Alle Beiträge, die poten­zi­ell Newsaggregatoren zur Verfügung gestellt wer­den könnten.

Die Cyberversicherung und das angekippte Fenster

Der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) bezeich­net die Cyberversicherung als die “Feuerversicherung des 21. Jahrhunderts”. Sie wird einen Standard in jedem Unternehmen dar­stel­len, kein Unternehmen wird es sich erlau­ben wol­len, kei­ne Cyberversicherung abzu­schlie­ßen. Die Gründe lie­gen in der zuneh­men­den Digitalisierung auf der einen und er stei­gen­den Zahl von Hackerangriffen auf der ande­ren Seite. Laut GDV liegt die Versicherungsprämie für einen grö­ße­ren Mittelständer bereits im fünfstelligen Bereich.

Um es an die­ser Stelle ganz klar vor­ab zu beto­nen: es geht im Folgenden nicht um den Sinn und Zweck oder das Pro und Contra einer Cyberversicherung. Diese hat defi­ni­tiv ihre Begründung und macht Sinn.

Fünfstelliger Eurobetrag für ein größeres mittelständisches Unternehmen

Wenn Sie jetzt vor der Entscheidung ste­hen, eine sol­che Versicherung abzu­schlie­ßen, wer­den Sie sicher Kosten und Nutzen genau abge­wo­gen haben, denn eine sol­che Ausgabe will gut über­legt sein. Und weil Sie sich das sehr gut über­legt haben, schlie­ßen Sie nun die­se Versicherung ab. Sie sind mit die­ser Entscheidung nicht allein. Der Anteil der Unternehmen, die eine sol­che Versicherung abschlie­ßen, nimmt stetig zu.

Sie fügen für Ihr Unternehmen so einen wei­te­ren wich­ti­gen Baustein in der Behandlung von Cyberrisiken hin­zu. Schließlich haben Sie schon die eine oder ande­re prä­ven­ti­ve Maßnahme ergrif­fen. Sie haben Virenscanner, Firewalls,  eMail-Filter, Sicherheitstoken und ande­re tech­ni­sche Helfer ange­schafft oder IT-Sicherheitsbeauftragte eta­bliert. Alle die­se Maßnahmen haben eben­falls Geld gekos­tet. Weil Sie sich damit siche­rer füh­len und Ihr Unternehmen, vor allem aber Ihre Interna, Ihre Daten, Ihre Betriebsgeheimnisse schüt­zen wol­len. Eine sicher­lich gute Entscheidung.

Trügerische Sicherheit?

Lassen Sie uns Ihre Entscheidung ein­mal vor einem ande­ren Hintergrund beleuch­ten: Ihre eige­ne pri­va­te Wohnung, Ihr eige­nes Haus. Jeder hat Angst vor Wohnungseinbrüchen. In 2019 waren es in Deutschland immerhin gut 87.000 gemeldete Einbrüche — die Dunkelziffer dürf­te noch deut­lich höher lie­gen. Was also tun? Üblicherweise bie­ten sich zwei Dinge an. Zum einen wird tech­nisch auf­ge­rüs­tet. Sie ver­stär­ken die Eingangstür und las­sen ein zwei­tes Schloß anbrin­gen, aus­bohr­si­cher ver­steht sich. Sie las­sen ver­rie­gel­ba­re Fenstergriffe instal­lie­ren und ver­git­tern die Kellerfenster. Die Terrassentür wird gegen Aufhebeln gesi­chert. Die Folge: Sie schla­fen bes­ser, Einbrecher wer­den beim Einbruchsversuch schnell ablas­sen und zum Nachbarn wei­ter­zie­hen. Die Folge aber auch: Sie sind wahr­schein­lich rund 1.000 Euro ärmer, weil die tech­ni­schen Sicherheitsmaßnahmen natür­lich Geld gekos­tet haben. Aber: Das Geld ist gut ange­legt, denn der Schaden des Einbruchs wäre ein Vielfaches grö­ßer. Und ein guter Schlaf ist unbe­zahl­bar. So ähn­lich sind Ihre Virenscanner und Firerwalls in Ihrem Unternehmen ein­zu­ord­nen. Technische Maßnahmen für mehr Sicherheit gegen Cyberangriffe.

Und Sie schlie­ßen für Ihre Wohnung oder Ihr Haus eine Hausratversicherung ab. Diese ver­si­chert Sie auch gegen Einbruchsschäden. Viele Versicherungen haben dabei sogar ent­spre­chen­de Wert- und Vermögensgegenstände wie Schmuck expli­zit mit­ver­si­chert. Wird ein­ge­bro­chen, ersetzt die Hausrat nicht nur die kaput­te Haustür, son­dern auch Vandalismus sowie die ent­wen­de­ten Gegenstände. Für den Fall der Fälle füh­len Sie sich also gut geschützt. So, wie Sie es sich auch von einer Cyberversicherung erhoffen.

Das ange­kipp­te Fenster

Jetzt kom­men Sie an einem lau­en Sommerabend von der Arbeit und Ihnen wird heiß und kalt. Sie kön­nen es nicht fas­sen. Es wur­de ein­ge­bro­chen. Trotz aller tech­nisch ergrif­fe­nen Abwehrmaßnahmen. Das gesam­te Haus ist durch­wühlt. Vieles ist zer­stört. Die Einbrecher haben bru­tal agiert und kei­nen Stein auf dem ande­ren gelas­sen. Ein Chaos. Und alle wert­vol­len und für Sie per­sön­lich wich­ti­gen Dinge sind weg.  Da zählt nicht nur der mate­ri­el­le Wert. Das Erbstück der Großmutter, die Halskette mit dem Anhänger, ist unbe­zahl­bar. Für Sie bricht eine Welt zusammen.

Aber wie konn­te das denn über­haupt pas­sie­ren? Sie waren doch tech­nisch gut gesi­chert. Sie lau­fen durchs Haus und stel­len ent­setzt fest, dass das Küchenfenster wohl ange­kippt und der Fenstergriff nicht verr­rie­gelt war. Das Haus wur­de mor­gens ver­las­sen, die Tür ordent­lich ver­rie­gelt, aber jemand hat wohl ver­ges­sen, das Küchenfenster zu schlie­ßen. Für geüb­te Einbrecher eine Einladung — kei­ne 10 Sekunden und man ist drin. Die Kripo nimmt den Schaden auf, denn Sie wol­len ja den Schaden bei der Versicherung mel­den. Selbstverständlich wird das gekipp­te Fenster als Einbruchsweg erkannt und dokumentiert.

Am Boden zer­stört mel­den Sie den Schaden bei Ihrer Hausratversicherung. Hier folgt für Sie die nächs­te Ernüchterung. Das gekipp­te Fenster stellt gemäß Ihrer Versicherungspolice eine gro­be Fahrlässigkeit dar, die Regulierung des Schadens wird daher antei­lig gekürzt. Und der gestoh­le­ne Schmuck und die ande­ren Wertsachen wer­den eben­falls nur mit einem gerin­gen Anteil des eigent­li­chen Wertes ersetzt, weil sie nicht ver­schlos­sen auf­be­wahrt wurden.

Umsichtiges Verhalten ist wich­ti­ger als eine Versicherung

Was heißt das nun für die Entscheidung, eine Cyberversicherung abzuschließen? 

In dem für Ihr pri­va­tes Umfeld geschil­der­ten Fall (wir hof­fen, Sie müs­sen das nie erle­ben) sind am Ende ja eigent­lich fünf Dinge gesche­hen. Erstens waren die teu­er ange­schaff­ten tech­ni­schen Maßnahmen gegen einen Angriff macht­los, weil unacht­sa­mes Verhalten dem Angreifer einen ein­fa­chen Weg ins Haus erlaubt hat. Sie hät­ten genau so gut außen den Schlüssel ste­cken las­sen kön­nen. Zweitens sind Werte abhan­den gekom­men, die nicht zu erset­zen sind, weil sie einen per­sön­li­chen Bezug haben. Drittens ist Ihr Haus in einem kata­stro­pha­len Zustand, es wird Tage dau­ern, bis sie dort wie­der eini­ger­ma­ßen nor­mal leben kön­nen. Viertens leben Sie wahr­schein­lich jetzt immer in einer gefühl­ten Unsicherheit. Und fünf­tens hat die Versicherung den Schaden nur zu einem gerin­gen Teil begli­chen. Und selbst wenn die Hausrat gro­be Fahrlässigkeit mit­ver­si­chert, so sind wirk­lich wert­vol­le Dinge unwie­der­bring­lich ver­lo­ren, das Aufräumen des Chaos dau­ert Wochen und die Angst bleibt. Da schützt kei­ne Versicherung.

Überträgt man die­ses Beispiel jetzt wie­der auf Ihr Unternehmen, heißt das kon­se­quen­ter­wei­se Folgendes: Virenscanner und Firewalls sind wich­tig, schüt­zen aber nicht vor unacht­sa­men Verhalten Ihrer Mitarbeiter. Wer Passwörter unacht­sam auf­be­wahrt oder an Dritte (unbe­wusst) wei­ter­gibt, lässt bild­lich gespro­chen den Schlüssel in der Tür ste­cken. Wenn Cyber-Einbrecher Ihre infor­ma­tio­nel­len Kronjuewelen, also Ihr intel­lec­tu­al pro­per­ty, also Ihre Erfindungen steh­len, ist das mit kei­nem Geld der Welt auf­zu­wie­gen. Wenn Ihr Unternehmen nach einem Cyberangriff Tage oder Wochen braucht, um zur Normalität zurück­zu­keh­ren, ver­lie­ren Sie nicht nur Umsätze, son­dern even­tu­ell sogar Kunden und Reputation. Und wenn all dies auf unacht­sa­mes Verhalten Ihrer Mitarbeitenden zurück­zu­füh­ren ist, bleibt abzu­war­ten, ob die Cyberversicherung den Schaden voll­um­fäng­lich regu­liert oder wie die Haftpflicht beim gekipp­ten Fenster den Schaden nur zu einem gerin­gen Teil reguliert.

Wirksame Sensibilisierung ist gut ange­leg­tes Geld und defi­ni­tiv nicht teuer

Unser Beispiel zeigt deut­lich: Ihre Beschäftigten sind ein zen­tra­les und wich­ti­ges Glied Ihrer Sicherheitskette. Eine Investition in Virenscanner und in eine Cyberversicherung machen nur Sinn, wenn  Sie auch dasVerhalten Ihrer Mitarbeiter mit einem höhe­ren Sicherheitsbewusstsein ver­sor­gen und siche­res Verhalten antrainieren. 

Wir sind Experten für eine sol­che wirk­sa­me Sensibilisierung. Und wirksame Sensibilisierung ist nicht teuer, aber — das zeigt die­ser Beitrag — nicht nur sinn­voll, son­dern abso­lut notwendig.

Nehmen Sie mit uns Kontakt auf — wir bera­ten Sie gern zu den für Sie pas­sen­den Maßnahmen für mehr Sicherheit.

Hype-App Clubhouse offenbart massive Probleme beim Datenschutz

Mitten in den Corona-Lockdown rauscht eine App, die Feiern wie­der mög­lich macht. Doch Vorsicht: Gravierende Mängel beim Datenschutz kön­nen die Party schnell versauen.

Geschlossene Gesellschaft: Clubhouse ist ein sozia­les Netzwerk, in das nicht jeder rein­kommt. Mitmachen kann nur, wer sich ein iPhone leis­ten kann und eine Einladung aus dem exklu­si­ven Zirkel der Clubhouse-Nutzer bekommt.

Eine Einladung – ein soge­nann­tes Invite – darf nur ver­schi­cken, wer der App Zugriff auf alle Kontakte im Adressbuch gewährt. Damit kennt Clubhouse auch die Nummern von Menschen, die das sozia­le Netzwerk gar nicht nut­zen wol­len. Wer sei­nen Kumpel Andi ein­la­den will, gibt gleich­zei­tig auch die Nummer von Oma Erna preis. Sie nutzt die Anwendung zwar gar nicht, bekommt aber trotz­dem ein soge­nann­tes Schattenprofil. Oma Erna wird damit Teil von Clubhouse, ohne jedoch reinzukommen.

Clubhouse speichert Daten in den USA

Wer am Türsteher vor­bei in den Club kommt, kann sich end­lich auf die Bühne stel­len und an den Diskussionen betei­li­gen. In vir­tu­el­len Räumen kön­nen Nutzer wie in einer Telefonkonferenz mit­ein­an­der diskutieren.

So ganz unbe­schwert soll­ten User aller­dings nicht drauf­los­plap­pern. Denn Gespräche wer­den auf­ge­zeich­net, auf US-ame­ri­ka­ni­schen Servern gespei­chert und kön­nen dort aus­ge­wer­tet wer­den. Der Betreiber will so Beschwerden der Nutzer und mög­li­che Rechtsverstöße wie Hatespeech unter­su­chen kön­nen. Clubhouse gibt vor, die Gespräche zu löschen, falls es kei­ne Beanstandungen gibt.  

Wer in den AGB nach­le­sen möch­te, wie das Unternehmen mit den Daten umgeht, stößt auf Widerstand. Denn die AGB gibt es nur auf Englisch und ein Impressum gibt es gar nicht. Das ist ein kla­rer Verstoß gegen die Datenschutzgrundverordnung DSGVO. Die Verbraucherzentrale Bundesverband (VZBV) hat den App-Anbieter Alpha Exploration Co. des­halb abge­mahnt. 

Clubhouse: Wie schütze ich meine Daten?

Wie gehe ich mit Clubhouse also am bes­ten um? Wenn Sie in Clubhouse das Wort ergreifen, soll­ten Sie sich bewusstmachen: Es ist nicht klar, was mit den Aufzeichnungen pas­siert. Sie soll­ten hier also nur das sagen, was Sie auch öffent­lich – bei­spiels­wei­se im Radio – sagen wür­den. 

Sie kön­nen der App auch nach­träg­lich unter Einstellungen den Zugriff auf das Adressbuch ver­bie­ten. Dort gibt es unter Datenschutz den Eintrag Kontakte. Hier kön­nen Sie die Erlaubnis wider­ru­fen. Allerdings kön­nen Sie dann nie­man­den mehr in das sozia­le Netzwerk ein­la­den. Und die Daten, die bereits abge­flos­sen sind, holen Sie damit auch nicht zurück. 

Ganz auf Nummer sicher gehen Sie, wenn Sie Clubhouse ein­fach von Ihrem Smartphone schmei­ßen. Für Oma Erna ist es dann zwar schon zu spät, aber Sie schüt­zen Daten von Freunden und Arbeitskollegen, die neu in Ihr Adressbuch kom­men. Die Party ist dann aller­dings vor­bei.  

SECUTAIN E‑Learning-Plattform

Zu den Themen Datenschutz und „Mobile Security“ fin­den Sie aus­führ­li­che Erklärvideos auf der Online-Lernplattform von SECUTAIN. In unse­rer Online-Akademie fin­den Sie Kurse, die Themen rund um Datenschutz und IT-Sicherheit spie­le­risch ver­mit­teln. Hier geht es zu unseren Angeboten. 

Ein Blick zurück auf 2019

Wenn ein Jahr zu Ende geht, bli­cken wir ger­ne zurück. Aus dem Blickwinkel der Informationssicherheit fal­len zwei Dinge auf: Schädliche E‑Mails stel­len nach wie vor die größ­te Gefahr dar – im Privaten als auch in der Firma. Auch in die­sem Jahr sind gro­ße Datenlecks dar­auf zurück­zu­füh­ren, dass die abso­lu­ten Grundlagen für den sorg­sa­men Umgang mit Informationen nicht ein­ge­hal­ten wor­den oder Mitarbeiter nicht acht­sam genug agierten.

In Deutschland sorg­te Anfang des Jahres der soge­nann­te Doxing-Hack für Schlagzeilen. Dabei wur­den pri­va­te und inti­me Informationen von fast 1.000 Politikern, Journalisten und Prominenten veröffentlicht.

Wie sich her­aus­stell­te, war die Vorgehensweise, an die­se Daten zu gelan­gen, kei­ne moder­nen tech­ni­schen Angriffe, son­dern viel­mehr Beharrlichkeit, Geduld und Akribie. Der unbe­dach­te Umgang mit Passwörtern oder die mehr­fa­che Nutzung von schwa­chen Passwörtern führ­ten zu dem erfolg­rei­chen Angriff.

Durch das Eindringen in E‑Mail-Konten und WhatsApp-Zugänge wur­den nicht nur sen­si­ble Informationen der Konteneigner gestoh­len, son­dern auch von den Personen, mit denen sie im Kontakt stan­den. Als die Mobilnummer des Politikers Christian Lindner ver­öf­fent­licht wur­de, haben Neugierige ihn auf WhatsApp kon­tak­tiert, um her­aus­zu­fin­den, ob die Nummer tat­säch­lich kor­rekt ist:

Was ler­nen wir daraus?

  1. Wir tra­gen nicht nur Verantwortung für den Schutz unse­rer Daten, son­dern auch für die derer, mit denen wir kommunizieren.
  2. Starke Passwörter sind wich­tig – immer und überall.

Dass wir die­se Passwörter schüt­zen soll­ten, ver­deut­licht auch die Veröffentlichung von fünf gros­sen Sammlungen von E‑Mail- und Passwort-Kombinationen. So wur­den in den soge­nann­ten Collections 1–5 in die­sem Jahr ins­ge­samt 2,1 Milliarden (ja, Milliarden!) der­ar­ti­ge Kombinationen ver­öf­fent­licht. Ob Deine E‑Mail-Adressen davon auch betrof­fen sind, kannst Du u.a. auf der eng­li­schen Seite https://haveibeenpwned.com überprüfen.

Dieses Jahr hat uns auch gezeigt, dass schäd­li­che E‑Mails nach wie vor ein rie­si­ges Problem dar­stel­len. So wur­de ins­be­son­de­re der deutsch­spra­chi­ge Raum in die­sem Jahr ins­be­son­de­re durch den Virus «Emotet» stark in Mitleidenschaft gezo­gen. Dieser ver­sen­det glaub­wür­di­ge E‑Mails, die bei uns Vertrauen erzeu­gen sol­len. Absender, Signaturen, Betreffzeilen sehen kor­rekt aus und erzeu­gen somit Vertrauen. Ziel ist es, dass wir auf Links kli­cken, damit sich im Nachgang eine Schadsoftware auf unse­rem Rechner instal­liert, die uns erpres­sen möch­te oder Zugangsdaten steh­len will.

Daher prü­fen Sie immer erst, bevor Sie einen Link in einer Mail kli­cken, ob das Ziel des Links ver­trau­ens­wür­dig ist. Aktivieren Sie nur im abso­lu­ten Ausnahmefall Makros von ange­häng­ten Dateien. Trainieren Sie Ihre Mitarbeiter im Umgang mit gefähr­li­chen Mails — bei­spiels­wei­se mit unserem Phishing-Training.

Noch ist der Schaden, der durch Emotet ent­stan­den ist, nicht abschätz­bar – aber die zahlreichen, teils dramatischen Vorfälle, die durch die Medien gingen, zeich­nen ein erschre­cken­des Bild.

2019 hat sehr ein­drück­lich gezeigt, dass sen­si­bi­li­sier­te, acht­sa­me Mitarbeiter ein ent­schei­den­der Faktor für den Schutz von Informationen sind. Wir möch­ten uns bei allen Kunden und Partnern für ein erfolg­rei­ches SECUTAIN-Jahr bedan­ken und wün­schen Ihnen ein siche­res und acht­sa­mes 2020!

Emotet? Ehrlich? Schon wieder?

Es ist Ihnen sicher­lich nicht ent­gan­gen, in den Medien wird vor einer neu­en Welle von E‑Mails mit der Schadsoftware „Emotet“ gewarnt. Was zuerst klingt wie ein alt­ägyp­ti­scher Baumeister oder eine neue Jugendbewegung ist ein äußert per­fi­der Angreifer, der jeden von uns tref­fen kann, wie er in den letz­ten Monaten bereits unter Beweis gestellt hat.

Was tut Emotet?

Emotet liest auf betrof­fe­nen Systemen E‑Mail-Kontakte und sogar aktu­el­le Inhalte von E‑Mails aus und ist so in der Lage, sehr echt aus­se­hen­de Mails zu ver­sen­den, von aktu­el­len Kontakten und sogar mit Bezug zu aktu­el­len Inhalten. So kann es sein, dass eine recht aktu­el­le Mail direkt unten als Mailverlauf ein­ge­fügt wur­de. Das wirkt für den Empfänger also alles sehr über­zeu­gend und erregt wenig Skepsis. Mit einem Klick auf einen Link oder dem Öffnen einer Datei aus dem Mailanhang nis­tet er sich auf Ihrem Computer ein. Dort lädt er dann ande­re Schadsoftware nach, die dann z.B. Ihr Online-Banking aus­späht, Ihre Passwörter abgreift und natür­lich ver­sucht, Ihre Kontakte zu infizieren.

Was Sie tun können.

Das klingt erst­mal aus­sichts­los, aber wie bei allen E‑Mail-gestütz­ten Angriffen hel­fen auch hier erst­mal die wich­ti­gen Grundregeln zur Vorsorge:

  • Halten Sie Ihr Betriebssystem und Ihre Anwendungen aktu­ell, instal­lie­ren Sie Updates und Patches zeitnah.
  • Setzen Sie einen aktu­el­len Virenscanner ein.
  • Erstellen Sie regel­mä­ßi­ge Datensicherungen von Ihrem Computer, damit Sie im Schadensfall alle Daten schnell wie­der­her­stel­len können.

Sicherlich, die­se Maßnahmen schlie­ßen eine Infektion nicht aus, hel­fen aber unter Umständen den Schaden in Grenzen zu hal­ten. Auf Ihren dienst­li­chen Geräten küm­mert sich um all die­se Sachen sicher­lich Ihre IT Abteilung.

Emotet wird nicht der letz­te bös­ar­ti­ge Gast in unse­ren elek­tro­ni­schen Postfächern sein. Die wich­tigs­te Verteidigung gegen die­se Angriffe sind und blei­ben des­halb Sie. Ihre Aufmerksamkeit, ihr Verstand und Ihre Erfahrung sind bes­ser als jeder Virenscanner. Fragen Sie sich bei jeder Mail, bei jedem Anhang und bei jedem Link erneut:

  • Kenne ich den Absender?
  • Erwarte ich die­se E‑Mail?
  • Würde der Absender in die­sem Fall E‑Mail als Kommunikationsmittel wählen?
  • Würde er mich so anspre­chen und anschreiben?
  • Warum ver­sucht die­se Mail eine Reaktion (Öffnen von Dateien, Klicken auf Links) durch mich zu provozieren?
  • Muss ich die­sen Anhang öff­nen bzw. die­sen Link klicken?
  • Auch wenn ein Link auf den ers­ten Blick ver­trau­ens­wür­dig aus­sieht, gibt es irgend­wel­che Auffälligkeiten?
  • Warum möch­te die­ses ver­meint­li­che Word-Dokument jetzt Änderungen an mei­nem System vornehmen?

Fragen Sie im Zweifelsfall beim Absender per­sön­lich nach, ob die­se Mail von ihm stammt. Seien Sie bei allen Arten von Dateien wach­sam, auch bei Office-Dateien oder ande­ren Formaten.

Jede Mail, auch ech­te und wich­ti­ge Kommunikation, wird so zu einem Trainingsinstrument für Sie und stärkt Sie und Ihre Sinne in der Abwehr von Angriffen.

Also: let’s do it!


Persönliches Training

Mehr Sicherheit im Umgang mit gefähr­li­chen Mails gewin­nen Sie mit unse­rem Phishing-Training. Erfahren Sie in simu­lier­ten Angriffsmails, an wel­chen Merkmalen Sie gefähr­li­che Mails erken­nen kön­nen. Mehr Informationen »

Social Engineering: Die unterschätzte Gefahr

Der Zugriff auf sen­si­ble, schüt­zens­wer­te und für das Unternehmen ele­men­tar über­le­bens­wich­ti­ge (“intel­lec­tu­al pro­per­ty”) Daten will kon­trol­liert, gesteu­ert und geschützt sein, um den Bestand der Unternehmung nicht zu gefähr­den. Kommerzielle Schäden (Umsatzrückgang auf­grund Vertrauensverlust der Kunden, Strafzahlungen gemäß EU-DSGVO) und Reputationsverlust sind da noch das gerin­ge­re Übel, wenn sol­che Daten “abhan­den kom­men”. Vielmehr kann geziel­te Industriespionage die Alleinstellungsmerkmale der Unternehmung zum Ziel haben und damit grund­le­gend den Fortbestand des Unternehmens gefähr­den, wenn intel­le­cu­tal pro­per­ty zum Mitbewerb wandert.

Unternehmen fokus­sie­ren daher auf IT-Sicherheit und geben gemäß einer Studie von Statista allein in Deutschland in 2019 voraussichtlich rund 1,4 Milliarden Euro aus.

Das senkt die Wahrscheinlichkeit des tech­ni­schen Einbruchsversuchs, denn wie im wirk­li­chen Leben auch zie­hen Einbrecher lie­ber wei­ter zum nächs­ten Haus, wenn die Eingangstür im Vergleich zum Nachbarhaus gut gesi­chert ist.

Vergessen wird jedoch gern, dass tech­ni­sche Zugänge ja nicht der ein­zi­ge Weg sind, auf die­se schüt­zens­wer­ten Daten zuzu­grei­fen. Denn wenn Ihr Unternehmen nicht zufäl­li­ges und belie­bi­ges Ziel einer Diebesbande ist, son­dern Ihre Daten ganz kon­kre­tes Ziel geplan­ter Angriffe sind, weil bspw. Industriespionage im Vordergrund steht, wer­den Angreifer nicht locker las­sen, um an Ihre infor­ma­tio­nel­len Kronjuwelen zu gelan­gen. Sie wer­den ande­re Angriffswege wäh­len, wenn Hacker tech­nisch nicht wei­ter­kom­men und an den tech­ni­schen Sicherheitsmaßnahmen Ihrer Organisation scheitern.

Angriffssziel wer­den dann die MitarbeiterInnen Ihrer Organisation, die durch geziel­te und geschick­te Manipulation dazu bewegt wer­den, Daten her­aus­zu­ge­ben, Credentials preis­zu­ge­ben oder Angreifern Türen auf­zu­ma­chen, die durch Technik bis­her gut gesi­chert und ver­schlos­sen waren.

Social Engineering und Sabotage sind laut der Allianz für Cybersicherheit des BSI zwei der zehn bedeut­sams­ten Sicherheitsbedrohungen in 2019. Die Aufmerksamkeit für die­ses Thema beim Aufbau eines ganz­heit­li­chen Ansatzes zum Schutze die­ser sen­si­blen Unternehmensdaten ist jedoch aus unse­rer Erfahrung immer noch viel zu gering.

Wir freu­en uns, dass die Deutsche Oracle Anwendergruppe (DOAG) uns als Speaker ein­ge­la­den hat und wir auf der DOAG Konferenz 2019 in Nürnberg über die­ses wich­ti­ge Thema der Informationssicherheit spre­chen dür­fen. Mit über 2.000 TeilnehmerInnen ist die DOAG Konferenz die füh­ren­de ORACLE Fachkonferenz, auf der das Thema tech­ni­scher Sicherheit von Daten(banken) in den letz­ten Jahren aus genann­ten Gründen zuneh­mend an Bedeutung gewon­nen hat.

Alles hat ein Ende, nur die…

… aber um die Wurst soll es hier gar nicht gehen. Sondern um das Ende all Ihrer elek­tro­ni­schen Speichergeräte. Also um Ihren Computer, Laptop, exter­ne Festplatten, Smartphones, USB-Sticks, … und ver­ges­sen Sie nicht Ihren Multifunktionsdrucker, Ihren Internetrouter und wahr­schein­lich sogar Ihren hei­mi­schen TV-Receiver: alles Geräte, die Informationen über Sie spei­chern, die Sie nicht mit anderen teilen möchten.

Elektronische Geräte gehö­ren natür­lich nicht in den Restmüll, son­dern wer­den von uns ordent­lich der Wiederverwertung zuge­führt. Da sie meist aber nicht defekt sind, son­dern gegen moder­ne­re Varianten aus­ge­tauscht wer­den, enden sie häu­fig nicht auf dem Wertstoffhof, son­dern auf ein­schlä­gi­gen Internetplattformen und war­ten dort auf neue Benutzer.

Kroll Ontrack und die Blancco Technology Group haben für eine Studie 159 Festplatten auf eBay erwor­ben, auch in Deutschland. Erschreckenderweise wur­de fest­ge­stellt, dass auf 42% Prozent der Geräte noch sen­si­ble Daten vor­han­den waren. 15 Prozent ent­hiel­ten sogar per­so­nen­be­zo­ge­ne Daten wie gescann­te Geburtsurkunden, Lebensläufe und Schulnoten. Aber nicht nur pri­va­te Informationen wur­den gefun­den, auch meh­re­re Gigabyte an Firmendaten konn­ten rekon­stru­iert wer­den. Die im Rahmen der Studie kon­tak­tier­ten Verkäufer gaben an, dass eigent­lich kei­ne Daten zurück­blei­ben soll­ten, da sie Methoden zur siche­ren Datenentsorgung ange­wandt hat­ten. Diese Methoden waren aber offen­sicht­lich unzureichend.

Der Anfang vom Ende…

… muss also eine ange­mes­se­ne Löschung oder Vernichtung sein. Dabei gibt es zwei Varianten:

Variante A: Sichere Entsorgung

Suchen Sie sich für die­se Variante ech­te Profis. Achten Sie dar­auf, dass die Vernichtung gemäß DIN 66399 vor­ge­nom­men wird und min­des­tens der Sicherheitsstufe 3 genügt. Sicherheitsstufe 3 bedeu­tet, dass die Reproduktion Ihrer Daten mit erheb­li­chem Aufwand ver­bun­den ist. Wenn Sie beson­ders sen­si­ble Daten auf Ihren Datenträgern spei­chern, wäh­len Sie bes­ser Sicherheitsstufe 4. Leider hat die­se Variante Ihren Preis.

Variante B: Verkauf oder einfache Entsorgung

Wenn Sie das Gerät ver­kau­fen wol­len, wägen Sie sorg­fäl­tig ab wel­che Informationen auf dem Gerät gespei­chert waren. Im Zweifelsfall ist es viel­leicht bes­ser, den PC ohne die Festplatte zu ver­kau­fen und die­se zu ver­nich­ten. Ansonsten sor­gen Sie unbe­dingt für die siche­re Löschung der Speichermedien.

Leider ist das, wie die Studie von Kroll Ontrack und Blancco gezeigt hat, gar nicht so ein­fach. Insbesondere moder­ne SSD Speicher auf Flash-Basis (dazu gehö­ren auch USB-Sticks) sind mit älte­ren Verfahren und mit den Boardmitteln der Betriebssysteme kaum rich­tig sicher zu löschen. Schauen Sie dar­um unbe­dingt auf den Herstellerseiten Ihrer Geräte und Speichermedien nach. Die meis­ten Hersteller bie­ten mitt­ler­wei­le spe­zi­el­le Tools für die siche­re Löschung an und stel­len aus­führ­li­che Anleitungen zur Verfügung. Als kos­ten­lo­se Open-Source Lösung für die Löschung von Daten kön­nen Sie z.B. auf „Darik’s Boot and Nuke (DBAN)“ (www.dban.org) zurück­grei­fen.

Planen Sie die ein­fa­che Entsorgung über einen Wertstoffhoff oder ande­ren Sammelbehälter, kön­nen Sie einen spä­te­ren Zugriff durch Dritte nicht aus­schlie­ßen und soll­ten sich auch hier unbe­dingt um die siche­re Löschung küm­mern. Wenn Sie die Speichermedien vor­her sel­ber zer­stö­ren möch­ten (viel­leicht auch weil sie defekt sind und eine siche­re Löschung nicht mehr mög­lich ist) sei­ne Sie unbe­dingt vor­sich­tig. Schützen Sie sich z.B. durch Schutzhandschuhe und eine Schutzbrille, vie­le der ver­wen­de­ten Materialien split­tern bei Gewaltanwendung. Verursachen Sie so viel Schaden wie mög­lich und füh­ren Sie die Reste der Wiederverwertung zu.

Fragen Sie bei Unklarheiten einen Spezialisten und wen­den Sie sich bei allen dienst­li­chen Geräten ver­trau­ens­voll an Ihre IT! Im Firmenkontext lohnt sich die Anschaffung spe­zi­el­ler Soft- oder sogar Hardware für die Löschung oder ein Vertrag mit einem spe­zia­li­sier­ten Entsorger. Der stellt auch ent­spre­chen­de Behälter für die siche­re Zwischenlagerung bis zur nächs­ten Abholung bereit.

Haben Sie das alles geklärt, kön­nen Sie sich ruhi­gen Gewissens den neu­en Geräten widmen.

Ende gut: alles sicher.

Wenn Strafverfolger zu Hackern werden

Die in Tel Aviv ansäs­si­ge Firma Cellbrite forscht und spe­zia­li­siert sich seit 2007 im Bereich der digi­ta­len Forensik für Smartphones und Mobilgeräte. Sie nimmt damit teil an dem Wettrennen zwi­schen Smartphoneherstellern, die ihre Geräte mit immer effek­ti­ve­ren Sicherheitsmechanismen aus­stat­ten und Unternehmen, die Sicherheitslücken in die­sen Geräten fin­den und mone­ta­ri­sie­ren wollen.

Der Kundenkreis ist exklu­siv und wahr­schein­lich lukra­tiv: Strafverfolger und Ermittlungsbehörden.

Weiterlesen

Frühjahrsputz für Ihre Internet-Konten

Jedes mal, wenn irgend­wo Datenlecks ver­öf­fent­licht wer­den, den­ken Sie sich bestimmt: “Hoffentlich sind mei­ne Daten nicht dabei”. Richtig? Damit Ihre Daten kein Bestandteil die­ser Veröffentlichungen wer­den, ist es rat­sam, nur bei den Internetdiensten und Apps Konten zu haben, die Sie wirk­lich benut­zen. Aber klar — über die Jahre sam­meln sich bei uns allen Konten an, die wir heu­te nicht mehr benö­ti­gen. Konten, um ein­mal etwas zu tes­ten, ein Probeabo abzu­schlie­ßen, etwas nur für einen bestimm­ten Zeitraum zu nut­zen etc. Oder Konten, die wir ein­fach mal aus Neugier ange­legt haben. Da wir häu­fig die­se Konten nicht löschen, lie­gen unse­re Daten wei­ter­hin bei die­sen Anbietern — und sind somit poten­zi­el­len Risiken aus­ge­setzt: Passwörter, E‑Mail-Adressen, unse­re Aktivitäten viel­leicht sogar Zahlungsdaten.

Ein neu­er kos­ten­lo­ser Dienst unse­rer Partner von AWARE7 soll das Abhilfe schaf­fen: Cyberpflege.de.

Auf die­ser Webseite fin­den Sie Links zum Löschen Ihrer Accounts für deut­sche und inter­na­tio­nal stark fre­quen­tier­te Seiten. Klingt erst ein­mal nicht beson­ders spek­ta­ku­lär — ist aber unge­mein prak­tisch. Wer schon ein­mal pro­biert hat, sei­nen Zugang irgend­wo zu löschen, weiß, dass Löschfunktionen häu­fig sehr gut ver­steckt wer­den und im Gegensatz zur Registrierung sehr beschwer­lich sein kön­nen. Cyberpflege bringt Sie jedoch genau an den rich­ti­gen Ort. Außerdem erhal­ten Sie dar­über hin­aus eine Einschätzung, wie kom­pli­ziert der Löschvorgang wird und was Sie dazu tun müssen.

Ist VPN jetzt auch böse? Der Fall Facebook Research

Einige von Ihnen wer­den in den letz­ten Wochen sicher­lich die Nachrichtenlage um Facebook mit­be­kom­men haben. Im Zentrum stand die App “Facebook Research”. Dabei han­delt es sich um ein VPN-Angebot von Facebook, das dem Konzern einen weit­rei­chen­den Zugriff auf die Smartphones der Benutzer gege­ben hat. So konn­te Facebook pri­va­te Nachrichten in sozia­len Netzwerken und Messenger-Apps mit­le­sen — genau­so wie Fotos und Videos der Nutzer ein­se­hen, E‑Mails, Websuchen und Browseraktivitäten pro­to­kol­lie­ren sowie den aktu­el­len Standort der Geräte auslesen.

Jetzt könn­ten Sie sagen: Halt, Momentchen mal, stopp! Seit Ewigkeiten erzäh­len Sie uns, dass VPN die bes­te Möglichkeit ist, sicher im Netz unter­wegs zu sein!? Und jetzt ist es so gefährlich!?!?

In der Tat ist VPN eine Technologie, mit der es mög­lich ist, den eige­nen Internetverkehr vor dem Einblick und der Manipulation durch Dritte zu schüt­zen. Das bleibt auch wei­ter­hin so. Wichtig ist jedoch, dass der Anbieter des VPN-Dienstes Ihre Daten nicht mit­pro­to­kol­liert, Ihre Privatsphäre respek­tiert, ver­trau­ens­wür­dig ist und einen hohen Sicherheitsstandard aufweist.

Wie bei allem, was Sie im Internet tun, gilt auch hier der alte Grundsatz, den wir seit Jahren wie­der­ho­len: Wenn Sie nicht bezah­len, sind Sie das Produkt!

Seien Sie also mehr als skep­tisch, wenn Ihnen ein VPN-Produkt kos­ten­los ange­bo­ten wird. Im Falle von “Facebook Research” war das Produkt nicht nur kos­ten­los — die Benutzer wur­den sogar für die Nutzung bezahlt. Einkaufsgutscheine bis zu 20 Dollar im Monat wink­ten den Nutzern. Spätestens hier müs­sen bei Ihnen sämt­li­che Alarmglocken läu­ten. Finger weg!

Investieren Sie lie­ber weni­ge Euro pro Monat in einen siche­ren VPN-Anbieter oder schau­en Sie, wel­cher seriö­se Anbieter von Sicherheitssoftware ein Bundle anbie­tet, in dem ein VPN-Dienst bereits ent­hal­ten ist. Beispielsweise hat heise einmal eine Liste von diversen Anbietern zusammengestellt.

Wenn man in allem — aber auch wirk­lich allem — etwas Gutes sehen will, kann man die­sem Fall abge­win­nen, dass Facebook hier end­lich ein­mal die Nutzer bezahlt hat, die ihre Daten für Profilbildungen und Monetarisierung zur Verfügung stel­len. Ein bit­te­rer Lohn für einen der­art star­ken Eingriff in die Privatsphäre.

Das Fazit lau­tet also: Marktmechanismen im Internet machen auch vor VPN nicht Halt. VPN ist wei­ter­hin ein gutes Instrument für mehr Sicherheit im Netz. Nutzen Sie einen ver­trau­ens­wür­di­gen und daten­schüt­zen­den VPN-Dienst.

Facebook ist dies nicht.

Ist Schalke 04 schon Meister?

Dass schwa­che Passwörter nach wie vor der Grund für vie­le Datenlecks und Sicherheitsereignisse sind, ist genau­so bekannt wie unvor­stell­bar. Leute, wir haben 2019!!!1! Langsam müss­te bekannt sein, wie mit Passwörtern umzu­ge­hen ist. Auch der aktu­el­le “Bundeshack” wäre mit ver­nünf­ti­gen Passwortmanagement und star­ken Passwörtern nur halb so groß geworden.

So zei­gen aber jedes Jahr die Hitlisten der schlech­ten Passwörter, dass vie­le Menschen immer noch die Bequemlichkeit über die Sicherheit stel­len — mit zum Teil ver­hee­ren­den Konsequenzen für ihre Daten, ihre per­sön­li­chen Freiheiten oder den Arbeitgeber. Beliebte Passwörter sind immer noch “123456” oder “pass­word”. Aber wo kom­men eigent­lich die­se Passwort-Charts her? Die Leute wer­den ja nicht ein­fach auf der Straße ihre Passwörter nen­nen! Obwohl:

Es gibt eine viel bes­se­re Quelle für Passwörter als Straßenumfragen. Die Daten für die Passwortcharts ent­stam­men gro­ßen Datenleaks, in denen Millionen Passwörter unab­sicht­lich offen­bart wur­den. Diese Listen sind die Grundlage für so groß­ar­ti­ge Dienste wie Have I Been Pwned, bei dem jeder ein­zel­ne ein­mal über­prü­fen kann, ob die Passwörter zu sei­nen Konten bereits ande­ren bekannt sind. Die Experten von AWARE7 haben sich eben­falls ein­mal die­se Listen vor­ge­nom­men und 5,5 Milliarden Passwörter dar­auf­hin über­prüft, inwie­fern sich deut­sche Fußball-Bundesligisten dort wie­der­fin­den, um auf der Basis eine inof­fi­zi­el­le Bundesligatabelle zu erstellen.

Demnach wür­de der FC Schalke 04 Deutscher Meister wer­den, da sein Name über 50.000 mal in Passwörtern ver­wen­det wird. Auf den Champions League-Plätzen fol­gen Hertha BSC, Borussia Dortmund und Hannover 96. International wären auch noch Bayern München auf Platz 5 und der VfB Stuttgart auf Platz 6 unter­wegs. Abgestiegen wären Hoffenheim und Nürnberg. In der Relegation müss­te Wolfsburg zit­tern. Die aus­führ­li­che Tabelle mit allen Zahlen fin­den Sie bei AWARE7.

Warum sind Fußballclubs eigentlich schlechte Passworte?

Zum einen spricht der häu­fi­ge Gebrauch gegen die Verwendung von Fußballvereinen als Passwort. Zum Zweiten besteht ein Personenbezug, wenn man sei­nen Herzensverein als Passwort wählt. So erfüllt zwar das Passwort “Hannover-96” die Komplexitätskriterien vie­ler Internetdienste — Angreifer hät­ten bei Hannover-Fans dann aber ein leich­tes Spiel. Sollte man also den Erzrivalen als Passwort neh­men? Auch das ist kei­ne gute Idee, da Angreifer auch auf die Idee kom­men könn­ten, das ein­mal aus­zu­pro­bie­ren. Außerdem wür­de das Eintippen des Erzrivalen jedem ech­ten Fußballfan kör­per­li­che Schmerzen berei­ten, was nicht gera­de dazu bei­trägt, Passwörter in ein sym­pa­thi­sche­res Licht zu rücken. Stattdessen erläu­tern wir Ihnen Strategien für siche­re Passworte in unserem Online-Kurs SECUTAIN Grundlagen.