Alle Beiträge, die poten­zi­ell Newsaggregatoren zur Verfügung gestellt wer­den könn­ten.

Social Engineering: Die unterschätzte Gefahr

Der Zugriff auf sen­si­ble, schüt­zens­wer­te und für das Unternehmen ele­men­tar über­le­bens­wich­ti­ge (“intel­lec­tu­al pro­per­ty”) Daten will kon­trol­liert, gesteu­ert und geschützt sein, um den Bestand der Unternehmung nicht zu gefähr­den. Kommerzielle Schäden (Umsatzrückgang auf­grund Vertrauensverlust der Kunden, Strafzahlungen gemäß EU-DSGVO) und Reputationsverlust sind da noch das gerin­ge­re Übel, wenn sol­che Daten “abhan­den kom­men”. Vielmehr kann geziel­te Industriespionage die Alleinstellungsmerkmale der Unternehmung zum Ziel haben und damit grund­le­gend den Fortbestand des Unternehmens gefähr­den, wenn intel­le­cu­tal pro­per­ty zum Mitbewerb wan­dert.

Unternehmen fokus­sie­ren daher auf IT-Sicherheit und geben gemäß einer Studie von Statista allein in Deutschland in 2019 voraussichtlich rund 1,4 Milliarden Euro aus.

Das senkt die Wahrscheinlichkeit des tech­ni­schen Einbruchsversuchs, denn wie im wirk­li­chen Leben auch zie­hen Einbrecher lie­ber wei­ter zum nächs­ten Haus, wenn die Eingangstür im Vergleich zum Nachbarhaus gut gesi­chert ist.

Vergessen wird jedoch gern, dass tech­ni­sche Zugänge ja nicht der ein­zi­ge Weg sind, auf die­se schüt­zens­wer­ten Daten zuzu­grei­fen. Denn wenn Ihr Unternehmen nicht zufäl­li­ges und belie­bi­ges Ziel einer Diebesbande ist, son­dern Ihre Daten ganz kon­kre­tes Ziel geplan­ter Angriffe sind, weil bspw. Industriespionage im Vordergrund steht, wer­den Angreifer nicht locker las­sen, um an Ihre infor­ma­tio­nel­len Kronjuwelen zu gelan­gen. Sie wer­den ande­re Angriffswege wäh­len, wenn Hacker tech­nisch nicht wei­ter­kom­men und an den tech­ni­schen Sicherheitsmaßnahmen Ihrer Organisation schei­tern.

Angriffssziel wer­den dann die MitarbeiterInnen Ihrer Organisation, die durch geziel­te und geschick­te Manipulation dazu bewegt wer­den, Daten her­aus­zu­ge­ben, Credentials preis­zu­ge­ben oder Angreifern Türen auf­zu­ma­chen, die durch Technik bis­her gut gesi­chert und ver­schlos­sen waren.

Social Engineering und Sabotage sind laut der Allianz für Cybersicherheit des BSI zwei der zehn bedeut­sams­ten Sicherheitsbedrohungen in 2019. Die Aufmerksamkeit für die­ses Thema beim Aufbau eines ganz­heit­li­chen Ansatzes zum Schutze die­ser sen­si­blen Unternehmensdaten ist jedoch aus unse­rer Erfahrung immer noch viel zu gering.

Wir freu­en uns, dass die Deutsche Oracle Anwendergruppe (DOAG) uns als Speaker ein­ge­la­den hat und wir auf der DOAG Konferenz 2019 in Nürnberg über die­ses wich­ti­ge Thema der Informationssicherheit spre­chen dür­fen. Mit über 2.000 TeilnehmerInnen ist die DOAG Konferenz die füh­ren­de ORACLE Fachkonferenz, auf der das Thema tech­ni­scher Sicherheit von Daten(banken) in den letz­ten Jahren aus genann­ten Gründen zuneh­mend an Bedeutung gewon­nen hat.

Alles hat ein Ende, nur die…

… aber um die Wurst soll es hier gar nicht gehen. Sondern um das Ende all Ihrer elek­tro­ni­schen Speichergeräte. Also um Ihren Computer, Laptop, exter­ne Festplatten, Smartphones, USB-Sticks, … und ver­ges­sen Sie nicht Ihren Multifunktionsdrucker, Ihren Internetrouter und wahr­schein­lich sogar Ihren hei­mi­schen TV-Receiver: alles Geräte, die Informationen über Sie spei­chern, die Sie nicht mit anderen teilen möchten.

Elektronische Geräte gehö­ren natür­lich nicht in den Restmüll, son­dern wer­den von uns ordent­lich der Wiederverwertung zuge­führt. Da sie meist aber nicht defekt sind, son­dern gegen moder­ne­re Varianten aus­ge­tauscht wer­den, enden sie häu­fig nicht auf dem Wertstoffhof, son­dern auf ein­schlä­gi­gen Internetplattformen und war­ten dort auf neue Benutzer.

Kroll Ontrack und die Blancco Technology Group haben für eine Studie 159 Festplatten auf eBay erwor­ben, auch in Deutschland. Erschreckenderweise wur­de fest­ge­stellt, dass auf 42% Prozent der Geräte noch sen­si­ble Daten vor­han­den waren. 15 Prozent ent­hiel­ten sogar per­so­nen­be­zo­ge­ne Daten wie gescann­te Geburtsurkunden, Lebensläufe und Schulnoten. Aber nicht nur pri­va­te Informationen wur­den gefun­den, auch meh­re­re Gigabyte an Firmendaten konn­ten rekon­stru­iert wer­den. Die im Rahmen der Studie kon­tak­tier­ten Verkäufer gaben an, dass eigent­lich kei­ne Daten zurück­blei­ben soll­ten, da sie Methoden zur siche­ren Datenentsorgung ange­wandt hat­ten. Diese Methoden waren aber offen­sicht­lich unzu­rei­chend.

Der Anfang vom Ende…

… muss also eine ange­mes­se­ne Löschung oder Vernichtung sein. Dabei gibt es zwei Varianten:

Variante A: Sichere Entsorgung

Suchen Sie sich für die­se Variante ech­te Profis. Achten Sie dar­auf, dass die Vernichtung gemäß DIN 66399 vor­ge­nom­men wird und min­des­tens der Sicherheitsstufe 3 genügt. Sicherheitsstufe 3 bedeu­tet, dass die Reproduktion Ihrer Daten mit erheb­li­chem Aufwand ver­bun­den ist. Wenn Sie beson­ders sen­si­ble Daten auf Ihren Datenträgern spei­chern, wäh­len Sie bes­ser Sicherheitsstufe 4. Leider hat die­se Variante Ihren Preis.

Variante B: Verkauf oder einfache Entsorgung

Wenn Sie das Gerät ver­kau­fen wol­len, wägen Sie sorg­fäl­tig ab wel­che Informationen auf dem Gerät gespei­chert waren. Im Zweifelsfall ist es viel­leicht bes­ser, den PC ohne die Festplatte zu ver­kau­fen und die­se zu ver­nich­ten. Ansonsten sor­gen Sie unbe­dingt für die siche­re Löschung der Speichermedien.

Leider ist das, wie die Studie von Kroll Ontrack und Blancco gezeigt hat, gar nicht so ein­fach. Insbesondere moder­ne SSD Speicher auf Flash-Basis (dazu gehö­ren auch USB-Sticks) sind mit älte­ren Verfahren und mit den Boardmitteln der Betriebssysteme kaum rich­tig sicher zu löschen. Schauen Sie dar­um unbe­dingt auf den Herstellerseiten Ihrer Geräte und Speichermedien nach. Die meis­ten Hersteller bie­ten mitt­ler­wei­le spe­zi­el­le Tools für die siche­re Löschung an und stel­len aus­führ­li­che Anleitungen zur Verfügung. Als kos­ten­lo­se Open-Source Lösung für die Löschung von Daten kön­nen Sie z.B. auf „Darik’s Boot and Nuke (DBAN)“ (www.dban.org) zurück­grei­fen.

Planen Sie die ein­fa­che Entsorgung über einen Wertstoffhoff oder ande­ren Sammelbehälter, kön­nen Sie einen spä­te­ren Zugriff durch Dritte nicht aus­schlie­ßen und soll­ten sich auch hier unbe­dingt um die siche­re Löschung küm­mern. Wenn Sie die Speichermedien vor­her sel­ber zer­stö­ren möch­ten (viel­leicht auch weil sie defekt sind und eine siche­re Löschung nicht mehr mög­lich ist) sei­ne Sie unbe­dingt vor­sich­tig. Schützen Sie sich z.B. durch Schutzhandschuhe und eine Schutzbrille, vie­le der ver­wen­de­ten Materialien split­tern bei Gewaltanwendung. Verursachen Sie so viel Schaden wie mög­lich und füh­ren Sie die Reste der Wiederverwertung zu.

Fragen Sie bei Unklarheiten einen Spezialisten und wen­den Sie sich bei allen dienst­li­chen Geräten ver­trau­ens­voll an Ihre IT! Im Firmenkontext lohnt sich die Anschaffung spe­zi­el­ler Soft- oder sogar Hardware für die Löschung oder ein Vertrag mit einem spe­zia­li­sier­ten Entsorger. Der stellt auch ent­spre­chen­de Behälter für die siche­re Zwischenlagerung bis zur nächs­ten Abholung bereit.

Haben Sie das alles geklärt, kön­nen Sie sich ruhi­gen Gewissens den neu­en Geräten wid­men.

Ende gut: alles sicher.

Wenn Strafverfolger zu Hackern werden

Die in Tel Aviv ansäs­si­ge Firma Cellbrite forscht und spe­zia­li­siert sich seit 2007 im Bereich der digi­ta­len Forensik für Smartphones und Mobilgeräte. Sie nimmt damit teil an dem Wettrennen zwi­schen Smartphoneherstellern, die ihre Geräte mit immer effek­ti­ve­ren Sicherheitsmechanismen aus­stat­ten und Unternehmen, die Sicherheitslücken in die­sen Geräten fin­den und mone­ta­ri­sie­ren wol­len.

Der Kundenkreis ist exklu­siv und wahr­schein­lich lukra­tiv: Strafverfolger und Ermittlungsbehörden.

Weiterlesen

Frühjahrsputz für Ihre Internet-Konten

Jedes mal, wenn irgend­wo Datenlecks ver­öf­fent­licht wer­den, den­ken Sie sich bestimmt: “Hoffentlich sind mei­ne Daten nicht dabei”. Richtig? Damit Ihre Daten kein Bestandteil die­ser Veröffentlichungen wer­den, ist es rat­sam, nur bei den Internetdiensten und Apps Konten zu haben, die Sie wirk­lich benut­zen. Aber klar — über die Jahre sam­meln sich bei uns allen Konten an, die wir heu­te nicht mehr benö­ti­gen. Konten, um ein­mal etwas zu tes­ten, ein Probeabo abzu­schlie­ßen, etwas nur für einen bestimm­ten Zeitraum zu nut­zen etc. Oder Konten, die wir ein­fach mal aus Neugier ange­legt haben. Da wir häu­fig die­se Konten nicht löschen, lie­gen unse­re Daten wei­ter­hin bei die­sen Anbietern — und sind somit poten­zi­el­len Risiken aus­ge­setzt: Passwörter, E‑Mail-Adressen, unse­re Aktivitäten viel­leicht sogar Zahlungsdaten.

Ein neu­er kos­ten­lo­ser Dienst unse­rer Partner von AWARE7 soll das Abhilfe schaf­fen: Cyberpflege.de.

Auf die­ser Webseite fin­den Sie Links zum Löschen Ihrer Accounts für deut­sche und inter­na­tio­nal stark fre­quen­tier­te Seiten. Klingt erst ein­mal nicht beson­ders spek­ta­ku­lär — ist aber unge­mein prak­tisch. Wer schon ein­mal pro­biert hat, sei­nen Zugang irgend­wo zu löschen, weiß, dass Löschfunktionen häu­fig sehr gut ver­steckt wer­den und im Gegensatz zur Registrierung sehr beschwer­lich sein kön­nen. Cyberpflege bringt Sie jedoch genau an den rich­ti­gen Ort. Außerdem erhal­ten Sie dar­über hin­aus eine Einschätzung, wie kom­pli­ziert der Löschvorgang wird und was Sie dazu tun müs­sen.

Ist VPN jetzt auch böse? Der Fall Facebook Research

Einige von Ihnen wer­den in den letz­ten Wochen sicher­lich die Nachrichtenlage um Facebook mit­be­kom­men haben. Im Zentrum stand die App “Facebook Research”. Dabei han­delt es sich um ein VPN-Angebot von Facebook, das dem Konzern einen weit­rei­chen­den Zugriff auf die Smartphones der Benutzer gege­ben hat. So konn­te Facebook pri­va­te Nachrichten in sozia­len Netzwerken und Messenger-Apps mit­le­sen — genau­so wie Fotos und Videos der Nutzer ein­se­hen, E‑Mails, Websuchen und Browseraktivitäten pro­to­kol­lie­ren sowie den aktu­el­len Standort der Geräte aus­le­sen.

Jetzt könn­ten Sie sagen: Halt, Momentchen mal, stopp! Seit Ewigkeiten erzäh­len Sie uns, dass VPN die bes­te Möglichkeit ist, sicher im Netz unter­wegs zu sein!? Und jetzt ist es so gefähr­lich!?!?

In der Tat ist VPN eine Technologie, mit der es mög­lich ist, den eige­nen Internetverkehr vor dem Einblick und der Manipulation durch Dritte zu schüt­zen. Das bleibt auch wei­ter­hin so. Wichtig ist jedoch, dass der Anbieter des VPN-Dienstes Ihre Daten nicht mit­pro­to­kol­liert, Ihre Privatsphäre respek­tiert, ver­trau­ens­wür­dig ist und einen hohen Sicherheitsstandard auf­weist.

Wie bei allem, was Sie im Internet tun, gilt auch hier der alte Grundsatz, den wir seit Jahren wie­der­ho­len: Wenn Sie nicht bezah­len, sind Sie das Produkt!

Seien Sie also mehr als skep­tisch, wenn Ihnen ein VPN-Produkt kos­ten­los ange­bo­ten wird. Im Falle von “Facebook Research” war das Produkt nicht nur kos­ten­los — die Benutzer wur­den sogar für die Nutzung bezahlt. Einkaufsgutscheine bis zu 20 Dollar im Monat wink­ten den Nutzern. Spätestens hier müs­sen bei Ihnen sämt­li­che Alarmglocken läu­ten. Finger weg!

Investieren Sie lie­ber weni­ge Euro pro Monat in einen siche­ren VPN-Anbieter oder schau­en Sie, wel­cher seriö­se Anbieter von Sicherheitssoftware ein Bundle anbie­tet, in dem ein VPN-Dienst bereits ent­hal­ten ist. Beispielsweise hat heise einmal eine Liste von diversen Anbietern zusammengestellt.

Wenn man in allem — aber auch wirk­lich allem — etwas Gutes sehen will, kann man die­sem Fall abge­win­nen, dass Facebook hier end­lich ein­mal die Nutzer bezahlt hat, die ihre Daten für Profilbildungen und Monetarisierung zur Verfügung stel­len. Ein bit­te­rer Lohn für einen der­art star­ken Eingriff in die Privatsphäre.

Das Fazit lau­tet also: Marktmechanismen im Internet machen auch vor VPN nicht Halt. VPN ist wei­ter­hin ein gutes Instrument für mehr Sicherheit im Netz. Nutzen Sie einen ver­trau­ens­wür­di­gen und daten­schüt­zen­den VPN-Dienst.

Facebook ist dies nicht.

Ist Schalke 04 schon Meister?

Dass schwa­che Passwörter nach wie vor der Grund für vie­le Datenlecks und Sicherheitsereignisse sind, ist genau­so bekannt wie unvor­stell­bar. Leute, wir haben 2019!!!1! Langsam müss­te bekannt sein, wie mit Passwörtern umzu­ge­hen ist. Auch der aktu­el­le “Bundeshack” wäre mit ver­nünf­ti­gen Passwortmanagement und star­ken Passwörtern nur halb so groß gewor­den.

So zei­gen aber jedes Jahr die Hitlisten der schlech­ten Passwörter, dass vie­le Menschen immer noch die Bequemlichkeit über die Sicherheit stel­len — mit zum Teil ver­hee­ren­den Konsequenzen für ihre Daten, ihre per­sön­li­chen Freiheiten oder den Arbeitgeber. Beliebte Passwörter sind immer noch “123456” oder “pass­word”. Aber wo kom­men eigent­lich die­se Passwort-Charts her? Die Leute wer­den ja nicht ein­fach auf der Straße ihre Passwörter nen­nen! Obwohl:

Es gibt eine viel bes­se­re Quelle für Passwörter als Straßenumfragen. Die Daten für die Passwortcharts ent­stam­men gro­ßen Datenleaks, in denen Millionen Passwörter unab­sicht­lich offen­bart wur­den. Diese Listen sind die Grundlage für so groß­ar­ti­ge Dienste wie Have I Been Pwned, bei dem jeder ein­zel­ne ein­mal über­prü­fen kann, ob die Passwörter zu sei­nen Konten bereits ande­ren bekannt sind. Die Experten von AWARE7 haben sich eben­falls ein­mal die­se Listen vor­ge­nom­men und 5,5 Milliarden Passwörter dar­auf­hin über­prüft, inwie­fern sich deut­sche Fußball-Bundesligisten dort wie­der­fin­den, um auf der Basis eine inof­fi­zi­el­le Bundesligatabelle zu erstel­len.

Demnach wür­de der FC Schalke 04 Deutscher Meister wer­den, da sein Name über 50.000 mal in Passwörtern ver­wen­det wird. Auf den Champions League-Plätzen fol­gen Hertha BSC, Borussia Dortmund und Hannover 96. International wären auch noch Bayern München auf Platz 5 und der VfB Stuttgart auf Platz 6 unter­wegs. Abgestiegen wären Hoffenheim und Nürnberg. In der Relegation müss­te Wolfsburg zit­tern. Die aus­führ­li­che Tabelle mit allen Zahlen fin­den Sie bei AWARE7.

Warum sind Fußballclubs eigent­lich schlech­te Passworte?

Zum einen spricht der häu­fi­ge Gebrauch gegen die Verwendung von Fußballvereinen als Passwort. Zum Zweiten besteht ein Personenbezug, wenn man sei­nen Herzensverein als Passwort wählt. So erfüllt zwar das Passwort “Hannover-96” die Komplexitätskriterien vie­ler Internetdienste — Angreifer hät­ten bei Hannover-Fans dann aber ein leich­tes Spiel. Sollte man also den Erzrivalen als Passwort neh­men? Auch das ist kei­ne gute Idee, da Angreifer auch auf die Idee kom­men könn­ten, das ein­mal aus­zu­pro­bie­ren. Außerdem wür­de das Eintippen des Erzrivalen jedem ech­ten Fußballfan kör­per­li­che Schmerzen berei­ten, was nicht gera­de dazu bei­trägt, Passwörter in ein sym­pa­thi­sche­res Licht zu rücken. Stattdessen erläu­tern wir Ihnen Strategien für siche­re Passworte in unserem Online-Kurs SECUTAIN essentials.

Was jeder aus dem Bundeshack lernen kann

Seit Tagen bestimmt der soge­nann­te Bundeshack die Nachrichten. Ein 20-Jähriger hat anschei­nend über Jahre hin­weg Daten aus der Privatsphäre von Politikern, Journalisten und Prominenten gesam­melt, indem er in pri­va­te Internetkonten ein­brach. Diese ver­öf­fent­lich­te er nach und nach im Rahmen eines Adventskalenders auf Twitter. Daher ist Bundeshack ein recht unglück­lich gewähl­ter Name, da er den Angriff auf Institutionen des Bundes sug­ge­riert — aber genau das Gegenteil ist der Fall. Attackiert wur­den pri­va­te Konten. Was ler­nen wir aus die­sem Vorfall und was soll­ten Sie als Organisation jetzt tun?

Wir sind nicht nur für den Schutz unse­rer Daten ver­ant­wort­lich, son­dern auch für die Daten ande­rer.

Der Bundeshack zeigt sehr anschau­lich, dass das Eindringen in die Konten von etwa 50 Personen aus­reicht, um pri­va­te Informationen von etwa 1.000 Personen zu erlan­gen. Darunter befin­den sich haupt­säch­lich Kontaktdaten aber auch Chatverläufe, pri­va­te Fotos oder Ausweiskopien. Denken Sie ein­mal an die Informationen, die Sie von ande­ren zuge­sandt bekom­men: Fotos, ver­trau­li­che E‑Mails, Instant Messaging-Nachrichten, Firmeninformationen etc. Wir tra­gen also nicht nur die Verantwortung für den Schutz unse­rer Daten, son­dern auch für den Schutz der Daten ande­rer.

Informationssicherheit fängt bei jedem selbst an

Es ver­dich­tet sich mehr und mehr die Nachrichtenlage, dass ein Großteil der Informationen nur erbeu­tet wer­den konn­te, weil ein­zel­ne Personen eini­ge grund­le­gen­de Regeln, wie IT-Sicherheit im pri­va­ten Umfeld her­zu­stel­len ist, nicht beach­te­ten. Das wären bei­spiels­wei­se:

  • der zu nach­läs­si­ge Umgang mit zu schwa­chen Passwörtern: Insbesondere ein­fach zu erra­ten­de Passwörter und das mehr­fa­che Verwenden des glei­chen Passworts bei unter­schied­li­chen Diensten ist ein gro­ßes Risiko.
  • der Verzicht auf 2‑Faktor-Authentifizierung: Die Gründe lie­gen hier in dem häu­fig noch nicht vor­han­de­nen Wissen über die­se Möglichkeit und die Angst vor dem Komfortverlust bei der Anwendung.
  • zu wenig Sensibilität für Phishing: Webseiten, die vor­ge­ben ande­re Webseiten zu sein, um Zugangsdaten zu sam­meln, kön­nen meist schon mit eini­gen ein­fa­chen Dingen als fake ent­larvt wer­den.
  • unsi­che­res Surfen: Der Verzicht auf eine siche­re Datenübertragung beim Surfen kann dazu füh­ren, dass sen­si­ble Daten von Dritten mit­ge­le­sen wer­den kön­nen.

Bei der Beachtung die­ser Punkte wür­de ein Großteil aktu­el­ler Cyberangriffe nicht erfolg­reich durch­ge­führt wer­den kön­nen — also ein­fa­che Regeln und etwas mehr Achtsamkeit für das Thema brin­gen bereits einen erheb­li­chen Sicherheitsgewinn. Damit die Beschäftigten Ihrer Firma die­se Regeln ken­nen­ler­nen und mehr Achtsamkeit ent­wi­ckeln kön­nen, so dass Angriffen weni­ger Erfolgschancen ein­ge­räumt wer­den, soll­ten Sie Ihre Beschäftigten jetzt sen­si­bi­li­sie­ren. Warum jetzt? Aktuell haben Sie eine gro­ße Aufmerksamkeit auf die­ses Thema, weil die media­le Präsenz dazu führt, dass Menschen sich inten­si­ver für die­ses Thema inter­es­sie­ren. Nutzen Sie die­ses Zeitfenster! Wir haben daher ein Angebot für Sie vor­be­rei­tet — gewis­ser­ma­ßen eine Bundeshack-Präventivmaßnahme:

30 Minuten E‑Learning, die Ihr Sicherheitsniveau sofort anhe­ben

Wir haben die grund­le­gen­den Regeln für den siche­ren Umgang mit Informationen in dem E‑Learning ‘SECUTAIN essen­ti­als’ für Ihre Organisation ein­mal zusam­men­ge­stellt — unter­halt­sam, ver­ständ­lich, nach­voll­zieh­bar und kurz­wei­lig — inkl. Nachweis, dass Sie Ihre Beschäftigten für die­ses Thema unter­wie­sen haben. SECUTAIN essen­ti­als fin­den Sie in unserem Shop und ist inner­halb weni­ger Stunden für Ihre gesam­te Organisation ein­satz­be­reit.

Chaos Communication Congress sieht den Menschen als zukünftiges wichtiges Angriffsziel

Zum Ende eines jeden Jahres fin­det der Kongress des Chaos Computer Clubs statt, auf dem sich über die Themen IT-Security, Netzpolitik und die gesell­schaft­li­che Implikation von Technologien aus­ge­tauscht wird. In die­sem Jahr fand der 35. Chaos Communication Congress in Leipzig mit etwa 16.000 Besuchern statt.

Zum mitt­ler­wei­le 13. Mal gab es dabei den Talk “Security Nightmares” von Frank Rieger und Ron Henrik Fulda, der all­jähr­lich einen Rückblick auf die Security-Alpträume des letz­ten Jahres wirft und einen Ausblick auf die Zukunft wagt. Bei die­sem Ausblick wird in die­sem Jahr ins­be­son­de­re das Angriffsziel Mensch in den Fokus gerückt:

Ron Henrik Fulda: Es gibt tech­ni­sche Fortschritte, die statt­fin­den: Apple arbei­tet hart dar­an, ihr Betriebssystem für PCs här­ter zu machen. Microsoft hat gera­de Sandboxing ein­ge­führt. Das sind im gro­ßen Stil Sachen, die für Smartphone- und Tablet-Betriebssysteme nor­mal sind, weil das dort von Anfang an drin war. [..] Das, womit Menschen direkt inter­agie­ren, das wird schon ste­tig bes­ser, wenn es up to date gehal­ten wird.

Frank Rieger: Die gan­zen zuge­na­gel­ten Endpoint-Produkte, die halt mehr so Tablets mit halb­wegs moder­ner Hardware sind, auf denen man kein eige­nes Betriebssystem mehr instal­lie­ren kann, auf denen es noch so ein paar Apps drauf gibt und bei denen die Sicherheit des Systems auch noch durch Hardware-Chips unter­stützt wird, die­se sind schon etwas schwie­ri­ger anzu­grei­fen. Und daher war für uns die Frage: Was pas­siert denn jetzt eigent­lich? Denn die Evolution geht natür­lich wei­ter. Und bis­her war es nie so, dass sich ins­be­son­de­re die Kriminellen davon auf­hal­ten las­sen haben, dass da irgend­was pas­siert. Die logi­sche Konsequenz ist, dass Sicherheit immer mehr zu so einem Layer 8‑Problem wird. Das Problem sitzt also zwi­schen Bildschirm und Stuhl.

Layer 8 refe­ren­ziert ein Kommunikationsmodell, in dem die Kommunikation von Informationen in unter­schied­li­che Schichten (Layers) auf­ge­teilt wird. Neben sie­ben tech­ni­schen Schichten spricht man ger­ne vom Layer 8, der gleich­be­deu­tend mit dem Menschen ist. Wenn Ihr IT-Admin also beim nächs­ten mal sagt, dass bei Ihnen ein Layer 8‑Problem vor­lag, wis­sen Sie, was Sie davon zu hal­ten haben.

Frank Rieger: Wir haben ja schon so ein paar frü­he­re Vorfahren davon gese­hen. Da gab es vor ein paar Jahren einen inter­es­san­ten Trojaner, der bei einer bestimm­ten Bank über einen Exploit, der, wenn er im Tab neben­an lief und man sein Homebanking auf­ge­macht hat, dem Benutzer etwas sug­ge­rier­te: ‘Hey, Du hast gera­de eine Überweisung über 750 Euro bekom­men. Das war lei­der eine Fehlüberweisung. Und weil Du ein ehr­li­cher Mensch bist, möch­test Du das jetzt bit­te zurück über­wei­sen.’ Das bedeu­tet, das war ein Angriff dar­auf, was in Deinem Kopf pas­siert. Weil man ein ehr­li­cher Mensch sein möch­te, haben die Leute das Geld zurück­über­wie­sen. Da hilft dann kei­ne Sicherheitsmaßnahme, weil der Mensch es woll­te. Und wir den­ken, dass genau da die Zukunft für Angriffe liegt. Dass sich die Angriffe immer mehr gegen das mensch­li­che Gehirn rich­ten wer­den und die tech­ni­schen Angriffe nur Hilfsmittel dazu sein wer­den.

Ron Henrik Fulda: Dieser I‑Love-You-Virus war vor 18 Jahren. Einer aus dem Berliner Club hat mir erzählt, dass er sich extra dafür ein Windows auf­ge­setzt hat, um die E‑Mail auf­ma­chen zu kön­nen, weil die­se von mei­ner Freundin kam. Die Menschen gehen also weit, um die Message zu hören, wenn die Message rich­tig ist.

Der gesam­te Vortrag ist unter https://media.ccc.de/v/35c3-9685-security_nightmares_0x13 unter einer Creative Commons Lizenz ver­öf­fent­licht. Die über­nom­me­nen Textpassagen in die­sem Beitrag wur­den zur bes­se­ren Lesbarkeit leicht ange­passt.

Wenn Sie wis­sen möch­ten, mit wel­chen Risiken Organisationen rech­nen müs­sen, wenn Angriffe gegen das Wissen und das Handeln der Menschen statt­fin­den und wie Menschen für die­se Themen sen­si­bi­li­siert und acht­sam gemacht wer­den kön­nen, dann kontaktieren Sie uns einfach.

Wie sage ich es meinem Digital Native?

Junge Arbeitnehmer sind die begehr­tes­ten. So sagt man. Sie sind zeit­lich fle­xi­bel, belast­bar, form­bar und haben häu­fig noch nicht die Ansprüche an eine rie­si­ge Bezahlung. Etwas ande­res ist ihnen häu­fig sehr viel wich­ti­ger: Sie gehö­ren zur Generation der digi­tal Natives – also die Personen, die von klein auf mit digi­ta­len Medien umge­hen und die Nutzung des Internets jeder­zeit und über­all eine Selbstverständlichkeit ist. Persönliche Gedanken wer­den mit der gan­zen Welt geteilt. Immer online. Alle Daten. Auf allen Geräten. Überall.

Nun ist die­ser Anspruch häu­fig nur schwer auf die Arbeitswelt über­trag­bar. Hier gibt es oft vor­ge­ge­be­ne Geräte aus vor­ge­ge­be­nen Gerätekategorien. Beschränkte Zugriffe, ein­ge­schränk­te Dienste, Berechtigungsstrukturen und schon gar nicht den hei­ßen Shice von der letz­ten Keynote. Also genau das Gegenteil von dem, was die­se Generation so kennt.

Diesem Thema hat sich vor Kurzem eine Studie, die von der Firma Centrify in Auftrag gegeben worden ist, ange­nom­men. Die ermit­tel­ten Werte unter­stüt­zen die vor­ge­nann­te These: So pos­ten 13% der 18 bis 24-jäh­ri­gen Arbeitnehmer Gedanken über sozia­le Netzwerke. 21% küm­mern sich nicht dar­um, ob ihre Äußerungen im Internet dem Arbeitgeber scha­den kön­nen. Im Gegenteil: 18% geben offen zu, dass ihre Posts die Sicherheit gefähr­den kön­nen. Nur 14% füh­len sich ver­ant­wort­lich für den Schutz der Daten. 44% sehen die­se Rolle bei der IT (was für ein Trugschluss!), 21% bei ihrem Chef (schon bes­ser – aber auch nicht gut).

Dieses Verhalten führt zu eini­gen Ängsten bei den Entscheidern gegen­über der jun­gen Arbeitnehmer-Generation. So befürch­ten 35% der Entscheider, dass die­se Generation von Arbeitnehmern für Datenlecks ver­ant­wort­lich ist, dass sie zu leicht­fer­tig Informationen teilt (30%) und sich zu sehr auf die Technologie ver­lässt (35%).

Dies hat zwei Aspekte: Technische Maßnahmen & Awareness.

Was zur Technik zu sagen wäre:
Das Umgehen von Sicherheitsrichtlinien wird Beschäftigten häu­fig leicht gemacht. So wird bei 40% der Beschäftigten kein Passwortwechsel erzwun­gen, was dazu führt, dass 14% ein Passwort nut­zen, das älter als ein Jahr ist. 14% benut­zen das glei­che Passwort für pri­va­te und dienst­li­che Anmeldungen. Ein Bewusstsein für Sicherheit ent­steht auch dann, wenn Menschen hin und wie­der auf­ge­for­dert wer­den, etwas dafür zu tun (Passwortwechsel) oder wohl­do­siert an ent­spre­chen­de Grenzen sto­ßen. Wohldosiert wohl­ge­merkt.

Was zur Awareness zu sagen wäre:
Warum ver­hal­ten sich jun­ge Arbeitnehmer so, wie sie es tun? Nur, wenn sich damit aus­ein­an­der­ge­setzt wird, kann nach­hal­ti­ge und erfolg­rei­che Awarenesskommunikation statt­fin­den. Jedoch nur 39% der Entscheider sagen, dass sie genug tun, um die Anforderungen die­ser Generation zu ver­ste­hen. Viele ver­sa­gen auch in ihrer Rolle als Vorbildfunktion in Punkto Informationssicherheit: 14% der Entscheider kli­cken auf ver­däch­ti­ge Links – nur 9% in der jun­gen Generation. Das Weitergeben von Passworten ist lei­der in bei­den Gruppen recht beliebt: 16% der Jungen bzw. 15% der Entscheider. Erschreckende Zahlen mit einem hohen Risiko, die nur mit wirk­sa­mer Awarenesskommunikation abge­senkt wer­den kön­nen.

Was sagt uns das alles nun?
Der Anspruch, den jun­ge Arbeitnehmer an ihren IT-Arbeitsplatz stel­len, ist geprägt durch den pri­va­ten Umgang mit IT-Technologien. Der offe­ne Umgang mit Informationen und neu­en Technologien passt häu­fig nicht in den Kontext von Organisationen, die ihre Informationen schüt­zen wol­len. Arbeitgeber, die jedoch gewis­se Freiheiten nicht zuge­ste­hen, wer­den für jun­ge Arbeitnehmer unat­trak­tiv.

Um die­se Generation von der Notwendigkeit des Schutzes für das Überleben und selbst­be­stimm­te und erfolg­rei­che Handeln von Organisationen zu über­zeu­gen, bedarf es einer Ansprache, die die­se Generation ver­steht, akzep­tiert und in Handlungen umsetzt. Verständnis weckt man nicht durch das Wiederholen von Sicherheitsvorgaben, das Verweisen auf Richtlinien oder das Verhängen von dis­zi­pli­na­ri­schen Konsequenzen (84% der Unternehmen tun das). Es geht dar­um, an der Lebenswirklichkeit jun­ger Arbeitnehmer anzu­do­cken, Betroffenheit zu erzeu­gen, mög­li­che Konsequenzen von Einstellungen zu Informationen dar­zu­stel­len und die jun­ge Generation zu moti­vie­ren, an dem Schutz Ihrer Informationen und der Informationen des Arbeitgebers aktiv mit­zu­wir­ken.

Es geht nicht um das Verteufeln alles Neuen, son­dern um Aufklärung über mög­li­che Angriffsvektoren, mög­li­che Folgen für die Firma und das Privatleben. Die tech­ni­kaf­fi­ne Generation hat häu­fig bereits eine gute Vorstellung vom Internet und sei­nen Gefahren. Darauf kann man in Sensibilisierungsmaßnahmen, die auf die­se Generation zuge­schnit­ten sind, gut auf­bau­en. Informierte, sen­si­bi­li­sier­te Beschäftigte kön­nen auf Basis die­ses Wissens selbst sehr gute Entscheidungen tref­fen. Richtlinien wer­den in die­sem Falle als Unterstützung und hilf­rei­chen Leitfaden ange­se­hen.

SECUTAIN auf Veranstaltungen 2018

In 2018 fin­den noch eini­ge sehr span­nen­de Veranstaltungen rund um das Thema “Informationssicherheit” statt. Wir freu­en uns, zu die­sen Veranstaltungen einen fach­li­chen Beitrag leis­ten und ent­spre­chen­de Vorträge hal­ten zu dür­fen:

 

  • 04. bis 05. September: D‑A-CH Security 2018 (Gelsenkirchen) / Vortragstitel “Neue Narrative für Informationssicherheit”
  • 20. September: cybics Konferenz (Bochum) / Vortragstitel “Security Awareness 4.0”
  • 21. bis 23. November: 17. SECUTA (Garmisch Partenkirchen) / Vortragstitel “Awareness & Sensibilisierung für Informationssicherheit”
  • 20. bis zum 23. November:  DOAG 2018 Konferenz + Ausstellung (Nürnberg) / Vortragstitel “Awareness für Informationssicherheit”

 

Wir wür­den uns freu­en, Sie dort tref­fen zu dür­fen.