch fataler ist die Tatsache, dass die Käufer zum anderen ebenso automatisierte Konten bei Public Cloud Anbietern eröffnen und die Infrastruktur dieser Anbieter für Cyberangriffe missbrauchen können – Beispielsweise für Distributed-Denial-of-Service (DDoS)-Angriffe. So stieg etwa 2018 die Anzahl der DDoS-Angriffe, die alleine über Public Cloud-Dienste generiert wurden, um 35% Prozent gegenüber dem Vorjahr. Nur allzu oft stehen hinter diesen Attacken also gestohlene Datensätze und unbeteiligte Personen, die letztendlich selbst Opfer einer Straftat (nämlich Datendiebstahl) wurden und somit ins Fadenkreuz von Ermittlungen geraten.

Autor: Marc Wilczek, Geschäftsführer und COO von Link11. Link11 ist ein europäischer IT-Security-Provider mit Hauptsitz in Frankfurt am Main und Standorten in Europa, den USA und Asien.  

DSVGO: Die Hälfte sieht keinen Einfluss auf die Sicherheit ihrer Daten im Internet

Seit letztem Jahr gilt die Datenschutz-Grundverordnung, kurz DSGVO. Die Deutschen sehen die Auswirkungen auf die Sicherheit der eigenen Daten im Internet eher kritisch. Über die Hälfte (56 Prozent) gibt an, dass die DSGVO keinen Einfluss auf die Sicherheit ihrer Daten im Internet hat. Nur 13 Prozent sind der Meinung, dass die DSVGO die Sicherheit der eigenen Daten im Internet verbessert hat. Fast jeder Dritte (32 Prozent) ist sogar der Ansicht, dass die DSGVO die Benutzerfreundlichkeit des Internets verschlechtert hat.

Dies ist das Ergebnis einer Analyse des internationalen Marktforschungs- und Beratungsinstituts YouGov, für die 2.055 Personen ab 18 Jahren vom 25. bis 29. Januar 2019 mittels standardisierter Online-Interviews repräsentativ befragt wurden.

Nicht alle Befürworter sehen Nutzen der DSGVO im Internet

Unter den Befürwortern der DSVGO finden zwar zwei von fünf Befragten (38 Prozent), dass sich die Sicherheit ihrer Daten verbessert hat, ein höherer Anteil (43 Prozent) findet allerdings, dass die DSVGO keinen Einfluss auf die Sicherheit ihrer Daten im Internet hat. Die Ablehner der DSVGO beklagen besonders die Verschlechterung der Benutzerfreundlichkeit im Internet (60 Prozent) und dass die Datenschutz-Grundverordnung keinen Einfluss auf die Sicherheit der Daten im Netz hat (73 Prozent).

Die DSGVO spaltet Deutschland

Jeder Dritte (33 Prozent) beurteilt die neue Datenschutz-Grundverordnung alles in allem negativ. Jeder Vierte beurteilt sie alles in allem positiv (28 Prozent). 27 Prozent sind unentschlossen, ob sie die DSVGO nur positiv oder negativ beurteilen sollen.

Roadmap zur Cybersicherheitsforschung

RoadmapWie den digitalen Bedrohungen auf europäischer Ebene künftig besser begegnet werden kann, haben unter der Koordination des BMBF-Verbundprojektes secUnity 30 namhafte europäische IT-Sicherheitsexperten in der secUnity-Roadmap niedergelegt, darunter Forscherinnen und Forscher des Karlsruher Instituts für Technologie (KIT). Am  Dienstag, 5. Februar, stellen die Wissenschaftlerinnen und Wissenschaftler von secUnity die Roadmap in Brüssel vor und übergeben sie offiziell an die Europäische Agentur für Netzwerk und Informationssicherheit ENISA.

Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung, Verwaltung

Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung, Verwaltung – nahezu kein Bereich kommt mehr ohne moderne Informations- und Kommunikationstechnologien aus. Gleichzeitig nimmt die Zahl der Cyberangriffe, die bekannt werden, stetig zu. Solche Attacken auf die digitale Infrastruktur durch Kriminelle oder  staatliche Organisationen bedrohen den Wohlstand und die Sicherheit unserer Gesellschaften, am Ende sogar Freiheit und Demokratie.

Bei einer Abendveranstaltung in der Vertretung des Landes Hessen bei der Europäischen Union in Brüssel werden secUnity-Wissenschaftler mit Vertretern des Europäischen Parlaments und der Europäischen Kommission über „Zivile Cybersicherheitsforschung für digitale Souveränität“ diskutieren und im Anschluss offiziell die secUnity-Roadmap veröffentlichen und an die Europäische Agentur für Netzwerk und Informationssicherheit  übergeben.

„Das Gefahrenpotenzial, das Cyberattacken für hochentwickelte Länder entfalten können, kann man nicht hoch genug einschätzen“, warnt Professor Jörn Müller-Quade, Sprecher des Kompetenzzentrums für IT-Sicherheit KASTEL am KIT. In secUnity arbeiten IT-Sicherheitsexperten aus ganz Deutschland zusammen. Beteiligt sind, neben den drei nationalen Kompetenzzentren KASTEL, CRISP und CISPA, Spezialisten der TU Darmstadt, der Ruhr-Universität Bochum und der Fraunhofer-Institute für Angewandte und Integrierte Sicherheit AISEC und für Sichere Informationstechnologie SIT.

Cybersicherheitsexperten bemängeln schon lange, dass Firmen, öffentliche Einrichtungen und Institutionen nicht ausreichend auf digitale Bedrohungen vorbereitet seien. Im Gegenteil: Durch die fortschreitende Vernetzung, die sich durch digitale Trends wie Industrie 4.0, Smart Home oder selbstfahrende Autos noch potenzieren wird, würden die Angriffsflächen für Cyberkriminelle immer größer.

In der jetzt vorgelegten Roadmap, die das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Verbundprojekt secUnity initiiert hat, haben die über 30 europäischen Autoren zukünftige Herausforderungen und Lösungswege identifiziert.  Zum Beispiel werden die Sicherheit eingebetteter Systeme, Maschinelles Lernen, die Problematik der fehlenden Awareness und das Phänomen von Fake News untersucht und Vorschläge für mehr Sicherheit erarbeitet.

Problem: Hardwarelösungen ohne IT-Sicherheitsüberprüfung

Sehr kritisch sehen die Experten die Verwendung von Hardwarelösungen, die oft ohne IT-Sicherheitsüberprüfung verwendet werden. Dies gefährde die digitale Souveränität Europas. „Eine Möglichkeit diese Situation zu verbessern, wären hier europäische Prüfinstitute, um die Technik unabhängig zu analysieren“, so Professor Michael Waidner, Direktor des Nationalen Forschungszentrums für angewandte Cybersicherheit CRISP und des Fraunhofer-Instituts SIT in Darmstadt. Zudem könnten Open-Source-Software- und Hardwarelösungen transparent in der EU entwickelt werden.

Da aber auch in Zukunft noch weiterhin eine Vielzahl von preiswerten jedoch unsicheren Hard- und Softwarekomponenten  verbaut und genutzt wird, reichen Ansätze zur Entwicklung vertrauenswürdiger europäischer Lösungen  nicht aus, um  vernetzte Systeme wirksam zu schützen. Am Beispiel Smart Home führt Professorin Claudia Eckert, Direktorin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in München aus: „Wir brauchen Lösungen, um die Risiken solcher Komponenten zu minimieren und die Systeme resilient zu betreiben.

Kameras, Türöffner, die Heizungssteuerung – jedes Heimautomatisierungsgerät ist ein mögliches Einfallstor für große Netz-Attacken. Sichere Gateways für die Verbindung unsicherer Komponenten können beispielsweise dafür sorgen, dass keine sensitive Information die Heimumgebung verlässt und keine Zugriffe von außen auf Steuerungskomponenten möglich sind.“ Resilienz trotz unkalkulierbarer Komponenten – dies muss natürlich insbesondere für kritische Infrastrukturen wie Gesundheits- und Energieversorgung, aber auch für Behörden und Unternehmen sichergestellt werden.

Auch die weltweit stark vorangetriebene Entwicklung von Quantencomputern berge Gefahren. Jörn Müller-Quade warnt: „Es ist zwar bislang noch nicht gelungen, einen hinreichend großen Quantencomputer zu bauen, um die Sicherheit aktueller kryptographischer Verfahren zu gefährden, aber dies könnte sich schnell ändern. Der derzeitige Fortschritt in der Quantentechnologie ist so groß, dass wir heute schon Vorsorge treffen müssen. Wir müssen unsere komplexen vernetzten Systeme auf zukunftssichere, noch weiter zu erforschende Verschlüsselungsverfahren umstellen.”

Methoden der Künstlichen Intelligenz viele neue Anwendungsfälle, sie bringen aber auch gravierende Risiken für die IT-Sicherheit mit sich: Maschinelle Lernprozesse können durch gezielte Manipulationen während der Lernphase und auch im Betrieb einfach angegriffen werden. „Bevor diese Technologien in kritischen Bereichen oder zur Verbesserung der Lebensqualität eingesetzt werden können, muss das Vertrauen in diese Verfahren und in deren Zuverlässigkeit auf ein wissenschaftliches Fundament gesetzt werden“, fordert Professor Thorsten Holz von der Ruhr-Universität Bochum.

Auch werfen neue Möglichkeiten der Informationsgesellschaft wie etwa intelligente Stromnetze, die den Alltag komfortabler machen und beim Energiesparen helfen, rechtliche und ganz besonders datenschutzrechtliche Fragen auf: „Angesichts der fundamentalen Risiken, die durch die Digitalisierung ganzer Industriezweige und auch kritischer Infrastrukturen wie die Strom- oder Energieversorgung für die Versorgungssicherheit entstehen, brauchen wir dringend einen europäisch harmonisierten Rechtsrahmen für IT-Sicherheit“, sagt Dr. Oliver Raabe vom Zentrum für Angewandte Rechtswissenschaft (ZAR) des KIT.

Die rechtlichen Maßstäbe, welche Risiken akzeptabel sind und welche Schutzmaßnahmen den Unternehmen zugemutet werden könnten, müssten erst noch entwickelt werden. Ebenso Maßgaben für die Sicherung von Qualität und Unverfälschbarkeit der großen Datenbestände (Big Data).

Zudem müssen die Bürgerinnen und Bürger selbst, die zunehmend komplexe Kommunikationssysteme nutzen, beim Schutz ihrer Privatsphäre und IT-Sicherheit unterstützt werden. „Ziel der Forschung ist daher zum Beispiel, Methoden für einen Privacy Advisor zu entwickeln.

Diese sollen beim Hochladen von Bildern oder Nachrichten ins Netz die Risiken einschätzen und unter Berücksichtigung bisheriger Posts aufzeigen, wie viel zusätzliche private Information durch die Veröffentlichung preisgegeben wird. Dies würde die Bürger dabei unterstützen, sich souverän in sozialen Netzwerken zu bewegen“, kündigt Professor Michael Backes, Gründungsdirektor des CISPA Helmholtz-Zentrums für Informationssicherheit, an.

Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition

Angesichts dieser immer größer werdenden Datenbestände, ergeben sich für viele Unternehmen neue Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition im digitalen Zeitalter zu verlieren. „Daten sind nicht per se das Öl des 21. Jahrhunderts. Sie bekommen erst dann einen Wert, wenn Geschäftsmodelle entwickelt werden, die sie wertvoll machen – und Wertvolles hat besonderen Schutz und Sicherheit verdient“, erklärt Peter Buxmann, CRISP-Wissenschaftler und Professor für Wirtschaftsinformatik sowie Leiter des Gründungszentrums HIGHEST an der TU Darmstadt. Bürgerinnen und Bürger müssen sich des Wertes und Schutzbedarfs ihrer Daten bewusst werden, während Transparenz bei der Nutzung und Weiterverarbeitung von Daten sowie faire Preismodelle von Anbietern umgesetzt werden müssen. „Politisch sollten wir uns deswegen eher weg vom Prinzip der Datensparsamkeit in Richtung Datensouveränität bewegen und faire Geschäftsmodelle fördern und fordern“, so Buxmann.

„Um all diesen Herausforderungen zu begegnen, braucht die zivile Cybersicherheit ein interdisziplinäres Netzwerk von Experten der zivilen Cybersicherheitsforschung auf EU-Ebene“, fasst secUnity-Sprecher Jörn Müller-Quade zusammen.

Weitere Informationen  im Internet unter: https://it-security-map.eu/de/startseite/