Beiträge über Awareness für Informationssicherheit.

Emotet? Ehrlich? Schon wieder?

Es ist Ihnen sicher­lich nicht ent­gan­gen, in den Medien wird vor einer neu­en Welle von E‑Mails mit der Schadsoftware „Emotet“ gewarnt. Was zuerst klingt wie ein alt­ägyp­ti­scher Baumeister oder eine neue Jugendbewegung ist ein äußert per­fi­der Angreifer, der jeden von uns tref­fen kann, wie er in den letz­ten Monaten bereits unter Beweis gestellt hat.

Was tut Emotet?

Emotet liest auf betrof­fe­nen Systemen E‑Mail-Kontakte und sogar aktu­el­le Inhalte von E‑Mails aus und ist so in der Lage, sehr echt aus­se­hen­de Mails zu ver­sen­den, von aktu­el­len Kontakten und sogar mit Bezug zu aktu­el­len Inhalten. So kann es sein, dass eine recht aktu­el­le Mail direkt unten als Mailverlauf ein­ge­fügt wur­de. Das wirkt für den Empfänger also alles sehr über­zeu­gend und erregt wenig Skepsis. Mit einem Klick auf einen Link oder dem Öffnen einer Datei aus dem Mailanhang nis­tet er sich auf Ihrem Computer ein. Dort lädt er dann ande­re Schadsoftware nach, die dann z.B. Ihr Online-Banking aus­späht, Ihre Passwörter abgreift und natür­lich ver­sucht, Ihre Kontakte zu infi­zie­ren.

Was Sie tun können.

Das klingt erst­mal aus­sichts­los, aber wie bei allen E‑Mail-gestütz­ten Angriffen hel­fen auch hier erst­mal die wich­ti­gen Grundregeln zur Vorsorge:

  • Halten Sie Ihr Betriebssystem und Ihre Anwendungen aktu­ell, instal­lie­ren Sie Updates und Patches zeit­nah.
  • Setzen Sie einen aktu­el­len Virenscanner ein.
  • Erstellen Sie regel­mä­ßi­ge Datensicherungen von Ihrem Computer, damit Sie im Schadensfall alle Daten schnell wie­der­her­stel­len kön­nen.

Sicherlich, die­se Maßnahmen schlie­ßen eine Infektion nicht aus, hel­fen aber unter Umständen den Schaden in Grenzen zu hal­ten. Auf Ihren dienst­li­chen Geräten küm­mert sich um all die­se Sachen sicher­lich Ihre IT Abteilung.

Emotet wird nicht der letz­te bös­ar­ti­ge Gast in unse­ren elek­tro­ni­schen Postfächern sein. Die wich­tigs­te Verteidigung gegen die­se Angriffe sind und blei­ben des­halb Sie. Ihre Aufmerksamkeit, ihr Verstand und Ihre Erfahrung sind bes­ser als jeder Virenscanner. Fragen Sie sich bei jeder Mail, bei jedem Anhang und bei jedem Link erneut:

  • Kenne ich den Absender?
  • Erwarte ich die­se E‑Mail?
  • Würde der Absender in die­sem Fall E‑Mail als Kommunikationsmittel wäh­len?
  • Würde er mich so anspre­chen und anschrei­ben?
  • Warum ver­sucht die­se Mail eine Reaktion (Öffnen von Dateien, Klicken auf Links) durch mich zu pro­vo­zie­ren?
  • Muss ich die­sen Anhang öff­nen bzw. die­sen Link kli­cken?
  • Auch wenn ein Link auf den ers­ten Blick ver­trau­ens­wür­dig aus­sieht, gibt es irgend­wel­che Auffälligkeiten?
  • Warum möch­te die­ses ver­meint­li­che Word-Dokument jetzt Änderungen an mei­nem System vor­neh­men?

Fragen Sie im Zweifelsfall beim Absender per­sön­lich nach, ob die­se Mail von ihm stammt. Seien Sie bei allen Arten von Dateien wach­sam, auch bei Office-Dateien oder ande­ren Formaten.

Jede Mail, auch ech­te und wich­ti­ge Kommunikation, wird so zu einem Trainingsinstrument für Sie und stärkt Sie und Ihre Sinne in der Abwehr von Angriffen.

Also: let’s do it!


Persönliches Training

Mehr Sicherheit im Umgang mit gefähr­li­chen Mails gewin­nen Sie mit unse­rem Phishing-Training. Erfahren Sie in simu­lier­ten Angriffsmails, an wel­chen Merkmalen Sie gefähr­li­che Mails erken­nen kön­nen. Mehr Informationen »

Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.

Sensibilisierung — ein bedeu­tungs­vol­les Wort für eine im wahrs­ten Sinne des Wortes bedeut­sa­me Aufgabe. In die­sem Blog-Beitrag wer­den Sie ler­nen, war­um nur tat­säch­lich sen­si­bi­li­sier­te MitarbeiterInnen dazu bei­tra­gen kön­nen, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wah­ren. Hier betrifft es ins­be­son­de­re jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wir­ken und deren Eintrittswahrscheinlichkeit maß­geb­lich durch mensch­li­ches Handeln Ihrer Belegschaft beein­flusst wird.

Aber wir haben doch ein Informationssicherheitsmanagementsystem und schu­len doch unse­re Mitarbeiter regel­mä­ßig. Reicht das nicht?” wer­den Sie viel­leicht den­ken. Nun, es kommt dar­auf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.

Bemühen Sie doch ein­mal das PONS Wörterbuch. Sie wer­den sehen, dass das latei­ni­sche Wort “sen­sus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” mein­ten, wenn sie an “sen­sus” und viel­leicht auch Sensibilisierung dach­ten:

Denn sen­sus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar inne­re Anteilnahme.

Wenn Sie dem­nach MitarbeiterInnen im wahrs­ten Sinne des Wortes sen­si­bi­li­sie­ren möch­ten, dann müs­sen Sie es schaf­fen, deren inne­re Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nach­hal­tig posi­tiv zu beein­flus­sen, dass die Augen und Ohren sowie die inne­re Geisteshaltung Ihrer geschul­ten MitarbeiterInnen geeig­net und wil­lens sind, Informationssicherheitsereignisse zu erken­nen, bevor die­se zu Informationssicherheitsvorfällen wer­den.

Und genau dar­um geht es doch eigent­lich, oder?

Nun sagen Sie viel­leicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brau­che ich nicht für mein ISMS. Wir unter­wei­sen und ver­pflich­ten alle MitarbeiterInnen auf die bestehen­den Maßnahmen und Richtlinien. Und wenn sich alle dran hal­ten, dann sind wir com­pli­ant und damit safe. Wer sich nicht dran hält, fliegt raus”.

Kann man machen, ist aber Mist.

Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrun­de­lie­gen­den Risiken erkannt und ein­ge­stuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wis­sen, dass Sie nicht wis­sen, dass es sie gibt. Donald Rumsfeld nann­te die­se (wenn auch in einem ande­ren unschö­nen Kontext) die “unknown unknowns”.

Und Ihr ISMS ori­en­tiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (siche­ren) Umgang mit (schüt­zens­wer­ten) Informationen lie­fern. BSI-Grundschutz und ISO27xxx beinhal­ten sol­che Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.

Und genau hier dro­hen zwei laten­te Gefahren:

Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuch­te es ja im Sinne des PDCA-Zyklus auch kei­ne ste­te Verbesserung des sel­bi­gen.

Und zwei­tens wird es immer böse Menschen geben, die sol­che Regelsysteme und deren (Best-)Practices wie ihre Westentasche ken­nen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unter­flie­gen.

In einem sehr inter­es­san­ten Beitrag von 2013 fass­te Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diver­se Ursachen für das Scheitern von Organisationen zusam­men. Eine die­ser Formen cha­rak­te­ri­sier­te er als inten­diert und selbst­auf­er­legt. In die­se Kategorie las­sen sich aus Best-Practices ein­ord­nen. Organisationen schei­tern mit und wegen ihrer sich selbst auf­er­leg­ten Regelwerke.

Das klingt para­dox — und genau dar­um geht es in Ortmanns Artikel und in die­sem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auf­er­legt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien kei­ne Orientierung und/oder Anschlussfähigkeit mehr bie­ten. Sprich: für ein kon­kret ein­tre­ten­des “unknown unknown” exis­tiert schlicht kei­ne Regel. Es feh­len Anweisungen, wie man sich nun zu ver­hal­ten habe. Dadurch wer­den Mitarbeiter im kon­kre­ten Fall auf­grund ihrer hohen antrai­nier­ten Regelaffinität hand­lungs­un­fä­hig. Das ist das Schlimmste, was im Falle aku­ter Gefährdung Ihrer Informationssicherheit pas­sie­ren kann.

Und zum ande­ren kön­nen trotz kon­se­quen­ter und kor­rek­ter Anwendung aller Regeln Bedrohungen dann nicht erkannt wer­den, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau ken­nen und sich durch ver­meint­lich regel­kon­for­mes Handeln in der Organisation trotz schäd­li­chen Verhaltens nicht zu erken­nen geben. Social Engineering öff­net ver­meint­lich gut ver­schlos­se­ne Türen mit mani­pu­la­ti­ven Techniken nahe­zu geräusch­los und Informationssicherheitsvorfälle gesche­hen unbe­merkt.

Hier wird der Bedarf an sen­si­bi­li­sier­ten MitarbeiterInnen deut­lich. Denn in bei­den Fällen hel­fen MitarbeiterInnen nicht, die ledig­lich geschult, unter­wie­sen und ver­pflich­tet wur­den.

Sie brau­chen in bei­den Fällen sen­si­bi­li­sier­te MitarbeiterInnen. Denn in bei­den Fällen braucht Ihre Organisation wach­sa­me Augen und Ohren, die durch inne­re Anteilnahme intrinsisch moti­viert Auffälligkeiten und Anomalien erken­nen und kom­mu­ni­zie­ren. Und Sie brau­chen eine Belegschaft, die im Falle von “unknown unknowns” beson­nen (das Wort steckt übri­gens auch in “sen­sus”) agiert und sich bei Fehlen kon­kre­ter Handlungsanweisungen und Regeln “sinn­ge­mäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) ver­hält.

Sensibilisierung ist also etwas ande­res als eine Schulung. Das BSI und die ISO27xxx for­dern bei­des. Schulung und Sensibilisierung. Das hat sei­nen Sinn und ist gut so. Vielleicht wis­sen BSI und ISO ja auch um die­se orga­ni­sa­tio­na­le Schwachstelle von Best-Practices.

Möchten Sie mehr über unse­re didak­ti­schen Konzepte zur nach­hal­ti­gen Sensibilisierung von MitarbeiterInnen erfah­ren? Dann kommen Sie auf uns zu. Wir stel­len Ihnen unse­ren Ansatz gern im per­sön­li­chen Gespräch vor.

Social Engineering: Die unterschätzte Gefahr

Der Zugriff auf sen­si­ble, schüt­zens­wer­te und für das Unternehmen ele­men­tar über­le­bens­wich­ti­ge (“intel­lec­tu­al pro­per­ty”) Daten will kon­trol­liert, gesteu­ert und geschützt sein, um den Bestand der Unternehmung nicht zu gefähr­den. Kommerzielle Schäden (Umsatzrückgang auf­grund Vertrauensverlust der Kunden, Strafzahlungen gemäß EU-DSGVO) und Reputationsverlust sind da noch das gerin­ge­re Übel, wenn sol­che Daten “abhan­den kom­men”. Vielmehr kann geziel­te Industriespionage die Alleinstellungsmerkmale der Unternehmung zum Ziel haben und damit grund­le­gend den Fortbestand des Unternehmens gefähr­den, wenn intel­le­cu­tal pro­per­ty zum Mitbewerb wan­dert.

Unternehmen fokus­sie­ren daher auf IT-Sicherheit und geben gemäß einer Studie von Statista allein in Deutschland in 2019 voraussichtlich rund 1,4 Milliarden Euro aus.

Das senkt die Wahrscheinlichkeit des tech­ni­schen Einbruchsversuchs, denn wie im wirk­li­chen Leben auch zie­hen Einbrecher lie­ber wei­ter zum nächs­ten Haus, wenn die Eingangstür im Vergleich zum Nachbarhaus gut gesi­chert ist.

Vergessen wird jedoch gern, dass tech­ni­sche Zugänge ja nicht der ein­zi­ge Weg sind, auf die­se schüt­zens­wer­ten Daten zuzu­grei­fen. Denn wenn Ihr Unternehmen nicht zufäl­li­ges und belie­bi­ges Ziel einer Diebesbande ist, son­dern Ihre Daten ganz kon­kre­tes Ziel geplan­ter Angriffe sind, weil bspw. Industriespionage im Vordergrund steht, wer­den Angreifer nicht locker las­sen, um an Ihre infor­ma­tio­nel­len Kronjuwelen zu gelan­gen. Sie wer­den ande­re Angriffswege wäh­len, wenn Hacker tech­nisch nicht wei­ter­kom­men und an den tech­ni­schen Sicherheitsmaßnahmen Ihrer Organisation schei­tern.

Angriffssziel wer­den dann die MitarbeiterInnen Ihrer Organisation, die durch geziel­te und geschick­te Manipulation dazu bewegt wer­den, Daten her­aus­zu­ge­ben, Credentials preis­zu­ge­ben oder Angreifern Türen auf­zu­ma­chen, die durch Technik bis­her gut gesi­chert und ver­schlos­sen waren.

Social Engineering und Sabotage sind laut der Allianz für Cybersicherheit des BSI zwei der zehn bedeut­sams­ten Sicherheitsbedrohungen in 2019. Die Aufmerksamkeit für die­ses Thema beim Aufbau eines ganz­heit­li­chen Ansatzes zum Schutze die­ser sen­si­blen Unternehmensdaten ist jedoch aus unse­rer Erfahrung immer noch viel zu gering.

Wir freu­en uns, dass die Deutsche Oracle Anwendergruppe (DOAG) uns als Speaker ein­ge­la­den hat und wir auf der DOAG Konferenz 2019 in Nürnberg über die­ses wich­ti­ge Thema der Informationssicherheit spre­chen dür­fen. Mit über 2.000 TeilnehmerInnen ist die DOAG Konferenz die füh­ren­de ORACLE Fachkonferenz, auf der das Thema tech­ni­scher Sicherheit von Daten(banken) in den letz­ten Jahren aus genann­ten Gründen zuneh­mend an Bedeutung gewon­nen hat.

Wenn Strafverfolger zu Hackern werden

Die in Tel Aviv ansäs­si­ge Firma Cellbrite forscht und spe­zia­li­siert sich seit 2007 im Bereich der digi­ta­len Forensik für Smartphones und Mobilgeräte. Sie nimmt damit teil an dem Wettrennen zwi­schen Smartphoneherstellern, die ihre Geräte mit immer effek­ti­ve­ren Sicherheitsmechanismen aus­stat­ten und Unternehmen, die Sicherheitslücken in die­sen Geräten fin­den und mone­ta­ri­sie­ren wol­len.

Der Kundenkreis ist exklu­siv und wahr­schein­lich lukra­tiv: Strafverfolger und Ermittlungsbehörden.

Weiterlesen

Heartbleed ganz anders — wenn Cybercrime zur Herzenssache wird

Scamming. Kennen Sie nicht? Das Wort “scam” meint im Englischen soviel wie “Betrug”, “Masche” oder “Schwindel”. Scamming im Kontext von Cybercrime bedeu­tet dabei kon­kret, Menschen (häu­fig über das Vorgaukeln von Liebe und Hoffnung auf eine gemein­sa­me Zukunft in Zweisamkeit) dazu zu bewe­gen, viel Geld an das ver­meint­li­che Herzblatt zu über­wei­sen. Leider stellt sich für die geprell­ten Opfer irgend­wann her­aus, dass Herzblatt und Geld weg sind — für immer. Es gibt hier­zu im Internet zahl­rei­che Dokumentationen, die die Muster ein­drucks­voll erklä­ren. Wir haben hier exem­pla­risch mal eine für Sie aus­ge­sucht.

Kann mir nie pas­sie­ren!” sagen Sie? Vielleicht haben Sie Recht. Vielleicht nicht. Denn die Taktiken, mit denen Scamming funk­tio­niert sind die sel­ben, wie sie auch (sehr erfolg­reich) im Social Engineering Anwendung fin­den. Die Betrüger appel­lie­ren an Neugier (Sehnsucht nach einer Beziehung), Hilfsbereitschaft, Leichtgläubigkeit, Angst (allein zu sein), spen­den Lob und Anerkennung (Aussehen, Art) und wecken damit Emotionen des Opfers. Man(n) / Frau ist ver­liebt. Liebe macht blind. Hängt das Opfer an der Angel, wird nicht sel­ten Druck auf­ge­baut. Alles typi­sche Triggerpunkte, die im Scamming zur Anwendung kom­men und bewusst “gedrückt” wer­den, damit sich das Opfer wie gewünscht ver­hält. Meist dau­ert die­ser Vertrauensaufbau lang und wird bewusst geschickt Schritt für Schritt inten­si­viert, bis dann das Opfer ver­liebt, die Zeit reif und das Bankkonto leer ist.

Nun wer­den Sie sagen — was hat das mit Informationssicherheit mei­ner Organisation zu tun? Vielleicht nichts. Vielleicht (?) noch nichts. Denn es ist sicher nur eine Frage der Zeit, dass Scamming-Attacken auch dazu genutzt wer­den, Wirtschaftsspionage in Unternehmen zu betrei­ben. Man zielt dann viel­leicht nicht mehr auf das Geld der eigent­li­chen Zielperson.

Wir glau­ben, es wird nur eine Frage der Zeit sein, bis mit Scamming ganz gezielt Herzen von Personen an Schlüsselpositionen des Unternehmens gewon­nen wer­den. Personen, die Zugriff auf die wert­volls­ten Informationen des Unternehmens haben und mit Scamming dazu bewegt wer­den, am Arbeitsplatz Dinge zu tun, um die der Angreifer sie “bit­tet”.  Zielpersonen kön­nen pri­vi­le­gier­te Personen mit beson­de­ren Rechten wie bspw. die Assistenz des Vorstands oder der Leitung Forschung & Entwicklung sein. Hier sind die Regeln der IT-Security zu Gunsten erfor­der­li­cher Flexibilität am Arbeitsplatz meist nicht so streng. Und man ist ja tech­nisch meist sehr gut und umfang­reich gegen Angriffe “von drau­ßen” geschützt.

Komplett unge­schützt ist man aber vor dem Gefallen, der aus Liebe gemacht wird: “Schatz, du wür­dest mir einen gro­ßen Gefallen tun, wenn du für mich was in Deiner Firma aus­druckst. Ich habe hier kein aktu­ell Internet. Daher schi­cke ich Dir mei­nen USB-Stick per Post. Wäre lieb, wenn du den auf dem Stick gespei­cher­ten Vertrag dru­cken könn­test. Es ist sehr wich­tig für mich.”  Und schon ist der Trojaner in Ihrem Netz …

Wenn Sie dem vor­beu­gen und die Prinzipien und Wirkungsweisen von Social Engineering ver­ste­hen möch­ten, bie­ten wir hier­zu einen entsprechenden Workshop für Ihre Organisation.

GPM @ SECUTAIN: Awareness verstehen — Awareness aufbauen

Unter dem Titel

Awareness ver­ste­hen – Awareness auf­bau­en: Konzepte orga­ni­sa­tio­na­ler Kommunikation als Basis für effi­zi­en­tes Projektmanagement im Kontext regu­la­to­ri­scher Anforderungen

hal­ten wir am 18.06.2019 noch­mals jenen Vortrag, den wir im Oktober 2018 bereits auf dem größ­ten euro­päi­schen Projektmanagement-Kongress, dem “Internationalen PM-Forum” hal­ten durf­ten.

Hier geht es somit um die span­nen­de Frage, wel­che grund­le­gen­den Aspekte ProjektmanagerInnen beach­ten müs­sen, um nach­hal­tig an der Achtsamkeit der Belegschaft im Umgang mit schüt­zens­wer­ten Informationen zu wir­ken. Ein Thema, das nicht nur vor dem Hintergrund der EU-DSGVO immer bedeut­sa­mer wird. Gerade bei Projekten im Bereich Forschung und Entwicklung oder bei Projekten im Kontext regu­la­to­ri­scher Anforderungen ein zuneh­mend hoch­re­le­van­tes Thema.

Wir unter­stüt­zen mit unse­rem Beitrag die regio­na­le Arbeit der Deutschen Gesellschaft für Projektmanagement (GPM). Die Veranstaltung ist aber auch für Nicht-Mitglieder der GPM offen.

Ihre Anmeldung neh­men bit­te über die Website der GPM vor.

IT-Security-Wimmelbild

Der Künstler Christoph Hoppenbrock ist bekannt für sei­ne iso­me­tri­schen Wimmelbilder, auf denen es jedes­mal hun­der­te Sachen zu ent­de­cken gibt. Unlängst ver­öf­fent­lich­te er eine Illustration zum Thema Finanzdienstleister und IT-Security auf seinem Twitteraccount. Eine gelun­ge­ne gra­fi­sche Auseinandersetzung mit dem Thema, die das Awareness-Herz höher schla­gen lässt. Mit ent­spre­chen­dem Vorwissen kann man vie­le net­te Details ent­de­cken, die viel­leicht nur IT-Security-Fachleuten auf­fal­len. Nehmen wir bei­spiels­wei­se die Laufbahn mit den Hürden “Plan, Do, Check und Act”, das SIEM, den Virenangriff oder diver­se Verletzungen von Vertraulichkeit und Integrität.

Nur zwei Dinge sind unrea­lis­tisch: Erstens: Wo gibt es denn heu­te noch Paternoster? Und zwei­tens: Unten rechts ist eine Awareness-Schulung zu sehen, wel­che die Teilnehmer ein­schla­fen lässt. Diese Zeiten sind doch seit SECUTAIN end­gül­tig vor­bei. :)

Ist VPN jetzt auch böse? Der Fall Facebook Research

Einige von Ihnen wer­den in den letz­ten Wochen sicher­lich die Nachrichtenlage um Facebook mit­be­kom­men haben. Im Zentrum stand die App “Facebook Research”. Dabei han­delt es sich um ein VPN-Angebot von Facebook, das dem Konzern einen weit­rei­chen­den Zugriff auf die Smartphones der Benutzer gege­ben hat. So konn­te Facebook pri­va­te Nachrichten in sozia­len Netzwerken und Messenger-Apps mit­le­sen — genau­so wie Fotos und Videos der Nutzer ein­se­hen, E‑Mails, Websuchen und Browseraktivitäten pro­to­kol­lie­ren sowie den aktu­el­len Standort der Geräte aus­le­sen.

Jetzt könn­ten Sie sagen: Halt, Momentchen mal, stopp! Seit Ewigkeiten erzäh­len Sie uns, dass VPN die bes­te Möglichkeit ist, sicher im Netz unter­wegs zu sein!? Und jetzt ist es so gefähr­lich!?!?

In der Tat ist VPN eine Technologie, mit der es mög­lich ist, den eige­nen Internetverkehr vor dem Einblick und der Manipulation durch Dritte zu schüt­zen. Das bleibt auch wei­ter­hin so. Wichtig ist jedoch, dass der Anbieter des VPN-Dienstes Ihre Daten nicht mit­pro­to­kol­liert, Ihre Privatsphäre respek­tiert, ver­trau­ens­wür­dig ist und einen hohen Sicherheitsstandard auf­weist.

Wie bei allem, was Sie im Internet tun, gilt auch hier der alte Grundsatz, den wir seit Jahren wie­der­ho­len: Wenn Sie nicht bezah­len, sind Sie das Produkt!

Seien Sie also mehr als skep­tisch, wenn Ihnen ein VPN-Produkt kos­ten­los ange­bo­ten wird. Im Falle von “Facebook Research” war das Produkt nicht nur kos­ten­los — die Benutzer wur­den sogar für die Nutzung bezahlt. Einkaufsgutscheine bis zu 20 Dollar im Monat wink­ten den Nutzern. Spätestens hier müs­sen bei Ihnen sämt­li­che Alarmglocken läu­ten. Finger weg!

Investieren Sie lie­ber weni­ge Euro pro Monat in einen siche­ren VPN-Anbieter oder schau­en Sie, wel­cher seriö­se Anbieter von Sicherheitssoftware ein Bundle anbie­tet, in dem ein VPN-Dienst bereits ent­hal­ten ist. Beispielsweise hat heise einmal eine Liste von diversen Anbietern zusammengestellt.

Wenn man in allem — aber auch wirk­lich allem — etwas Gutes sehen will, kann man die­sem Fall abge­win­nen, dass Facebook hier end­lich ein­mal die Nutzer bezahlt hat, die ihre Daten für Profilbildungen und Monetarisierung zur Verfügung stel­len. Ein bit­te­rer Lohn für einen der­art star­ken Eingriff in die Privatsphäre.

Das Fazit lau­tet also: Marktmechanismen im Internet machen auch vor VPN nicht Halt. VPN ist wei­ter­hin ein gutes Instrument für mehr Sicherheit im Netz. Nutzen Sie einen ver­trau­ens­wür­di­gen und daten­schüt­zen­den VPN-Dienst.

Facebook ist dies nicht.

Ist Schalke 04 schon Meister?

Dass schwa­che Passwörter nach wie vor der Grund für vie­le Datenlecks und Sicherheitsereignisse sind, ist genau­so bekannt wie unvor­stell­bar. Leute, wir haben 2019!!!1! Langsam müss­te bekannt sein, wie mit Passwörtern umzu­ge­hen ist. Auch der aktu­el­le “Bundeshack” wäre mit ver­nünf­ti­gen Passwortmanagement und star­ken Passwörtern nur halb so groß gewor­den.

So zei­gen aber jedes Jahr die Hitlisten der schlech­ten Passwörter, dass vie­le Menschen immer noch die Bequemlichkeit über die Sicherheit stel­len — mit zum Teil ver­hee­ren­den Konsequenzen für ihre Daten, ihre per­sön­li­chen Freiheiten oder den Arbeitgeber. Beliebte Passwörter sind immer noch “123456” oder “pass­word”. Aber wo kom­men eigent­lich die­se Passwort-Charts her? Die Leute wer­den ja nicht ein­fach auf der Straße ihre Passwörter nen­nen! Obwohl:

Es gibt eine viel bes­se­re Quelle für Passwörter als Straßenumfragen. Die Daten für die Passwortcharts ent­stam­men gro­ßen Datenleaks, in denen Millionen Passwörter unab­sicht­lich offen­bart wur­den. Diese Listen sind die Grundlage für so groß­ar­ti­ge Dienste wie Have I Been Pwned, bei dem jeder ein­zel­ne ein­mal über­prü­fen kann, ob die Passwörter zu sei­nen Konten bereits ande­ren bekannt sind. Die Experten von AWARE7 haben sich eben­falls ein­mal die­se Listen vor­ge­nom­men und 5,5 Milliarden Passwörter dar­auf­hin über­prüft, inwie­fern sich deut­sche Fußball-Bundesligisten dort wie­der­fin­den, um auf der Basis eine inof­fi­zi­el­le Bundesligatabelle zu erstel­len.

Demnach wür­de der FC Schalke 04 Deutscher Meister wer­den, da sein Name über 50.000 mal in Passwörtern ver­wen­det wird. Auf den Champions League-Plätzen fol­gen Hertha BSC, Borussia Dortmund und Hannover 96. International wären auch noch Bayern München auf Platz 5 und der VfB Stuttgart auf Platz 6 unter­wegs. Abgestiegen wären Hoffenheim und Nürnberg. In der Relegation müss­te Wolfsburg zit­tern. Die aus­führ­li­che Tabelle mit allen Zahlen fin­den Sie bei AWARE7.

Warum sind Fußballclubs eigent­lich schlech­te Passworte?

Zum einen spricht der häu­fi­ge Gebrauch gegen die Verwendung von Fußballvereinen als Passwort. Zum Zweiten besteht ein Personenbezug, wenn man sei­nen Herzensverein als Passwort wählt. So erfüllt zwar das Passwort “Hannover-96” die Komplexitätskriterien vie­ler Internetdienste — Angreifer hät­ten bei Hannover-Fans dann aber ein leich­tes Spiel. Sollte man also den Erzrivalen als Passwort neh­men? Auch das ist kei­ne gute Idee, da Angreifer auch auf die Idee kom­men könn­ten, das ein­mal aus­zu­pro­bie­ren. Außerdem wür­de das Eintippen des Erzrivalen jedem ech­ten Fußballfan kör­per­li­che Schmerzen berei­ten, was nicht gera­de dazu bei­trägt, Passwörter in ein sym­pa­thi­sche­res Licht zu rücken. Stattdessen erläu­tern wir Ihnen Strategien für siche­re Passworte in unserem Online-Kurs SECUTAIN essentials.

Was jeder aus dem Bundeshack lernen kann

Seit Tagen bestimmt der soge­nann­te Bundeshack die Nachrichten. Ein 20-Jähriger hat anschei­nend über Jahre hin­weg Daten aus der Privatsphäre von Politikern, Journalisten und Prominenten gesam­melt, indem er in pri­va­te Internetkonten ein­brach. Diese ver­öf­fent­lich­te er nach und nach im Rahmen eines Adventskalenders auf Twitter. Daher ist Bundeshack ein recht unglück­lich gewähl­ter Name, da er den Angriff auf Institutionen des Bundes sug­ge­riert — aber genau das Gegenteil ist der Fall. Attackiert wur­den pri­va­te Konten. Was ler­nen wir aus die­sem Vorfall und was soll­ten Sie als Organisation jetzt tun?

Wir sind nicht nur für den Schutz unse­rer Daten ver­ant­wort­lich, son­dern auch für die Daten ande­rer.

Der Bundeshack zeigt sehr anschau­lich, dass das Eindringen in die Konten von etwa 50 Personen aus­reicht, um pri­va­te Informationen von etwa 1.000 Personen zu erlan­gen. Darunter befin­den sich haupt­säch­lich Kontaktdaten aber auch Chatverläufe, pri­va­te Fotos oder Ausweiskopien. Denken Sie ein­mal an die Informationen, die Sie von ande­ren zuge­sandt bekom­men: Fotos, ver­trau­li­che E‑Mails, Instant Messaging-Nachrichten, Firmeninformationen etc. Wir tra­gen also nicht nur die Verantwortung für den Schutz unse­rer Daten, son­dern auch für den Schutz der Daten ande­rer.

Informationssicherheit fängt bei jedem selbst an

Es ver­dich­tet sich mehr und mehr die Nachrichtenlage, dass ein Großteil der Informationen nur erbeu­tet wer­den konn­te, weil ein­zel­ne Personen eini­ge grund­le­gen­de Regeln, wie IT-Sicherheit im pri­va­ten Umfeld her­zu­stel­len ist, nicht beach­te­ten. Das wären bei­spiels­wei­se:

  • der zu nach­läs­si­ge Umgang mit zu schwa­chen Passwörtern: Insbesondere ein­fach zu erra­ten­de Passwörter und das mehr­fa­che Verwenden des glei­chen Passworts bei unter­schied­li­chen Diensten ist ein gro­ßes Risiko.
  • der Verzicht auf 2‑Faktor-Authentifizierung: Die Gründe lie­gen hier in dem häu­fig noch nicht vor­han­de­nen Wissen über die­se Möglichkeit und die Angst vor dem Komfortverlust bei der Anwendung.
  • zu wenig Sensibilität für Phishing: Webseiten, die vor­ge­ben ande­re Webseiten zu sein, um Zugangsdaten zu sam­meln, kön­nen meist schon mit eini­gen ein­fa­chen Dingen als fake ent­larvt wer­den.
  • unsi­che­res Surfen: Der Verzicht auf eine siche­re Datenübertragung beim Surfen kann dazu füh­ren, dass sen­si­ble Daten von Dritten mit­ge­le­sen wer­den kön­nen.

Bei der Beachtung die­ser Punkte wür­de ein Großteil aktu­el­ler Cyberangriffe nicht erfolg­reich durch­ge­führt wer­den kön­nen — also ein­fa­che Regeln und etwas mehr Achtsamkeit für das Thema brin­gen bereits einen erheb­li­chen Sicherheitsgewinn. Damit die Beschäftigten Ihrer Firma die­se Regeln ken­nen­ler­nen und mehr Achtsamkeit ent­wi­ckeln kön­nen, so dass Angriffen weni­ger Erfolgschancen ein­ge­räumt wer­den, soll­ten Sie Ihre Beschäftigten jetzt sen­si­bi­li­sie­ren. Warum jetzt? Aktuell haben Sie eine gro­ße Aufmerksamkeit auf die­ses Thema, weil die media­le Präsenz dazu führt, dass Menschen sich inten­si­ver für die­ses Thema inter­es­sie­ren. Nutzen Sie die­ses Zeitfenster! Wir haben daher ein Angebot für Sie vor­be­rei­tet — gewis­ser­ma­ßen eine Bundeshack-Präventivmaßnahme:

30 Minuten E‑Learning, die Ihr Sicherheitsniveau sofort anhe­ben

Wir haben die grund­le­gen­den Regeln für den siche­ren Umgang mit Informationen in dem E‑Learning ‘SECUTAIN essen­ti­als’ für Ihre Organisation ein­mal zusam­men­ge­stellt — unter­halt­sam, ver­ständ­lich, nach­voll­zieh­bar und kurz­wei­lig — inkl. Nachweis, dass Sie Ihre Beschäftigten für die­ses Thema unter­wie­sen haben. SECUTAIN essen­ti­als fin­den Sie in unserem Shop und ist inner­halb weni­ger Stunden für Ihre gesam­te Organisation ein­satz­be­reit.