SECUTAIN-Blog

Wenn Strafverfolger zu Hackern werden

Die in Tel Aviv ansäs­si­ge Firma Cellbrite forscht und spe­zia­li­siert sich seit 2007 im Bereich der digi­ta­len Forensik für Smartphones und Mobilgeräte. Sie nimmt damit teil an dem Wettrennen zwi­schen Smartphoneherstellern, die ihre Geräte mit immer effek­ti­ve­ren Sicherheitsmechanismen aus­stat­ten und Unternehmen, die Sicherheitslücken in die­sen Geräten fin­den und mone­ta­ri­sie­ren wol­len.

Der Kundenkreis ist exklu­siv und wahr­schein­lich lukra­tiv: Strafverfolger und Ermittlungsbehörden.

Weiterlesen

Neuer Online-Kurs: Mobile Sicherheit

Fast jeder nutzt unter­wegs mobi­le Daten — sei­en es pri­va­te oder dienst­li­che Informationen auf dem Smartphone, dem Tablet oder dem Laptop. Mit unse­rem neu­en Kurs “Mobile Sicherheit” in unse­rer SECUTAIN Online-Akademie adres­sie­ren wir den Schutz mobi­ler Datenkommunikation. Dabei erläu­tern wir zunächst die Risikolage bei der Nutzung mobi­ler Daten und geben ganz kon­kre­te Hanldungshinweise, wie Sicherheit unter­wegs und auf Reisen her­ge­stellt wer­den kann. Folgende Lektionen ent­hält unser Kurs:

Der Kurs schließt mit einem Test ab, bei dem aus einem Fragenpool zufäl­li­ge Fragen prä­sen­tiert wer­den. Bei erfolg­rei­chem Bestehen kann ein indi­vi­du­el­les Zertifikat her­un­ter­ge­la­den wer­den. Firmen erhal­ten dar­über hin­aus Reports über die Teilnahme ihrer Beschäftigten, die im Rahmen von Audits als Nachweis die­nen.

Wie alle unse­rer Kurse ist auch “Mobile Sicherheit” ein sehr unter­halt­sa­mes, ver­ständ­li­ches und Interesse wecken­des Angebot, bei dem auch der Humor nicht zu kurz kommt. Alle Awarness-Videos sind unter­ti­telt und wer­den als schön gestal­te­te Skripts zusätz­lich als PDF-Download zur Verfügung gestellt.

Der Kurs steht ab sofort in unserem Online-Shop zu einem Preis je nach Abnahmemenge zwi­schen 4,95 Euro und 15 Euro zur Verfügung. Natürlich kön­nen die ein­zel­nen Lektionen in die­sem Kurs auch individuell zusammengestellt werden. Sollten Sie Interesse am Einsatz die­ses Kurses in Ihrer Organisation haben, richten wir Ihnen gerne einen Testzugang ein.

Kurse in der SECUTAIN-Akademie nun in 4 Sprachen

Ab sofort ste­hen die E‑Learning-Kurse “Grundlagen” sowie die Online-Datenschutzunterweisung auch in den Sprachen eng­lisch, fran­zö­sisch und spa­nisch zur Verfügung. Damit bie­ten wir das pas­sen­de Angebot für inter­na­tio­nal agie­ren­de Firmen an. Bei den inter­na­tio­na­len Versionen der Kurse han­delt es sich nicht nur um rei­ne Übersetzungen. Vielmehr wur­den auch die Gleichnisse, die Beispiele und die Pointen an inter­na­tio­na­le Rahmenbedingungen ange­passt — und das eine oder ande­re Easter Egg in den Kursen ver­steckt.

Neben den zusam­men­ge­stell­ten Kursen kön­nen Sie auch die ent­spre­chen­den ein­zel­nen Lektionen in den mehr­spra­chi­gen Versionen buchen. Dies kön­nen Sie ganz ein­fach in unse­rem Online-Shop durch­füh­ren. Wählen Sie dabei in dem jewei­li­gen Produkt die ent­spre­chen­de Sprachversion aus und legen Sie das Produkt in den Warenkorb.

An den Preisen ändert sich nichts: Eine Lektion erwer­ben Sie für 3,00 Euro — einen kom­plet­ten Kurs für 15,00 Euro pro User. Darüber hin­aus gibt es attrak­ti­ve Mengenrabatte. Gerne laden wir Sie auch zu voll­stän­di­gen Testzugängen der Kurse Grundlagen und der Online-Datenschutzunterweisung ein. Mit den Kursen in unse­rer Online-Akademie bie­ten wir attrak­ti­ve, ver­ständ­li­che und unter­halt­sa­me E‑Learning-Inhalte an, die inner­halb kür­zes­ter Zeit Ihrer Organisation zur Verfügung ste­hen.

Frühjahrsputz für Ihre Internet-Konten

Jedes mal, wenn irgend­wo Datenlecks ver­öf­fent­licht wer­den, den­ken Sie sich bestimmt: “Hoffentlich sind mei­ne Daten nicht dabei”. Richtig? Damit Ihre Daten kein Bestandteil die­ser Veröffentlichungen wer­den, ist es rat­sam, nur bei den Internetdiensten und Apps Konten zu haben, die Sie wirk­lich benut­zen. Aber klar — über die Jahre sam­meln sich bei uns allen Konten an, die wir heu­te nicht mehr benö­ti­gen. Konten, um ein­mal etwas zu tes­ten, ein Probeabo abzu­schlie­ßen, etwas nur für einen bestimm­ten Zeitraum zu nut­zen etc. Oder Konten, die wir ein­fach mal aus Neugier ange­legt haben. Da wir häu­fig die­se Konten nicht löschen, lie­gen unse­re Daten wei­ter­hin bei die­sen Anbietern — und sind somit poten­zi­el­len Risiken aus­ge­setzt: Passwörter, E‑Mail-Adressen, unse­re Aktivitäten viel­leicht sogar Zahlungsdaten.

Ein neu­er kos­ten­lo­ser Dienst unse­rer Partner von AWARE7 soll das Abhilfe schaf­fen: Cyberpflege.de.

Auf die­ser Webseite fin­den Sie Links zum Löschen Ihrer Accounts für deut­sche und inter­na­tio­nal stark fre­quen­tier­te Seiten. Klingt erst ein­mal nicht beson­ders spek­ta­ku­lär — ist aber unge­mein prak­tisch. Wer schon ein­mal pro­biert hat, sei­nen Zugang irgend­wo zu löschen, weiß, dass Löschfunktionen häu­fig sehr gut ver­steckt wer­den und im Gegensatz zur Registrierung sehr beschwer­lich sein kön­nen. Cyberpflege bringt Sie jedoch genau an den rich­ti­gen Ort. Außerdem erhal­ten Sie dar­über hin­aus eine Einschätzung, wie kom­pli­ziert der Löschvorgang wird und was Sie dazu tun müs­sen.

Heartbleed ganz anders — wenn Cybercrime zur Herzenssache wird

Scamming. Kennen Sie nicht? Das Wort “scam” meint im Englischen soviel wie “Betrug”, “Masche” oder “Schwindel”. Scamming im Kontext von Cybercrime bedeu­tet dabei kon­kret, Menschen (häu­fig über das Vorgaukeln von Liebe und Hoffnung auf eine gemein­sa­me Zukunft in Zweisamkeit) dazu zu bewe­gen, viel Geld an das ver­meint­li­che Herzblatt zu über­wei­sen. Leider stellt sich für die geprell­ten Opfer irgend­wann her­aus, dass Herzblatt und Geld weg sind — für immer. Es gibt hier­zu im Internet zahl­rei­che Dokumentationen, die die Muster ein­drucks­voll erklä­ren. Wir haben hier exem­pla­risch mal eine für Sie aus­ge­sucht.

Kann mir nie pas­sie­ren!” sagen Sie? Vielleicht haben Sie Recht. Vielleicht nicht. Denn die Taktiken, mit denen Scamming funk­tio­niert sind die sel­ben, wie sie auch (sehr erfolg­reich) im Social Engineering Anwendung fin­den. Die Betrüger appel­lie­ren an Neugier (Sehnsucht nach einer Beziehung), Hilfsbereitschaft, Leichtgläubigkeit, Angst (allein zu sein), spen­den Lob und Anerkennung (Aussehen, Art) und wecken damit Emotionen des Opfers. Man(n) / Frau ist ver­liebt. Liebe macht blind. Hängt das Opfer an der Angel, wird nicht sel­ten Druck auf­ge­baut. Alles typi­sche Triggerpunkte, die im Scamming zur Anwendung kom­men und bewusst “gedrückt” wer­den, damit sich das Opfer wie gewünscht ver­hält. Meist dau­ert die­ser Vertrauensaufbau lang und wird bewusst geschickt Schritt für Schritt inten­si­viert, bis dann das Opfer ver­liebt, die Zeit reif und das Bankkonto leer ist.

Nun wer­den Sie sagen — was hat das mit Informationssicherheit mei­ner Organisation zu tun? Vielleicht nichts. Vielleicht (?) noch nichts. Denn es ist sicher nur eine Frage der Zeit, dass Scamming-Attacken auch dazu genutzt wer­den, Wirtschaftsspionage in Unternehmen zu betrei­ben. Man zielt dann viel­leicht nicht mehr auf das Geld der eigent­li­chen Zielperson.

Wir glau­ben, es wird nur eine Frage der Zeit sein, bis mit Scamming ganz gezielt Herzen von Personen an Schlüsselpositionen des Unternehmens gewon­nen wer­den. Personen, die Zugriff auf die wert­volls­ten Informationen des Unternehmens haben und mit Scamming dazu bewegt wer­den, am Arbeitsplatz Dinge zu tun, um die der Angreifer sie “bit­tet”.  Zielpersonen kön­nen pri­vi­le­gier­te Personen mit beson­de­ren Rechten wie bspw. die Assistenz des Vorstands oder der Leitung Forschung & Entwicklung sein. Hier sind die Regeln der IT-Security zu Gunsten erfor­der­li­cher Flexibilität am Arbeitsplatz meist nicht so streng. Und man ist ja tech­nisch meist sehr gut und umfang­reich gegen Angriffe “von drau­ßen” geschützt.

Komplett unge­schützt ist man aber vor dem Gefallen, der aus Liebe gemacht wird: “Schatz, du wür­dest mir einen gro­ßen Gefallen tun, wenn du für mich was in Deiner Firma aus­druckst. Ich habe hier kein aktu­ell Internet. Daher schi­cke ich Dir mei­nen USB-Stick per Post. Wäre lieb, wenn du den auf dem Stick gespei­cher­ten Vertrag dru­cken könn­test. Es ist sehr wich­tig für mich.”  Und schon ist der Trojaner in Ihrem Netz …

Wenn Sie dem vor­beu­gen und die Prinzipien und Wirkungsweisen von Social Engineering ver­ste­hen möch­ten, bie­ten wir hier­zu einen entsprechenden Workshop für Ihre Organisation.