Beiträge über Informationssicherheitsthemen.

Homeoffice: Wenn auf einmal alles anders ist, die Regeln aber bleiben.

/in , /von

Corona verlangt nach Handeln.

SARS-CoV‑2  (“Corona”) und die damit ver­bun­de­ne Erkrankung COVID-19 füh­ren die Welt, unser Land und unse­ren Alltag gera­de mas­siv in für die meis­ten Menschen kom­plett unge­wohn­te Situationen. Täglich ver­schärft sich die Lage, nahe­zu stünd­lich wer­den von öffent­li­cher Stelle neue Maßnahmen  kom­mu­ni­ziert, die uns alle betref­fen und die alle­samt kon­se­quent ein wich­ti­ges Ziel ver­fol­gen — die Ausbreitungsgeschwindigkeit mög­lichst klein zu hal­ten. Wir tun dies, um Zeit zu gewin­nen, bis ein Gegenmittel gefun­den wird und um in der Zwischenzeit unser Gesundheitssystem hand­lungs­fä­hig zu hal­ten.

Firmen, öffent­li­che Einrichtungen, Organisationen und Vereine reagie­ren auf die­se Maßnahmen. Zum einen, um die genann­ten Ziele zu unter­stüt­zen und gesell­schaft­lich dazu bei­zu­tra­gen, die Ausbreitung zu ver­lang­sa­men. Zum ande­ren natür­lich auch, um die eige­ne Leistungsfähigkeit auf­recht zu erhal­ten. Mitarbeiter_innen sol­len sich unter­ein­an­der nicht anste­cken, um den gleich­zei­ti­gen Ausfall wich­ti­ger Bereiche oder Knowhow-Träger zu ver­mei­den, um Kundenzusagen ein­hal­ten zu kön­nen und den Betrieb nicht zum Erliegen zu brin­gen. Die der­zeit über­all als Lösungsidee kom­mu­ni­zier­te Vorgehensweise ist in die­sem Fall das Home-Office.

Allgemeine Herausforderungen werden durch Corona verstärkt.

Die Arbeit im Home-Office ist nicht unum­strit­ten. Viele Firmen ver­hal­ten sich daher zöger­lich. Führung wird vie­ler­orts noch syn­onym mit Anwesenheit gesetzt. Und Firmen wie Hewlett Packard sind hier sogar zurück­ge­ru­dert und haben das Home-Office als Arbeitsform wie­der abge­wählt. Denn sowohl Themen des Arbeitsschutzes und der Arbeitssicherheit, aber auch Themen wie sozia­le Isolation und feh­len­de per­sön­li­che Kommunikation sind ech­te Herausforderungen, auf die es pro­fes­sio­nel­le Antworten braucht. Nicht jede Organisation ist hier­für auf­ge­stellt.

Aber in Ausnahmesituationen wie einer Pandemie durch Corona gera­ten die­se Probleme in den Hintergrund und wer­den zweit­ran­gig. Der Handlungsdruck steigt mas­siv und Organisationen, die hier ggf. noch nicht so erfah­ren sind, müs­sen in die­sen Modus wech­seln. Und auch Firmen, die hier für aus­ge­wähl­te Bereiche bereits Home-Office in Ausnahmefällen tage­wei­se erlaubt hat­ten, müs­sen nun kom­plett in die­sen Modus wech­seln und vie­le Mitarbeiter_innen für lan­ge Zeit in die­se bis­her unge­wohn­te Form der Arbeitsorganisation schi­cken.

Ergebnis kann sein, dass eine Vielzahl hier uner­fah­re­ner Mitarbeiter_Innen nun für eine lan­ge Zeit in einer für sie unge­wohn­ten Arbeitsform zurecht kom­men müs­sen und sich hier nun ein gutes Stück allein orga­ni­sie­ren müs­sen, um den Job wei­ter­hin best­mög­lich machen zu kön­nen. Hinzu kommt, dass alle Menschen in Deutschland der­zeit ver­un­si­chert sind, was als nächs­tes kommt, wie es wei­ter geht und was das für die eige­ne Familie und die eige­ne Existenz bedeu­tet.

Welche Gefahr besteht dann? Aufgrund all­ge­mei­ner Verunsicherung und Angst, auf­grund feh­len­der orga­ni­sa­tio­na­ler Regelungen oder auf­grund feh­len­der Arbeitsmittel und Arbeitsprozesse für eine Arbeit im Home-Office kön­nen ein­mal erlern­te Regeln und Verhaltensweisen der Verarbeitung betrieb­li­cher Informationen ver­ges­sen oder igno­riert wer­den. Im schlimms­ten Fall tre­ten die­se drei Umstände (Verunsicherung, feh­len­de Regelungen, feh­len­de Arbeitsmittel) gleich­zei­tig auf und poten­zie­ren sich so. Das gefähr­det Informationssicherheit.

Schutz von Personen und Informationen.

So wich­tig der gesund­heit­li­che Schutz des Individuums und der Gesellschaft nun auch ist, so erlau­ben uns die aktu­el­len Maßnahmen rund um Corona nicht, in Bezug auf Informationssicherheit die drei gleich­be­rech­tig­ten Schutzziele aus den Augen zu ver­lie­ren.

Denn gera­de jetzt die­nen vie­le Maßnahmen rund um Corona dem Schutzziel der Verfügbarkeit infor­ma­tio­nel­ler Werte. Daten spie­len im betrieb­li­chen Wertschöpfungsprozeß eine zen­tra­le Rolle. So para­dox das nun hier klin­gen mag. Die Entsendung von Mitarbeiter_innen ins Home-Office ver­folgt am Ende genau die­ses Ziel:  der Informationsfluss darf trotz Pandemie nicht zum Erliegen kom­men. Daten müs­sen wei­ter ver­ar­bei­tet wer­den und Wertschöpfung (auch in Daten) muss wei­ter­hin erfol­gen, auch (und erst Recht) wenn Mitarbeiter_innen bspw. vor­sorg­lich in häus­li­cher Quarantäne, aber den­noch gesund und arbeits­fä­hig sind.  Daten blei­ben ver­füg­bar und wer­den wei­ter­hin in Unternehmensbereich A gene­riert, ver­edelt, bereit­ge­stellt, damit Bereich B und C damit (weiter)arbeiten kön­nen und ihrer­seits neue Daten gene­rie­ren, die ver­füg­bar sein müs­sen, damit D und E arbeits­fä­hig blei­ben. Auch, wenn A, B, C, D und E ggf. über Monate im Home-Office sind.

Wenn nun aber im Home-Office Mitarbeiter_innen sich in unge­wohn­ter Umgebung wie­der­fin­den, sich erst­ma­lig in die­ser Umgebung nun für einen län­ge­ren Zeitraum ein­rich­ten müs­sen, dar­über hin­aus Anweisungen und Regelungen feh­len und dazu noch die per­ma­nen­te Verunsicherung bzgl. der gesell­schaft­li­chen Gesamtsituation zunimmt, dann birgt das zwei Gefahren.

Zum einen kön­nen ein­mal erlern­te Verhaltensweisen in Bezug auf Informationssicherheit schlicht in der all­ge­mei­nen Anspannung ver­ges­sen wer­den. Menschen befin­den sich in die­ser Krise in einer Ausnahmesituation. Rationalität ist da nicht mehr zu jedem Zeitpunkt selbst­ver­ständ­lich. Hier hilft es, die Belegschaft jetzt durch geeig­ne­te Maßnahmen an die ande­ren bei­den Schutzziele in Bezug auf Informationssicherheit zu erin­nern. Das Ziel muss hier sein, die Awareness für Informationssicherheit hoch zu hal­ten.

Zum ande­ren soll­ten vor allem Firmen, die hier in Bezug auf Home-Office kom­plett oder in Teilen Neuland betre­ten, Ihre Belegschaft für Informationssicherheit im Home-Office sen­si­bi­li­sie­ren. Es reicht nicht aus, die Verfügbarkeit von Informationen durch Home-Office wie beschrie­ben auf­recht zu erhal­ten.  Die bei­den ande­ren Schutzziele, näm­lich die Vertraulichkeit von Informationen und die Integrität von Informationen müs­sen im Home-Office genau so beach­tet, gelebt und befolgt wer­den, wie es im “nor­ma­len” Unternehmensalltag der Fall ist. Corona ent­bin­det nie­man­den von gesetz­li­chen und/oder ver­trag­li­chen Verpflichtungen. Es muss aktiv ver­mie­den wer­den, dass Mitarbeiter_Innen jetzt anfan­gen, sich in WhatsApp-Gruppen zu orga­ni­sie­ren, Dienste wie DropBox zum Datenaustausch zu ver­wen­den,  Telefonate mit ver­trau­li­chen (bspw. Personaldaten, Kundendaten) in Anwesenheit von Familienmitgliedern im Klartext und nicht pseud­ony­mi­siert zu füh­ren oder ver­trau­li­che Dokumente offen her­um­lie­gen zu las­sen. Hier ist drin­gend ange­ra­ten, Mitarbeiter_Innen jetzt in die­ser Phase initi­al in Bezug auf die wesent­li­chen Grundlage der Informationssicherheit zu sen­si­bi­li­sie­ren, wenn dies noch nicht gesche­hen ist.

Wir hel­fen Ihnen gern bei die­ser Aufgabe. Unser Online-Kurs zu "Informationssicherheit im Homeoffice" berei­tet Ihre Beschäftigten opti­mal auf die­se Herausforderungen vor.

Und für alle Organisationen, die aktu­ell in die­ser epo­cha­len Krise der all­ge­mei­nen Daseinsfürsorge die­nen, ist die­ses Training kos­ten­frei. SECUTAIN unter­stützt damit aktiv die gemein­sa­me Anstrengung im Kampf gegen Corona und hilft kri­ti­schen Infrastrukturen (KRITIS) bei ihrer aktu­ell über­le­bens­wich­ti­gen Arbeit.

Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.

/in , , /von

Sensibilisierung — ein bedeu­tungs­vol­les Wort für eine im wahrs­ten Sinne des Wortes bedeut­sa­me Aufgabe. In die­sem Blog-Beitrag wer­den Sie ler­nen, war­um nur tat­säch­lich sen­si­bi­li­sier­te MitarbeiterInnen dazu bei­tra­gen kön­nen, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wah­ren. Hier betrifft es ins­be­son­de­re jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wir­ken und deren Eintrittswahrscheinlichkeit maß­geb­lich durch mensch­li­ches Handeln Ihrer Belegschaft beein­flusst wird.

Aber wir haben doch ein Informationssicherheitsmanagementsystem und schu­len doch unse­re Mitarbeiter regel­mä­ßig. Reicht das nicht?” wer­den Sie viel­leicht den­ken. Nun, es kommt dar­auf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.

Bemühen Sie doch ein­mal das PONS Wörterbuch. Sie wer­den sehen, dass das latei­ni­sche Wort “sen­sus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” mein­ten, wenn sie an “sen­sus” und viel­leicht auch Sensibilisierung dach­ten:

Denn sen­sus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar inne­re Anteilnahme.

Wenn Sie dem­nach MitarbeiterInnen im wahrs­ten Sinne des Wortes sen­si­bi­li­sie­ren möch­ten, dann müs­sen Sie es schaf­fen, deren inne­re Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nach­hal­tig posi­tiv zu beein­flus­sen, dass die Augen und Ohren sowie die inne­re Geisteshaltung Ihrer geschul­ten MitarbeiterInnen geeig­net und wil­lens sind, Informationssicherheitsereignisse zu erken­nen, bevor die­se zu Informationssicherheitsvorfällen wer­den.

Und genau dar­um geht es doch eigent­lich, oder?

Nun sagen Sie viel­leicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brau­che ich nicht für mein ISMS. Wir unter­wei­sen und ver­pflich­ten alle MitarbeiterInnen auf die bestehen­den Maßnahmen und Richtlinien. Und wenn sich alle dran hal­ten, dann sind wir com­pli­ant und damit safe. Wer sich nicht dran hält, fliegt raus”.

Kann man machen, ist aber Mist.

Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrun­de­lie­gen­den Risiken erkannt und ein­ge­stuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wis­sen, dass Sie nicht wis­sen, dass es sie gibt. Donald Rumsfeld nann­te die­se (wenn auch in einem ande­ren unschö­nen Kontext) die “unknown unknowns”.

Und Ihr ISMS ori­en­tiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (siche­ren) Umgang mit (schüt­zens­wer­ten) Informationen lie­fern. BSI-Grundschutz und ISO27xxx beinhal­ten sol­che Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.

Und genau hier dro­hen zwei laten­te Gefahren:

Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuch­te es ja im Sinne des PDCA-Zyklus auch kei­ne ste­te Verbesserung des sel­bi­gen.

Und zwei­tens wird es immer böse Menschen geben, die sol­che Regelsysteme und deren (Best-)Practices wie ihre Westentasche ken­nen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unter­flie­gen.

In einem sehr inter­es­san­ten Beitrag von 2013 fass­te Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diver­se Ursachen für das Scheitern von Organisationen zusam­men. Eine die­ser Formen cha­rak­te­ri­sier­te er als inten­diert und selbst­auf­er­legt. In die­se Kategorie las­sen sich aus Best-Practices ein­ord­nen. Organisationen schei­tern mit und wegen ihrer sich selbst auf­er­leg­ten Regelwerke.

Das klingt para­dox — und genau dar­um geht es in Ortmanns Artikel und in die­sem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auf­er­legt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien kei­ne Orientierung und/oder Anschlussfähigkeit mehr bie­ten. Sprich: für ein kon­kret ein­tre­ten­des “unknown unknown” exis­tiert schlicht kei­ne Regel. Es feh­len Anweisungen, wie man sich nun zu ver­hal­ten habe. Dadurch wer­den Mitarbeiter im kon­kre­ten Fall auf­grund ihrer hohen antrai­nier­ten Regelaffinität hand­lungs­un­fä­hig. Das ist das Schlimmste, was im Falle aku­ter Gefährdung Ihrer Informationssicherheit pas­sie­ren kann.

Und zum ande­ren kön­nen trotz kon­se­quen­ter und kor­rek­ter Anwendung aller Regeln Bedrohungen dann nicht erkannt wer­den, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau ken­nen und sich durch ver­meint­lich regel­kon­for­mes Handeln in der Organisation trotz schäd­li­chen Verhaltens nicht zu erken­nen geben. Social Engineering öff­net ver­meint­lich gut ver­schlos­se­ne Türen mit mani­pu­la­ti­ven Techniken nahe­zu geräusch­los und Informationssicherheitsvorfälle gesche­hen unbe­merkt.

Hier wird der Bedarf an sen­si­bi­li­sier­ten MitarbeiterInnen deut­lich. Denn in bei­den Fällen hel­fen MitarbeiterInnen nicht, die ledig­lich geschult, unter­wie­sen und ver­pflich­tet wur­den.

Sie brau­chen in bei­den Fällen sen­si­bi­li­sier­te MitarbeiterInnen. Denn in bei­den Fällen braucht Ihre Organisation wach­sa­me Augen und Ohren, die durch inne­re Anteilnahme intrinsisch moti­viert Auffälligkeiten und Anomalien erken­nen und kom­mu­ni­zie­ren. Und Sie brau­chen eine Belegschaft, die im Falle von “unknown unknowns” beson­nen (das Wort steckt übri­gens auch in “sen­sus”) agiert und sich bei Fehlen kon­kre­ter Handlungsanweisungen und Regeln “sinn­ge­mäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) ver­hält.

Sensibilisierung ist also etwas ande­res als eine Schulung. Das BSI und die ISO27xxx for­dern bei­des. Schulung und Sensibilisierung. Das hat sei­nen Sinn und ist gut so. Vielleicht wis­sen BSI und ISO ja auch um die­se orga­ni­sa­tio­na­le Schwachstelle von Best-Practices.

Möchten Sie mehr über unse­re didak­ti­schen Konzepte zur nach­hal­ti­gen Sensibilisierung von MitarbeiterInnen erfah­ren? Dann kommen Sie auf uns zu. Wir stel­len Ihnen unse­ren Ansatz gern im per­sön­li­chen Gespräch vor.

Alles hat ein Ende, nur die…

/in , , /von

… aber um die Wurst soll es hier gar nicht gehen. Sondern um das Ende all Ihrer elek­tro­ni­schen Speichergeräte. Also um Ihren Computer, Laptop, exter­ne Festplatten, Smartphones, USB-Sticks, … und ver­ges­sen Sie nicht Ihren Multifunktionsdrucker, Ihren Internetrouter und wahr­schein­lich sogar Ihren hei­mi­schen TV-Receiver: alles Geräte, die Informationen über Sie spei­chern, die Sie nicht mit anderen teilen möchten.

Elektronische Geräte gehö­ren natür­lich nicht in den Restmüll, son­dern wer­den von uns ordent­lich der Wiederverwertung zuge­führt. Da sie meist aber nicht defekt sind, son­dern gegen moder­ne­re Varianten aus­ge­tauscht wer­den, enden sie häu­fig nicht auf dem Wertstoffhof, son­dern auf ein­schlä­gi­gen Internetplattformen und war­ten dort auf neue Benutzer.

Kroll Ontrack und die Blancco Technology Group haben für eine Studie 159 Festplatten auf eBay erwor­ben, auch in Deutschland. Erschreckenderweise wur­de fest­ge­stellt, dass auf 42% Prozent der Geräte noch sen­si­ble Daten vor­han­den waren. 15 Prozent ent­hiel­ten sogar per­so­nen­be­zo­ge­ne Daten wie gescann­te Geburtsurkunden, Lebensläufe und Schulnoten. Aber nicht nur pri­va­te Informationen wur­den gefun­den, auch meh­re­re Gigabyte an Firmendaten konn­ten rekon­stru­iert wer­den. Die im Rahmen der Studie kon­tak­tier­ten Verkäufer gaben an, dass eigent­lich kei­ne Daten zurück­blei­ben soll­ten, da sie Methoden zur siche­ren Datenentsorgung ange­wandt hat­ten. Diese Methoden waren aber offen­sicht­lich unzu­rei­chend.

Der Anfang vom Ende…

… muss also eine ange­mes­se­ne Löschung oder Vernichtung sein. Dabei gibt es zwei Varianten:

Variante A: Sichere Entsorgung

Suchen Sie sich für die­se Variante ech­te Profis. Achten Sie dar­auf, dass die Vernichtung gemäß DIN 66399 vor­ge­nom­men wird und min­des­tens der Sicherheitsstufe 3 genügt. Sicherheitsstufe 3 bedeu­tet, dass die Reproduktion Ihrer Daten mit erheb­li­chem Aufwand ver­bun­den ist. Wenn Sie beson­ders sen­si­ble Daten auf Ihren Datenträgern spei­chern, wäh­len Sie bes­ser Sicherheitsstufe 4. Leider hat die­se Variante Ihren Preis.

Variante B: Verkauf oder einfache Entsorgung

Wenn Sie das Gerät ver­kau­fen wol­len, wägen Sie sorg­fäl­tig ab wel­che Informationen auf dem Gerät gespei­chert waren. Im Zweifelsfall ist es viel­leicht bes­ser, den PC ohne die Festplatte zu ver­kau­fen und die­se zu ver­nich­ten. Ansonsten sor­gen Sie unbe­dingt für die siche­re Löschung der Speichermedien.

Leider ist das, wie die Studie von Kroll Ontrack und Blancco gezeigt hat, gar nicht so ein­fach. Insbesondere moder­ne SSD Speicher auf Flash-Basis (dazu gehö­ren auch USB-Sticks) sind mit älte­ren Verfahren und mit den Boardmitteln der Betriebssysteme kaum rich­tig sicher zu löschen. Schauen Sie dar­um unbe­dingt auf den Herstellerseiten Ihrer Geräte und Speichermedien nach. Die meis­ten Hersteller bie­ten mitt­ler­wei­le spe­zi­el­le Tools für die siche­re Löschung an und stel­len aus­führ­li­che Anleitungen zur Verfügung. Als kos­ten­lo­se Open-Source Lösung für die Löschung von Daten kön­nen Sie z.B. auf „Darik’s Boot and Nuke (DBAN)“ (www.dban.org) zurück­grei­fen.

Planen Sie die ein­fa­che Entsorgung über einen Wertstoffhoff oder ande­ren Sammelbehälter, kön­nen Sie einen spä­te­ren Zugriff durch Dritte nicht aus­schlie­ßen und soll­ten sich auch hier unbe­dingt um die siche­re Löschung küm­mern. Wenn Sie die Speichermedien vor­her sel­ber zer­stö­ren möch­ten (viel­leicht auch weil sie defekt sind und eine siche­re Löschung nicht mehr mög­lich ist) sei­ne Sie unbe­dingt vor­sich­tig. Schützen Sie sich z.B. durch Schutzhandschuhe und eine Schutzbrille, vie­le der ver­wen­de­ten Materialien split­tern bei Gewaltanwendung. Verursachen Sie so viel Schaden wie mög­lich und füh­ren Sie die Reste der Wiederverwertung zu.

Fragen Sie bei Unklarheiten einen Spezialisten und wen­den Sie sich bei allen dienst­li­chen Geräten ver­trau­ens­voll an Ihre IT! Im Firmenkontext lohnt sich die Anschaffung spe­zi­el­ler Soft- oder sogar Hardware für die Löschung oder ein Vertrag mit einem spe­zia­li­sier­ten Entsorger. Der stellt auch ent­spre­chen­de Behälter für die siche­re Zwischenlagerung bis zur nächs­ten Abholung bereit.

Haben Sie das alles geklärt, kön­nen Sie sich ruhi­gen Gewissens den neu­en Geräten wid­men.

Ende gut: alles sicher.

Wenn Strafverfolger zu Hackern werden

/in , , /von

Die in Tel Aviv ansäs­si­ge Firma Cellbrite forscht und spe­zia­li­siert sich seit 2007 im Bereich der digi­ta­len Forensik für Smartphones und Mobilgeräte. Sie nimmt damit teil an dem Wettrennen zwi­schen Smartphoneherstellern, die ihre Geräte mit immer effek­ti­ve­ren Sicherheitsmechanismen aus­stat­ten und Unternehmen, die Sicherheitslücken in die­sen Geräten fin­den und mone­ta­ri­sie­ren wol­len.

Der Kundenkreis ist exklu­siv und wahr­schein­lich lukra­tiv: Strafverfolger und Ermittlungsbehörden.

Weiterlesen

Frühjahrsputz für Ihre Internet-Konten

/in , /von

Jedes mal, wenn irgend­wo Datenlecks ver­öf­fent­licht wer­den, den­ken Sie sich bestimmt: “Hoffentlich sind mei­ne Daten nicht dabei”. Richtig? Damit Ihre Daten kein Bestandteil die­ser Veröffentlichungen wer­den, ist es rat­sam, nur bei den Internetdiensten und Apps Konten zu haben, die Sie wirk­lich benut­zen. Aber klar — über die Jahre sam­meln sich bei uns allen Konten an, die wir heu­te nicht mehr benö­ti­gen. Konten, um ein­mal etwas zu tes­ten, ein Probeabo abzu­schlie­ßen, etwas nur für einen bestimm­ten Zeitraum zu nut­zen etc. Oder Konten, die wir ein­fach mal aus Neugier ange­legt haben. Da wir häu­fig die­se Konten nicht löschen, lie­gen unse­re Daten wei­ter­hin bei die­sen Anbietern — und sind somit poten­zi­el­len Risiken aus­ge­setzt: Passwörter, E‑Mail-Adressen, unse­re Aktivitäten viel­leicht sogar Zahlungsdaten.

Ein neu­er kos­ten­lo­ser Dienst unse­rer Partner von AWARE7 soll das Abhilfe schaf­fen: Cyberpflege.de.

Auf die­ser Webseite fin­den Sie Links zum Löschen Ihrer Accounts für deut­sche und inter­na­tio­nal stark fre­quen­tier­te Seiten. Klingt erst ein­mal nicht beson­ders spek­ta­ku­lär — ist aber unge­mein prak­tisch. Wer schon ein­mal pro­biert hat, sei­nen Zugang irgend­wo zu löschen, weiß, dass Löschfunktionen häu­fig sehr gut ver­steckt wer­den und im Gegensatz zur Registrierung sehr beschwer­lich sein kön­nen. Cyberpflege bringt Sie jedoch genau an den rich­ti­gen Ort. Außerdem erhal­ten Sie dar­über hin­aus eine Einschätzung, wie kom­pli­ziert der Löschvorgang wird und was Sie dazu tun müs­sen.

Heartbleed ganz anders — wenn Cybercrime zur Herzenssache wird

/in , /von

Scamming. Kennen Sie nicht? Das Wort “scam” meint im Englischen soviel wie “Betrug”, “Masche” oder “Schwindel”. Scamming im Kontext von Cybercrime bedeu­tet dabei kon­kret, Menschen (häu­fig über das Vorgaukeln von Liebe und Hoffnung auf eine gemein­sa­me Zukunft in Zweisamkeit) dazu zu bewe­gen, viel Geld an das ver­meint­li­che Herzblatt zu über­wei­sen. Leider stellt sich für die geprell­ten Opfer irgend­wann her­aus, dass Herzblatt und Geld weg sind — für immer. Es gibt hier­zu im Internet zahl­rei­che Dokumentationen, die die Muster ein­drucks­voll erklä­ren. Wir haben hier exem­pla­risch mal eine für Sie aus­ge­sucht.

Kann mir nie pas­sie­ren!” sagen Sie? Vielleicht haben Sie Recht. Vielleicht nicht. Denn die Taktiken, mit denen Scamming funk­tio­niert sind die sel­ben, wie sie auch (sehr erfolg­reich) im Social Engineering Anwendung fin­den. Die Betrüger appel­lie­ren an Neugier (Sehnsucht nach einer Beziehung), Hilfsbereitschaft, Leichtgläubigkeit, Angst (allein zu sein), spen­den Lob und Anerkennung (Aussehen, Art) und wecken damit Emotionen des Opfers. Man(n) / Frau ist ver­liebt. Liebe macht blind. Hängt das Opfer an der Angel, wird nicht sel­ten Druck auf­ge­baut. Alles typi­sche Triggerpunkte, die im Scamming zur Anwendung kom­men und bewusst “gedrückt” wer­den, damit sich das Opfer wie gewünscht ver­hält. Meist dau­ert die­ser Vertrauensaufbau lang und wird bewusst geschickt Schritt für Schritt inten­si­viert, bis dann das Opfer ver­liebt, die Zeit reif und das Bankkonto leer ist.

Nun wer­den Sie sagen — was hat das mit Informationssicherheit mei­ner Organisation zu tun? Vielleicht nichts. Vielleicht (?) noch nichts. Denn es ist sicher nur eine Frage der Zeit, dass Scamming-Attacken auch dazu genutzt wer­den, Wirtschaftsspionage in Unternehmen zu betrei­ben. Man zielt dann viel­leicht nicht mehr auf das Geld der eigent­li­chen Zielperson.

Wir glau­ben, es wird nur eine Frage der Zeit sein, bis mit Scamming ganz gezielt Herzen von Personen an Schlüsselpositionen des Unternehmens gewon­nen wer­den. Personen, die Zugriff auf die wert­volls­ten Informationen des Unternehmens haben und mit Scamming dazu bewegt wer­den, am Arbeitsplatz Dinge zu tun, um die der Angreifer sie “bit­tet”.  Zielpersonen kön­nen pri­vi­le­gier­te Personen mit beson­de­ren Rechten wie bspw. die Assistenz des Vorstands oder der Leitung Forschung & Entwicklung sein. Hier sind die Regeln der IT-Security zu Gunsten erfor­der­li­cher Flexibilität am Arbeitsplatz meist nicht so streng. Und man ist ja tech­nisch meist sehr gut und umfang­reich gegen Angriffe “von drau­ßen” geschützt.

Komplett unge­schützt ist man aber vor dem Gefallen, der aus Liebe gemacht wird: “Schatz, du wür­dest mir einen gro­ßen Gefallen tun, wenn du für mich was in Deiner Firma aus­druckst. Ich habe hier kein aktu­ell Internet. Daher schi­cke ich Dir mei­nen USB-Stick per Post. Wäre lieb, wenn du den auf dem Stick gespei­cher­ten Vertrag dru­cken könn­test. Es ist sehr wich­tig für mich.”  Und schon ist der Trojaner in Ihrem Netz …

Wenn Sie dem vor­beu­gen und die Prinzipien und Wirkungsweisen von Social Engineering ver­ste­hen möch­ten, bie­ten wir hier­zu einen entsprechenden Workshop für Ihre Organisation.

GPM @ SECUTAIN: Awareness verstehen — Awareness aufbauen

/in , , , /von

Unter dem Titel

Awareness ver­ste­hen – Awareness auf­bau­en: Konzepte orga­ni­sa­tio­na­ler Kommunikation als Basis für effi­zi­en­tes Projektmanagement im Kontext regu­la­to­ri­scher Anforderungen

hal­ten wir am 18.06.2019 noch­mals jenen Vortrag, den wir im Oktober 2018 bereits auf dem größ­ten euro­päi­schen Projektmanagement-Kongress, dem “Internationalen PM-Forum” hal­ten durf­ten.

Hier geht es somit um die span­nen­de Frage, wel­che grund­le­gen­den Aspekte ProjektmanagerInnen beach­ten müs­sen, um nach­hal­tig an der Achtsamkeit der Belegschaft im Umgang mit schüt­zens­wer­ten Informationen zu wir­ken. Ein Thema, das nicht nur vor dem Hintergrund der EU-DSGVO immer bedeut­sa­mer wird. Gerade bei Projekten im Bereich Forschung und Entwicklung oder bei Projekten im Kontext regu­la­to­ri­scher Anforderungen ein zuneh­mend hochr­e­le­van­tes Thema.

Wir unter­stüt­zen mit unse­rem Beitrag die regio­na­le Arbeit der Deutschen Gesellschaft für Projektmanagement (GPM). Die Veranstaltung ist aber auch für Nicht-Mitglieder der GPM offen.

Ihre Anmeldung neh­men bit­te über die Website der GPM vor.

Wir müssen reden

/in /von

Wir müs­sen reden.

Ich mache mir Sorgen um die Zukunft. Um Deine Zukunft.

Ich glau­be, wir soll­ten unse­re Beziehung been­den.

Ich mei­ne, wir hat­ten eine schö­ne Zeit. Du hast mich immer beschützt — all die Jahre. Du hast mich ruhig schla­fen las­sen. Wenn ich fort war, hast Du auf­ge­passt. Vielen Dank dafür.

Das wer­de ich Dir nie ver­ges­sen.

Und ich habe nie jeman­dem von Dir erzählt. Klar — das hat es auch etwas span­nend gemacht, alles immer geheim zu hal­ten. Aber wir wuss­ten bei­de, dass unse­re gemein­sa­me Zeit nicht ewig dau­ern wür­de. Und ich glau­be, die­ser Moment ist nun gekom­men. Eigentlich waren wir schon viel zu lan­ge zusam­men. Das wuss­ten wir bei­de.

Ich tren­ne mich von Dir.

Ab heu­te gehe ich mei­ner Wege. Und Dein Weg endet hier. Mach’s gut, ged­jg-44-mps11! Ich suche mir ein neu­es Passwort.

Fröhlichen “Ändere Dein Passwort”-Tag!

 

Und wie ein neu­es, star­kes Passwort aus­se­hen soll­te, erfah­ren Sie in unse­rem Awareness-Clip:

Ist Schalke 04 schon Meister?

/in , , , /von

Dass schwa­che Passwörter nach wie vor der Grund für vie­le Datenlecks und Sicherheitsereignisse sind, ist genau­so bekannt wie unvor­stell­bar. Leute, wir haben 2019!!!1! Langsam müss­te bekannt sein, wie mit Passwörtern umzu­ge­hen ist. Auch der aktu­el­le “Bundeshack” wäre mit ver­nünf­ti­gen Passwortmanagement und star­ken Passwörtern nur halb so groß gewor­den.

So zei­gen aber jedes Jahr die Hitlisten der schlech­ten Passwörter, dass vie­le Menschen immer noch die Bequemlichkeit über die Sicherheit stel­len — mit zum Teil ver­hee­ren­den Konsequenzen für ihre Daten, ihre per­sön­li­chen Freiheiten oder den Arbeitgeber. Beliebte Passwörter sind immer noch “123456” oder “pass­word”. Aber wo kom­men eigent­lich die­se Passwort-Charts her? Die Leute wer­den ja nicht ein­fach auf der Straße ihre Passwörter nen­nen! Obwohl:

Es gibt eine viel bes­se­re Quelle für Passwörter als Straßenumfragen. Die Daten für die Passwortcharts ent­stam­men gro­ßen Datenleaks, in denen Millionen Passwörter unab­sicht­lich offen­bart wur­den. Diese Listen sind die Grundlage für so groß­ar­ti­ge Dienste wie Have I Been Pwned, bei dem jeder ein­zel­ne ein­mal über­prü­fen kann, ob die Passwörter zu sei­nen Konten bereits ande­ren bekannt sind. Die Experten von AWARE7 haben sich eben­falls ein­mal die­se Listen vor­ge­nom­men und 5,5 Milliarden Passwörter dar­auf­hin über­prüft, inwie­fern sich deut­sche Fußball-Bundesligisten dort wie­der­fin­den, um auf der Basis eine inof­fi­zi­el­le Bundesligatabelle zu erstel­len.

Demnach wür­de der FC Schalke 04 Deutscher Meister wer­den, da sein Name über 50.000 mal in Passwörtern ver­wen­det wird. Auf den Champions League-Plätzen fol­gen Hertha BSC, Borussia Dortmund und Hannover 96. International wären auch noch Bayern München auf Platz 5 und der VfB Stuttgart auf Platz 6 unter­wegs. Abgestiegen wären Hoffenheim und Nürnberg. In der Relegation müss­te Wolfsburg zit­tern. Die aus­führ­li­che Tabelle mit allen Zahlen fin­den Sie bei AWARE7.

Warum sind Fußballclubs eigentlich schlechte Passworte?

Zum einen spricht der häu­fi­ge Gebrauch gegen die Verwendung von Fußballvereinen als Passwort. Zum Zweiten besteht ein Personenbezug, wenn man sei­nen Herzensverein als Passwort wählt. So erfüllt zwar das Passwort “Hannover-96” die Komplexitätskriterien vie­ler Internetdienste — Angreifer hät­ten bei Hannover-Fans dann aber ein leich­tes Spiel. Sollte man also den Erzrivalen als Passwort neh­men? Auch das ist kei­ne gute Idee, da Angreifer auch auf die Idee kom­men könn­ten, das ein­mal aus­zu­pro­bie­ren. Außerdem wür­de das Eintippen des Erzrivalen jedem ech­ten Fußballfan kör­per­li­che Schmerzen berei­ten, was nicht gera­de dazu bei­trägt, Passwörter in ein sym­pa­thi­sche­res Licht zu rücken. Stattdessen erläu­tern wir Ihnen Strategien für siche­re Passworte in unserem Online-Kurs SECUTAIN Grundlagen.

SECUTAIN auf Veranstaltungen 2018

/in , , , /von

In 2018 fin­den noch eini­ge sehr span­nen­de Veranstaltungen rund um das Thema “Informationssicherheit” statt. Wir freu­en uns, zu die­sen Veranstaltungen einen fach­li­chen Beitrag leis­ten und ent­spre­chen­de Vorträge hal­ten zu dür­fen:

 

  • 04. bis 05. September: D‑A-CH Security 2018 (Gelsenkirchen) / Vortragstitel “Neue Narrative für Informationssicherheit”
  • 20. September: cybics Konferenz (Bochum) / Vortragstitel “Security Awareness 4.0”
  • 21. bis 23. November: 17. SECUTA (Garmisch Partenkirchen) / Vortragstitel “Awareness & Sensibilisierung für Informationssicherheit”
  • 20. bis zum 23. November:  DOAG 2018 Konferenz + Ausstellung (Nürnberg) / Vortragstitel “Awareness für Informationssicherheit”

 

Wir wür­den uns freu­en, Sie dort tref­fen zu dür­fen.