Tag Archives: hacking

Computer IT Software

Vorsicht vor bösartigen WordPress Phishing E-Mails

Neue Phishing Methode attackiert WordPress Seiten

Vorsicht vor bösartigen WordPress Phishing E-Mails

Diese Info ist für WordPress Seitenbetreiber sehr wichtig: Aktuell nutzen Betrüger eine Phishing Methode, um in den Besitz von WordPress Logindaten zu kommen. Dabei bekommen WordPress Seitenbetreiber E-Mails gesendet, die täuschend echte WordPress Design-Elemente enthalten und auch vom Inhalt her sehen die sog. Scam E-Mails wie eine legitime Nachricht aus. Diese Mails sind jedoch Kopien der realen Systemmeldungen, die Benutzer darüber informieren, dass eine Aktualisierung ihres WordPress Systems fällig ist. Wenn man nicht genau hinsieht, kann es gefährlich werden und im schlimmsten Fall dazu führen, dass man seine WordPress Logindaten an fremde Personen übermittelt.

Die Profis des WordPress Hosting Anbieters HostPress beschreiben in Ihrem Blogbeitrag wie genau diese Methode abläuft (mit Screenshots) und erklären auch wie man sich davor schützen kann.

Hier geht’s zum Blogbeitrag:

Achtung: Aktuell WordPress Phishing E-Mails im Umlauf

Als Startup mit innovativer Geschäftsidee verfolgt HostPress das Ziel, der kundenfreundlichste und schnellste WordPress Hoster Deutschlands zu werden.

Kontakt
HostPress GmbH
Marcus Krämer
Koßmannstraße 7
66571 Eppelborn
0688193629620
info@hostpress.de
https://www.hostpress.de

Computer IT Software

Bitglass-Report: Sicherheitsvorfälle im Finanzwesen 2018 auf Rekordniveau

Anzahl der Ereignisse nahezu verdreifacht/Über 70 Prozent durch Malware und Hacking verursacht /Massiver Datenverlust im Bankenwesen

Bitglass, Next-Gen CASB-Anbieter, gibt in seinem aktuellen Financial Breach Report 2018 einen Überblick der Sicherheitsvorfälle im Finanzwesen im Zeitraum von Januar bis August diesen Jahres. Mit insgesamt 103 bekannt gewordenen Sicherheitsvorfällen hat sich die Zahl gegenüber dem Jahr 2016, in dem der letzte Bitglass-Report erschien, nahezu verdreifacht (2016: 37 Fälle). Fast drei Viertel dieser Vorfälle (73,5 Prozent) gehen dabei auf Hacking und Malware zurück. Auch dies markiert einen massiven Anstieg gegenüber 2016, in dem auf diese lediglich 20 Prozent aller Vorfälle entfielen. Die wesentlichen Gefahren, von denen Finanzunternehmen im Jahr 2018 betroffen waren, waren Ransomware wie WannaCry sowie verschiedene Ransomware-as-a-Service-Varianten, Cloud-Kryptojacking und modulare Banking-Trojaner wie Emotet.

Enormer Verlust von sensiblen Daten im Bankenwesen in 2018
Auch die Anzahl an verloren gegangenen Datensätzen, die 2016 noch insgesamt bei 64.512 Stück lag hat sich massiv gesteigert. Allein die Summe der verloren gegangenen Daten bei den drei größten Vorfällen 2018 übertrifft die aus dem Jahr 2016 bei Weitem: Spitzenreiter, was die Anzahl an exponierten Daten anbelangt, ist SunTrust Banks mit 1,5 Millionen Datensätzen, mit deutlichem Abstand gefolgt von Guaranteed Rate (188.000 Datensätze) und der RBC Royal Bank (66.000 Datensätze).

„Finanzunternehmen verarbeiten regelmäßig sensible, regulierte Daten wie Privatadressen, Kontoauszüge und Sozialversicherungsnummern“, sagte Rich Campagna, CMO von Bitglass. „Diese Art von Informationen ist ein unglaublich attraktives Ziel für Kriminelle, was bedeutet, dass sie sehr wachsam sein müssen, wenn es um Cybersicherheit geht. Wenn es nicht gelingt, Daten zu schützen und die gesetzlichen Vorschriften einzuhalten, kann dies für jedes Unternehmen eine Katastrophe bedeuten.“

Methodik
Bitglass aggregierte Daten aus dem Identity Theft Resource Center (ITRC) und dem Privacy Rights Clearinghouse (PRC). Diese eigenständigen Datenbanken sammeln Jahr für Jahr Informationen über Datendiebstahl in Finanzdienstleistungsunternehmen. Durch die gleichzeitige Analyse ihrer Aufzeichnungen konnte Bitglass Erkenntnisse über die finanziellen Verletzungen im Jahr 2018 gewinnen.

Der Financial Breach Report 2018 von Bitglass steht unter folgendem Link zum Download zur Verfügung: https://pages.bitglass.com/FinancialWorldBreachKingdom.html

Über Bitglass
Bitglass ist ein weltweit tätiger Anbieter einer NextGen-CASB-Lösung mit Sitz im Silicon Valley. Die Cloud-Sicherheitslösungen des Unternehmens bieten agentenlosen Zero-Day-, Daten- und Bedrohungsschutz überall, für jede Anwendung und jedes Endgerät. Bitglass wird finanziell von hochrangigen Investoren unterstützt und wurde 2013 von einer Gruppe von Branchenveteranen gegründet, die in der Vergangenheit zahlreiche Innovationen eingeführt und umgesetzt haben.

Firmenkontakt
Bitglass
Rich Campagna
Campbell Technology Parkway 675
95008 Campbell CA
(408) 337-0190
deutschland@touchdownpr.com
http://www.bitglass.com/

Pressekontakt
Touchdown PR
Kerstin Sturm
Friedenstr. 27
82178 Puchheim
+49 89 215522788
deutschland@touchdownpr.com
http://www.touchdownpr.com

Computer IT Software

Die häufigsten Methoden, mit denen Ihre Mitarbeiter gehackt werden und wie man sie verhindert

Die häufigsten Methoden, mit denen Ihre Mitarbeiter gehackt werden und wie man sie verhindert

Die häufigsten Methoden, mit denen Ihre Mitarbeiter gehackt werden und wie man sie verhindert.
Ein Leben ohne Internet und Datenkonnektivität ist nur noch schwer vorstellbar, sind wir von diesen Dingen doch sehr abhängig. Untersuchungen zeigen, dass wir durchschnittlich 6,7 Stunden am Tag online sind, und mit der raschen Verbreitung des Internets der Dinge wird es immer schwieriger, mit der Masse an Daten und Informationen Schritt zu halten.
Kleine Unternehmen sind für Cyberkriminelle „Big Business“ 50 % aller Cyberangriffe richten sich gegen kleine Unternehmen. Hacker machen sich die gängige Vorstellung zu Nutze, dass kleine Unternehmen in Sachen Cyberabwehr nicht auf dem gleichen Niveau liegen wie große Organisationen.
Entgegen der landläufigen Meinung sind kleine Unternehmen nicht weniger anfällig für Cyberangriffe als große Organisationen; auf sie entfallen fast 50 % aller Attacken. Bedenken wir, dass Mitarbeiter in 56% der Zeit sensible Geschäftsdaten auf ihren Laptops, Smartphones und Tablets bei sich tragen, so wird schnell klar, dass die Einführung von Cyber Security Maßnahmen zum Schutz der Widerstandsfähigkeit des Unternehmens unerlässlich ist.
Einen formalen Rahmen für die unternehmensweite Implementierung bildet die ISO 27001, die international führende Norm für ISMS (Managementsysteme für Informationssicherheit). Sie bietet Organisationen ein Best-Practice-Gerüst zur Identifizierung, Analyse und Implementierung von Kontrollen, mit denen Risiken hinsichtlich Informationssicherheit gemanagt und die Integrität geschäftskritischer Daten sichergestellt werden. Bereits vor einer Zertifizierung Ihres Unternehmens nach der ISO 27001 macht es Sinn, eine Kultur der „Cyber Awareness“ innerhalb des Unternehmens bei Ihren Mitarbeitern zu etablieren. Hier sind die fünf häufigsten Methoden, mit denen Mitarbeiter gehackt werden, sowie einfache Vorgehensweisen, wie Sie dies verhindern können und durch deren Umsetzung die Widerstandsfähigkeit Ihres Unternehmens gegen die Bedrohung durch Cyberangriffe gestärkt wird. Die Bedeutung einer ISO 27001-Zertifizierung für Ihr Unternehmen Wenn Informationssicherheitssysteme nicht ordnungsgemäß verwaltet und gepflegt werden, laufen Unternehmen Gefahr, ernsthafte finanzielle Schäden und Reputationsverluste zu erleiden. Die ISO 27001 trägt dazu bei, dass Ihre Organisation über die richtigen Kontrollen verfügt, um das Risiko schwerer Bedrohungen der Datensicherheit zu reduzieren und die Ausnutzung jeglicher Systemschwächen zu vermeiden.
1. Email-Phishing
Phishing ist eine der häufigsten Methoden, die von Cyberkriminellen verwendet wird, um Menschen online zu schaden. Betrüger versuchen, über Emails an sensible persönliche Informationen zu gelangen und Schadsoftware auf Geräten zu installieren.
Je nach anvisiertem Opfer werden verschiedene Arten von Email-Phishing-Angriffen verwendet:
Phishing im großen Stil
Die Angreifer werfen ein breites Netz aus, in der Hoffnung, dass sich möglichst viele Opfer darin verfangen.
Spear Phishing
Maßgeschneiderte Angriffe, die unter Nutzung persönlicher Daten auf eine bestimmte Gruppe oder einzelne Personen gerichtet sind.
Whaling („Walfang“)
Eine Form des Spear-Phishing, die auf Führungskräfte innerhalb einer Organisation (z.B. CEOs oder CFOs) abzielt.
Ebenfalls gibt es das Voice Phishing (oder Vishing), bei dem finanzielle oder persönliche Details über das Telefon erfragt werden. Eine gängige Masche der Betrüger ist hierbei, sich als Mitarbeiter einer Behörde auszugeben und so das Opfer einzuschüchtern. Nicht selten sind es automatisierte Anrufe. Eine weitere Methode ist das SMS-Phishing (oder Smishing), bei der Betrüger Textnachrichten verwenden, um Menschen dazu zu verleiten, private Informationen preiszugeben oder ihre Smartphones mit Malware zu infizieren.
2. Phishing in sozialen Medien
Social Media bildet den perfekten Nährboden für Cyberkriminelle. Frühere Berichte schätzten die jährlichen Kosten der Internetkriminalität allein in den USA auf 100 Milliarden US-Dollar.
Das liegt wahrscheinlich daran, dass wir in sozialen Medien mit einem trügerischen Gefühl von Privatsphäre und Vertrautheit agieren, wenn wir mit Menschen kommunizieren, die wir bereits kennen. Wenn in Ihrem Unternehmen Teams einen großen Teil Ihrer Arbeit in sozialen Netzwerken verbringen, z. B. der Kundenservice, das Digitalmarketing oder die Unternehmenskommunikation, müssen diese potenziell schädliche Beiträge identifizieren können. Die Auswirkungen, wenn Betrüger die Marke Ihrer Organisation nutzen, um echten Kunden zu schaden, können extrem schädlich sein. Nicht nur in finanzieller Hinsicht, sondern auch das Image bzw. die Reputation betreffend.
3. Öffentliche WLAN-Hotspots
Öffentliche WLAN-Netzwerke gibt es überall – in Cafes, Hotels, Flughäfen und anderen öffentlichen Bereichen. Auch „cyberaffine“ Mitarbeiter können aufgrund der Notwendigkeit, ständig online sein zu müssen, zum Opfer werden und eine Verbindung zu unsicheren WLAN-Netzwerken aufbauen.
Daten, die über ein ungesichertes öffentliches WLAN-Netzwerk übertragen werden, können leicht von jemand anderem im selben Netzwerk gehackt werden. Nach dem ersten Zugriff können Angreifer auf Geräte aus der Ferne zugreifen – auf persönliche Fotos oder auf streng vertrauliche E-Mails von Ihrem CFO. Wenn Hacker an Passwörter gelangen, nutzen sie diese, um auf andere Konten zuzugreifen, einschließlich Social Media Profile, von denen aus sie schwerere Verstöße wie Online-Identitätsdiebstahl begehen.
4. Online-Transaktionen, Mobile Apps und Software-Downloads
Wir neigen zu der Annahme, dass „harmlose“ Online-Aktivitäten wie das Herunterladen von Software, Zahlungsvorgänge und der Zugriff auf arbeitsbezogene Daten auf unseren Smartphones keine Sicherheitsrisiken darstellen.
Oft sind sich die Mitarbeiter dieser Risiken nicht bewusst und installieren Malware versehentlich auf Firmengeräten oder ermöglichen Hackern und Cyberkriminellen unbeabsichtigt Zugang zu Firmennetzwerken.
5. Betrügerische Mitarbeiter
Ebenfalls neigen wir dazu, nachlässig zu werden, wenn es um die Geräte an unserem Arbeitsplatz geht. Wir vertrauen unseren Kollegen, müssen uns aber in Zeiten von Cyber-Spionage der theoretischen Möglichkeit bewusst sein, dass wir ein Büro mit einem Mitarbeiter teilen könnten, der versucht, die IT-Systeme des Unternehmens zu gefährden.
Wie Sie Ihr Unternehmen vor Cyberangriffen schützen
74% der Unternehmen glauben, dass die eigenen Mitarbeiter in Bezug auf Cyber Security die größte Schwachstelle darstellen. Wenn auch Sie dies erkannt haben und Ihre Mitarbeiter mit den richtigen Werkzeugen ausstatten, dann erhöhen sich die Chancen Ihres Unternehmens, widerstandsfähig zu bleiben und somit sich sich selbst und die digitalen Ressourcen zu schützen.
Beachten Sie diese grundlegenden Tipps zur Stärkung der Cyber-Resilience:
Ordnen Sie ein grundlegendes Training zur Informationssicherheit an. Stellen Sie sicher, dass jeder Ihrer Mitarbeiter ein grundlegendes Verständnis hinsichtlich Informationssicherheit und ihrer Bedeutung für das Unternehmen hat. Bestandteil des Trainings sollte die Erläuterung einfacher Vorgehensweisen sein, die in ihren Alltag passen, z.B. die Geräte beim Verlassen des Arbeitsplatzes sperren, niemals fremde USB-Geräte an Laptops anschließen sowie die Identifizierung von Online-PhishingAktivitäten. Ein einfaches Mantra zur Bekämpfung von E-Mail-Phishing lautet z. B. „Im Zweifelsfall weg damit!“ („When in doubt, throw it out!“). Schulungen sind wichtig, sollten aber niemals die alleinige Maßnahme gegen substanzielle Cyberrisiken sein.
Seien Sie sich bewusst, dass niemand sicher ist.Wenn Sie verstanden haben, dass jeder Mitarbeiter ein potenzielles Angriffsziel darstellt, dann ist das schon die halbe Miete. Helfen Sie Ihren Mitarbeitern, die realen Gefahren eines Cyberangriffs zu erkennen und ernst zu nehmen und fassen Sie diese einfach und verständlich zusammen.
Implementieren Sie einen Datensicherungszeitplan. Wenn Sie kritische Daten oft genug und auf externen Netzwerken sichern, sind die Chancen höher, dass im Falle eines Cyberangriffs eine aktuelle Kopie in Reichweite ist und die Daten von der Ursache des Lecks getrennt gehalten werden.
Verschlüsseln Sie so viel wie möglich. Das Speichern von Daten in einem verschlüsselten Format ist mittlerweile so einfach wie der Kauf eines vorverschlüsselten USB-Speichergerätes. Auch in vielen Versionen von Windows ist eine Verschlüsselung integriert, und es gibt viele kostenlose Verschlüsselungs-Tools.
Passen Sie die Zugriffsberechtigungen der Mitarbeiter an. Nicht selten nimmt ein Hacker eine absichtliche Infiltration vor, indem er als Teilzeitmitarbeiter oder auf einer niedrigen Ebene eingestellt wird. Richten Sie also die Zugriffsberechtigungen an der jeweiligen Ebene aus. Richtet sich der Hackerangriff nun an einen Mitarbeiter mit leitender Funktion, dann kann die Beschränkung seines Einflusses auf andere Teile des Systems dazu beitragen, das Ausmaß des Schadens gering zu halten. Kurz gesagt: Geben Sie Ihren Mitarbeitern lediglich Zugang zu den Systemen und Daten, die sie tatsächlich verwenden bzw. bearbeiten.
Geben Sie nie Ihr Passwort weiter Jeder Mitarbeiter, der auf ein System zugreift, sollte über eindeutige Anmeldeinformationen verfügen. Dieses Vorgehen ermöglicht es nicht nur, die Aktivitäten der Mitarbeiter im Falle einer Sicherheitsverletzung zu überprüfen, sondern ermutigt auch dazu, Passwörter besser zu schützen. Es gibt wirklich keinen Grund, jemand anderem Ihr Passwort zu verraten. Und wenn Sie es doch tun, stellen Sie sicher, dass es so schnell wie möglich geändert wird.
Implementieren Sie eine Passwort-Richtlinie. Komplexe Passwörter sind wichtig, führen aber oft dazu, dass Mitarbeiter sie aufschreiben oder in verschiedenen Variationen wiederverwenden. Eine einfache Methode ist es, an einen Satz wie „Thomas ist der beste Papa auf der ganzen Welt“ zu denken und diesen abgekürzt als Passwort zu verwenden -> TidbPadgW!. Ziehen Sie für extrem sensible Systeme stärkere Formen der Authentifizierung wie Biometrie oder MultiFaktor-Authentifizierung in Betracht.
Beachten Sie die dunkle Seite der sozialen Medien Phishing in sozialen Medien kann für Organisationen ein Albtraum sein. Identitätsdiebstahl im Internet hat ernsthafte Konsequenzen und ein einziges gefälschtes Profil kann einen über Jahrzehnte aufgebauten Markenwert zerstören. Implementieren Sie entsprechende Maßnahmen, um die Einhaltung tolerierbarer Sicherheitsschwellen sicherzustellen und vermitteln Sie den Mitarbeitern, wie sie betrügerische Phishing-Versuche auf den verschiedenen Social Media-Kanälen identifizieren können.
Installieren Sie Sicherheitssoftware. Dies versteht sich eigentlich von selbst, kann aber nicht oft genug wiederholt werden. Alle digitalen Geräte, einschließlich Tablets und Smartphones, die vertrauliche Informationen enthalten oder die mit anderen Geräten verbunden sind, die diese enthalten, benötigen Sicherheitssoftware. Es gibt online diverse gängige und preiswerte Pakete, die unter anderem Antiviren-, Firewall- und Anti-Spam-Software sowie andere nützliche Technologien enthalten. Diese sollten auf „Auto-Update“ gesetzt werden, um sicherzustellen, dass die Programme ständig und automatisch auf den neuesten Stand gebracht werden. Durch diese Vorgehensweise sorgen Sie dafür, dass Ihre Sicherheitssoftware stets aktuelle Abwehrmechanismen gegen neue Cyber-Bedrohungen und zunehmend fortschrittliche Malware umfasst.
Kreuz-Kontamination über persönliche Geräte ist eine reale Gefahr Mitarbeiter, die über ihre privaten Laptops oder Smartphones auf Unternehmenssysteme zugreifen, riskieren eine Kreuz-Kontamination. Wenn Sie Ihren Mitarbeitern erlauben, eigene Geräte für berufsbezogene Aktivitäten zu verwenden, stellen Sie die Sicherheit dieser Geräte durch die Nutzung entsprechender Technologien sicher.
Ziehen Sie eine ISO 27001-Zertifizierung in Betracht. Unterschätzen Sie nicht den Wert, den eine Fachkraft für Informationssicherheit für Ihr Unternehmen haben kann. Die Kosten für die Einstellung eines Experten werden sich schnell amortisieren. Sie sparen Zeit, Geld und Ärger. Die Frage ist nämlich nicht ob, sondern wann Ihre Organisation zu einer Zielscheibe wird. Unabhängige Third-Party-Anbieter wie LRQA können Sie bei der Entwicklung eines Konzeptes zur Sicherstellung der Netzsicherheit im gesamten Unternehmen unterstützen. Kleine Unternehmen machen einen kostspieligen Fehler, indem sie davon ausgehen, dass ihre Daten im Vergleich zu größeren Organisationen von geringerer Bedeutung sind. Hacker nutzen dies aus, was erklärt, warum kleine Unternehmen so häufig betroffen sind. Mit einem systematischen Ansatz wird Ihre Organisation in der Lage sein, entsprechende Risiken zu antizipieren und zu verhindern, sowie im Falle des Auftretens eines tatsächlichen Problems besser mit diesem umzugehen. Die weitverbreitetste Möglichkeit hierfür ist die ISO 27001-Zertifizierung. Einfach ausgedrückt ist die ISO 27001 die weltweit einheitliche Sprache, wenn es darum geht, informationsbezogene Risiken zu beurteilen, zu bearbeiten und zu managen.
Einige Vorteile der ISO 27001-Zertifizierung:
Als einzige auditierbare internationale Norm, die die Anforderungen eines ISMS spezifiziert, stellt die ISO 27001 die Einhaltung gesetzlicher, vertraglicher und regulatorischer Anforderungen sicher
Flexibilität der Integration von ISO 27001 mit anderen wichtigen Managementsystemen wie ISO 9001 und ISO 14001 durch gemeinsame High Level Struktur
Management-Framework für alle Organisationen, unabhängig von Größe, Branche oder Standort
Erlangung von Wettbewerbsvorteilen und damit einer besseren Marktposition
Kostenminimierung sowie Schutz vor finanziellen Verlusten im Zusammenhang mit Datenverletzungen
Verbesserte „Cyber Awareness“ in der gesamten Organisation, indem Cyberrisiken im Tagesgeschäft der Mitarbeiter klar benannt werden

Weitere Informationen können Sie kostenfrei anfordern unter: info@lrqa.de oder unter: http://www.lrqa.de/kontakt-und-info/anfrage-an-lrqa.aspx

Über Lloyd´s Register

Wir haben 1760 als Schiffsklassifizierungsgesellschaft begonnen. Heutzutage sind wir ein weltweit führender Anbieter technischer Unternehmensdienstleistungen und Technologien und verbessern die Sicherheit und Leistung kritischer Infrastrukturen unserer Kunden in über 75 Ländern, weltweit. Mit unseren Gewinnen finanzieren wir die Lloyds Register Foundation, eine wohltätige Stiftung, die die Wissenschafts- und Technik-bezogene Forschung, Ausbildung und unser öffentliches Engagement unterstützt. All das unterstützt uns bei unserem Ziel, das uns tagtäglich antreibt: Zusammen für eine sichere Welt zu arbeiten.
Wir wissen, dass in einer immer komplexeren Welt, die mit Daten und Meinungsäußerungen überfrachtet ist, Technologie allein nicht ausreicht, um erfolgreich zu sein. Unsere Kunden benötigen einen erfahrenen Partner. Einen Partner, der genau zuhört, sich nicht ablenken lässt und sich auf das konzentriert, was für ihn und die Kunden wirklich wichtig ist. Unsere Ingenieure und technischen Experten engagieren sich für Sicherheit. Das bringt die Verpflichtung mit sich, neuen Technologien positiv zu begegnen und Leistungssteigerungen zu fördern. Wir prüfen die Bedürfnisse unserer Kunden mit Sorgfalt und Empathie und nutzen dann unsere Expertise und unsere über 250 Jahre Erfahrung, um allen eine intelligente Lösung zu bieten. Denn es gibt Dinge, die Technologie nicht ersetzen kann.
Weiter Information erhalten Sie durch info@lrqa.de oder 0221- 96757700. Den Lloyd´s -Newsletter erhalten Sie unter: http://www.lrqa.de/kontakt-und-info/news-abonnieren.aspx Weitere Infos unter: http://www.lrqa.de/standards-und-richtlinien/angebot-anfordern.aspx

Kontakt
Lloyd´s Register Deutschland GmbH
Carl Ebelshäuser
Adolf Grimme Allee 3
50829 Köln
+49 (0)221 96757700
info@lrqa.de
http://www.lrqa.de

Wissenschaft Technik Umwelt

Claudio Guarnieri ab sofort buchbar bei CSA

Kaum ein Thema ist momentan so präsent und nachgefragt wie Digitalisierung. Ob Cyberangriffe oder digitaler Wandel – sowohl für Unternehmen, als auch für Privatpersonen bestimmt die Thematik mehr und mehr den Alltag. Die Redneragentur CSA ist daher stets auf der Suche nach informativen Rednern mit einem spannenden Background, die mit ihrer Expertise etwas Licht in die nach wie vor etwas dunkle Materie bringen. Mit Claudio Guarnieri hat die CSA einen weiteren Referenten im Portfolio, der Aufklärung betreibt und sich für Informations- und Computersicherheit, sowie Privatsphäre in einer digitalisierten Welt einsetzt. Claudio ist einer der bekanntesten und talentiertesten Hacker und Sicherheitsforscher der Szene, darüber hinaus ist er Leitender Technologe der Menschenrechtsorganisation Amnesty International. Er berät Organisationen zu operativer Sicherheit und digitaler Gefahrenabwehr, ist Entwickler der Open-Source-Schadsoftware-Analyse-Tools Cuckoo Sandbox und Viper, ist 2016 Mitbegründer der NGO „Security Without Borders“ gewesen und wurde im selben Jahr vom Forbes-Magazin in die Bestenliste der 30 Under 30 gewählt.
Vorträge von Claudio Guarnieri sind buchbar über www.celebrity-speakers.de.

Seit über 25 Jahren ist CSA Celebrity Speakers Associates eine der international führenden Redneragenturen. Mit 22 Standorten weltweit bietet CSA professionellen internationalen Service, kreative Problemlösungen und langjährige Beziehungen zu den renommiertesten Persönlichkeiten weltweit. Für den deutschsprachigen Raum ist die Redneragentur CSA in Düsseldorf mit einem eigenen Büro präsent. CSA repräsentiert herausragende Managementexperten, Unternehmerpersönlichkeiten, Politiker, Wissenschaftler, Sportler, Denker, Macher, Visionäre und außergewöhnliche Persönlichkeiten. Unsere Referenten inspirieren, informieren und motivieren als Keynote Speaker, Diskussionspartner, Moderatoren und Berater.

Kontakt
CSA Celebrity Speakers GmbH
Torsten Fuhrberg
Elisabethstraße 14
40217 Düsseldorf
0211 / 386 00 70
info@celebrity-speakers.de
http://www.celebrity-speakers.de

Wissenschaft Technik Umwelt

GrammaTech Team TECHx: Silber in DARPAs CGC Wettbewerb

TECHx belegt Platz 2 im weltweit ersten All-Machine Hacking Wettbewerb

GrammaTech Team TECHx: Silber in DARPAs CGC Wettbewerb

GrammaTech und sein Partner, die Universität von Virginia, belegen als Team TECHx den zweiten Platz in der Cyber Grand Challenge der DARPA, wo sie zukünftige Technologien zur Erkennung von Schwachstellen in Software und für Härtungsanwendungen (Application Hardening) präsentierten.

Das Team von GrammaTech stand im Wettbewerb mit Xandra – dessen hochleistungsfähiges, skalierbares System mit 2400 Cores 210 Fuzzing Pods antrieb, die 1,8 Mio. Fuzzing Vorgänge pro Sekunde ausführen und einer speziellen Sammlung an Binäranalysatoren, Patch-Generatoren und Binary-Rewriters zuführen können, um Binärdateien zu reparieren und zu schützen. Xandra zeigte über das gesamte Event hinweg eine stabile Leistung und belegte konsequent einen Spitzenplatz in den 96 Runden des Wettbewerbs. Unter anderem enthüllte es einen Fehler, der selbst der DARPA (Defense Advanced Research Projects Agency) als Aufgabensteller jeder Runde nicht bekannt war.

Die Zusammenarbeit mit der Universität von Virginia hat ihren Ursprung in GrammaTechs laufender Forschung zur Weiterentwicklung der Cyber-Sicherheitstechnologie durch modernstes Software-Hardening und Techniken des Autonomen Computing, die in Zeiten des IoT immer wichtiger sind. Zur Forschung von GrammaTech gehören zahlreiche andere laufende Projekte mit der DARPA, die sich der Gefahr von Internetangriffen bewusst ist, und die Zusammenarbeit mit der Armee, Marine, Luftwaffe, NASA und dem Department of Homeland Security.

„Mit der Cyber Grand Challenge zielt die DARPA auf ein zunehmend ernsthaftes Problem ab: Wegen der Unzulänglichkeit von bestehenden Systemen zur Netzwerksicherheit, werden erfahrende Programmierer benötigt, um Schwachstellen zu identifizieren und zu beheben – typischerweise nachdem Angreifer diese Schwachstellen ausgenutzt haben, um Daten zu stehlen oder Prozesse zu stören“, so die DARPA Pressemitteilung. „Solche Störungen stellen ein größeres Risiko als jemals zuvor dar, weil immer mehr Geräte einschließlich Fahrzeuge und Wohnhäuser vernetzt werden, was wir als Internet-of-Things kennen.“

Auch wenn die Cyber Grand Challenge nun abgeschlossen ist, und Xandra gewonnen hat, ist die Forschung von GrammaTech in diese Technologien noch lange nicht abgeschlossen. „Unsere Software Forscher sind erstrangige Experten bei der Entdeckung von Fehlern und Schwachstellen, der Binäranalyse sowie bei Sicherheitsüberwachung und Software-Transformationen“, so David Melski, Vice President Research bei GrammaTech. „Die Cyber Grand Challenge war eine ideale Gelegenheit, um unsere Technologien zu integrieren und deren kombiniertes Potenzial zur Verteidigung von kritischen Software-Infrastrukturen aufzuzeigen.“

Über GrammaTech (www.grammatech.com):
Software-Entwickler auf der ganzen Welt setzen die Tools von GrammaTech ein, in verschiedensten Märkten wie Luft-/Raumfahrt, Automotive, Medizintechnik und andere Anwendungen, wo Zuverlässigkeit und Sicherheit zu den Grundvoraussetzungen zählen. GrammaTech entstand aus einem Forschungsprojekt an der Cornell Universität. Heute treibt das Unternehmen die Wissenschaft der Software-Sicherheit, Software Hardening und autonomes Computing voran und bietet Techniken und Technologien, mit denen Software-Teams sichere und stabilere Software programmieren können.

Firmenkontakt
GrammaTech, Inc.
Mary Shelato
531 Esty Street 531
NY 14850 Ithaca
001 607-273-7340
sales@grammatech.com
http://www.grammatech.com

Pressekontakt
Agentur Lorenzoni GmbH, Public Relations
Beate Lorenzoni
Landshuter Straße 29
85435 Erding b. München
+49 8122 559 17-0
beate@lorenzoni.de
http://www.lorenzoni.de

Computer IT Software

Mitarbeiter umgehen bewusst Sicherheitsmaßnahmen

Mitarbeiter umgehen bewusst Sicherheitsmaßnahmen

Eine gerade veröffentlichte europaweite Umfrage zur Haltung von Führungskräften und Vorstandsmitgliedern zum Thema Cyber-Sicherheit hat ein erschreckendes Unwissen bis hin zur grob fahrlässigen Ignoranz aufgedeckt. Die Gründe für diese Haltung liegen in den oft hochgradig komplizierten Sicherheitsrichtlinien sowie in einem absoluten Unverständnis für die Bedrohungssituation begründet.

Das Bewusstsein für Cyber-Sicherheit ist in Europas Unternehmen auf einem erschreckend niedrigen Niveau. Das offenbart eine Umfrage des amerikanischen Software-Unternehmens Palo Alto Networks. Zwar planen die Verantwortlichen in den Unternehmen bis 2019 über 33 Milliarden Euro für die Cyber-Sicherheit zu investieren, doch diese Bemühungen werden im Sande verlaufen, wenn sich an der Einstellung der Nutzer nicht schnell etwas ändert!

Während fast alle der befragten Führungskräfte betonten, das Thema sollte für ihr Unternehmen Priorität haben, gab ein Viertel an, sich nicht gänzlich darüber im Klaren zu sein, wie sich ein Cyber-Risiko definiert. Ganze 17 Prozent hielten die in ihren Unternehmen geltenden Sicherheitsbestimmungen für frustrierend, vor allem, weil sie den Zugang zu effizienteren Werkzeugen, Webseiten und Programmen verhindern würden.

Ein weiteres Ergebnis der Umfrage ist die Erkenntnis, dass weder das Beschäftigungsfeld noch das Alter ausschlaggebend für gefährdendes Verhalten ist. Das muss nicht immer mit Absicht geschehen, doch ein ganzes Viertel der Befragten gab zu, die Sicherheitsbestimmungen im vollen Bewusstsein der Gefahren zu umgehen.

Weiter weisen die Ergebnisse darauf hin, dass das Bewusstsein um die Relevanz jedes Einzelnen bei der Cyber-Sicherheit nicht besonders stark ausgeprägt ist. Rund 18 Prozent der Führungskräfte schrieben sich selbst keine Rolle bei der Sicherheit zu und mehr als 40 Prozent gingen davon aus, dass im Schadensfall allein die IT beschuldigt werden würde. Nur 21 Prozent glaubten, dass der betreffende Mitarbeiter selbst die Konsequenzen zu tragen hätte.

„Die Ergebnisse der Studie zeichnen ein erschreckendes Bild für die Cyber-Sicherheit in europäischen Unternehmen. Offenbar fühlen sich gerade Führungskräfte zu sicher. Sie sind der Meinung, dass Hacking-Angriffe nur anderen passieren. Umso wichtiger ist es, ihnen – ebenso wie allen anderen Mitarbeitern – klar zu machen, dass Cyber-Sicherheit jeden angeht und jede Sicherheitsmaßnahme nur so stark ist wie ihr schwächstes Glied“, betont Götz Schartner, Gründer und Geschäftsführer der 8com und Cyber-Sicherheitsexperte. „Sie können die besten und teuersten technischen Lösungen für Ihr Unternehmen kaufen, wenn aber Ihre Mitarbeiter nicht mitspielen, finden Hacker und Kriminelle trotzdem ein Schlupfloch. Gerade in Deutschland wäre es fahrlässig, diesen Faktor zu unterschätzen, denn laut der Studie liegt hier der Anteil derjenigen, die zugaben, ihr Unternehmen einem potenziellen Cyber-Risiko auszusetzen mit 38 Prozent an der Spitze der Statistik.“

Mit seinem Unternehmen 8com hat Schartner ein individuell anpassbares Awareness-Programm entwickelt. Den Kunden stehen Live-Hacking-Vorträge als Initialzündung, aufschlussreiche Videos und User-Guides mit klar definierten und kundenspezifischen Verhaltensrichtlinien sowie ein multimediales Internetportal mit Inhalten zu den wichtigsten Fragen der Informationssicherheit zur Verfügung. „Mit mehr als 220 Videos zu unterschiedlichsten Themen und über 200 User-Guides zum leichten und schnellen Verständnis der Sachverhalte steht unseren Kunden eine breite Vielfalt an Möglichkeiten offen, um ihre Mitarbeiter auf das Problem Cyber-Kriminalität aufmerksam zu machen. Selbstverständlich können alle Produkte an die individuellen Gegebenheiten des Auftraggebers angepasst werden“, führt Schartner aus und fügt hinzu: „Zusammen mit den attraktiven und interaktiven Portalen, auf denen das Wissen spielerisch vertieft werden kann, haben wir ein Programm geschaffen, das die Fehleranfälligkeit eines Unternehmens bei der Informationssicherheit signifikant senkt.“ Daneben messen Audits das aktuelle Sicherheits-level des Unternehmens. Zusätzlich sorgen Give-Aways, wie Plakate, dafür, dass die Inhalte auch im Berufsalltag ständig präsent sind.

Der Vorteil des Programms ist, dass das Gefahrenbewusstsein der Mitarbeiter deutlich erhöht wird. Die Erfahrung zeigt, dass Mitarbeiter nach einer solchen ausführlichen Schulung, mit dem einen oder anderen Schockmoment, weit weniger dazu neigen, bewusst die Sicherheitsbestimmungen zu umgehen. Darüber hinaus lässt sich im Gespräch mit den zuständigen Mitarbeitern ein Sicherheitskonzept entwickeln, dass die Einschränkungen für die tägliche Arbeit so minimal wie möglich ausfallen lässt, was die Akzeptanz zusätzlich stärkt und die Umsetzung erleichtert.

Zusammen mit den technischen Sicherheitsvorkehrungen sorgen diese Awareness-Maßnahmen dann dafür, dass Kriminelle es möglichst schwer haben an die sensiblen Daten der Kunden zu gelangen. Weitere Informationen stehen auf der Webseite der 8com unter www.8com.de oder unter www.awareness-shop.de zur Verfügung.

Über die 8com GmbH & Co. KG

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Prüfungs- und Awareness-Leistungen für Informationssicherheit in Europa. Seit über zehn Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Bei den hochspezialisierten Mitarbeitern handelt es sich um Penetrationstester, Information Security Consultants und Information Security Awareness-Spezialisten. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Prüfungen werden bei 8com von professionellen Auditoren durchgeführt, die über umfangreiches Wissen der praktischen IT-Sicherheit verfügen. Die Experten der 8com sind darauf spezialisiert, in Netzwerke einzudringen. Sie sind professionelle Hacker auf der richtigen Seite des Gesetzes. Alle Leistungen dienen der präventiven Abwehr von Hacking-Angriffen.

Ansprechpartner:

Unternehmen

8com GmbH & Co. KG
Eva-Maria Nachtigall M.A.
Unternehmenskommunikation
eva-maria.nachtigall@8com.de
06321 / 48446 – 2022

Presse

Quadriga Communication GmbH
Felicitas Kraus
Pressereferentin
kraus@quadriga-communication.de
030 / 3030 8089 – 14

Über die 8com GmbH & Co. KG

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Prüfungs- und Awareness-Leistungen für Informationssicherheit in Europa. Seit über zehn Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Bei den hochspezialisierten Mitarbeitern handelt es sich um Penetrationstester, Information Security Consultants und Information Security Awareness-Spezialisten. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Prüfungen werden bei 8com von professionellen Auditoren durchgeführt, die über umfangreiches Wissen der praktischen IT-Sicherheit verfügen. Die Experten der 8com sind darauf spezialisiert, in Netzwerke einzudringen. Sie sind professionelle Hacker auf der richtigen Seite des Gesetzes. Alle Leistungen dienen der präventiven Abwehr von Hacking-Angriffen.

Firmenkontakt
8com GmbH & Co. KG
Eva-Maria Nachtigall
Wallgasse 11
67433 Neustadt an der Weinstraße
06321 / 48446 – 2022
eva-maria.nachtigall@8com.de
http://www.8com.de/

Pressekontakt
Quadriga Communication GmbH
Felicitas Kraus
Potsdamer Platz 5
10785 Berlin
030-3030808914
kraus@quadriga-communication.de
http://www.quadriga-communication.de/

Computer IT Software

CeBIT 2015: Cybercrime ist ein CEO Problem

Halle 4 A 24: Bring your own device Reloaded – SecurePIM by virtual solution

CeBIT 2015: Cybercrime ist ein CEO Problem

SecurePIM – Alle Businessfunktionen in einer verschlüsselten App

Unter dem Motto d!conomy empfängt die größte IT- und Telekommunikationsmesse in diesem Jahr seine Aussteller. So präsentiert sich auch die Münchener virtual solution AG in diesem Ambiente, um ihre mobile Business App SecurePIM dem Fachpublikum vorzustellen. Gemeinsam mit EMM-Anbieter MobileIron Zeigt virtual solution im „Mobile First Forum“ in Halle 4, Stand A24 die Antwort auf den laut „Center for Strategic and International Studies“ (CSIS) im Jahr 2014 auf rund 46 Milliarden Euro angestiegenen Schaden durch Cybercrime-Attacken in Deutschland. Gezeigt wird fünf Messetage lang, wie Angestellte ihre privaten Mobiltelefone oder Tablets auch für verschlüsselten Geschäfts-E-Mail-Verkehr nutzen können. Die Basis hierfür bildet die sichere Container-Lösung SecurePIM.

Die weltweiten Schäden durch Cyberkriminalität sind den Erhebungen von CSIS zufolge auf 400 Milliarden US-Dollar angestiegen, mit steigender Tendenz. Dazu kommt, dass „Bring your own device“ immer stärker im Unternehmensumfeld thematisiert wird, denn das eigene Mobiltelefon im Arbeitsalltag zu nutzen ist für einen großen Teil der Mitarbeiter heute Wunsch wie auch gängige Praxis. Allerdings sind Mobilgeräte ein ungesichertes Einfallstor: 75 Prozent der Geräte werden unter anderem dem Digitalverband BITKOM zufolge auch beruflich genutzt, 60 Prozent der Nutzer haben unverschlüsselte Firmendaten auf dem Gerät, und 10 Prozent aller Geräte gehen verloren. Die Erhebung besagt, dass nur 5 Prozent aller Nutzer Ihre beruflichen E-Mails verschlüsseln.

Geschäftsdaten, berufliche E-Mails und Businesskontakte müssen nicht nur aus Datenschutzgründen, sondern in den meisten Fällen auch aus Compliance-Gründen von privaten Daten getrennt sein. Diese Daten liegen bei der SecurePIM App in einem in sich gekapselten Container, der auf Android- oder iOS-Geräten für die notwendige Sicherheit sorgt und eine hohe Akzeptanz durch einfache Bedienung erfährt. Sie ist darüber hinaus sehr einfach in die Unternehmens-Infrastruktur zu integrieren.

Andreas Eder, Vorstand der virtual solution AG, erläutert: „Die CeBIT ist seit Jahren eine der wichtigsten Ausstellungen für uns. Nicht nur, dass wir hier mit unseren Technologie- und Vertriebspartnern gemeinsam auftreten und so die Vorteile unser Zusammenarbeit demonstrieren können – das IT-Großereignis in Hannover ist auch der Ort, an dem sich die Kunden im persönlichen Gespräch mit uns über aktuelle Themen wie Cybercrime und die Schäden, die daraus resultieren, informieren. SecurePIM ist „Made in Germany“ von Experten, um sichere Kommunikationswege zu realisieren. Wir arbeiten dazu auch gemeinsam mit dem Bundesamt für Informationstechnik (BSI) an Lösungen für den Einsatz von mobilen Endgeräten in hochsicheren Einsatzbereichen.“

Um den Fachbesuchern die Vorteile einer solchen sicheren Mobilanwendung möglichst nahezubringen, gibt es an jedem der Messetage Live-Demos auf dem Stand.

Für Pressegespräche stehen Ihnen am Dienstag, 17. März, Dr. Raoul-Thomas Herborg, CEO/CTO virtual solution AG, und am Mittwoch, 18. März sowie am Donnerstag, 19. März Herr Ingmar Lüdemann, Sales Director der virtual solution AG, zur Verfügung. Weitere Informationen unter www.securepim.de/presse

virtual solution AG ist ein international tätiges Softwarehaus mit Sitz in München. Im Geschäftsbereich IT-Systemberatung sind wir seit Jahren auf die Entwicklung anspruchsvoller Enterprise-Lösungen zur Abwicklung von Kerngeschäftsprozessen spezialisiert und unterstützen unsere Kunden individuell von der Planung komplexer IT-Projekte bis zum Rollout und darüber hinaus.
In unserem Geschäftsbereich Enterprise Mobility Management (EMM) für mobile Endgeräte sind wir führender Anbieter von hochsicheren Lösungen für Unternehmen, die mobile Anwendungen ihrer Mitarbeiter sicher in die Unternehmens-IT integrieren wollen. Mit unserem Produkt SecurePIM wird jede Information und jeder Prozess, der am Arbeitsplatzrechner genutzt wird, auch am mobilen Endgerät verfügbar – und der Schutz sensibler Firmendaten ist dabei sichergestellt. Einzigartig ist unsere Entwicklung durch die Verbindung von höchster Bedienerfreundlichkeit und deutscher Hochsicherheitstechnik.
Entsprechend hoch ist die Nachfrage seitens nationaler und internationaler Unternehmen, zunehmend auch für Android-Lösungen.

Kontakt
virtual solution AG
Thomas Schmidt
Rupprechtstraße 25
80636 München
089 – 30 90 57-183

thomas.schmidt@virtual-solution.com
http://www.securepim.com

Computer IT Software

Sicherheitslücken in der Hardware gefährden Industrie 4.0

Industrie 4.0 und das Internet der Dinge sind in aller Munde. Nur wenn frühzeitig auch den Sicherheitsrisiken im Hardwarebereich begegnet wird, führt dieser Technologietrend nicht ins Fiasko.

Sicherheitslücken in der Hardware gefährden Industrie 4.0

Hardwaresicherheit muss ein integraler Bestandteil in der Sicherheitsarchitektur sein.

Berlin, 29.01.2015 – Die GAI NetConsult GmbH, führender Anbieter von IT-Sicherheitsaudits und der Beratung im Bereich IT-Sicherheitsmanagement, sieht das mangelnde Sicherheitsdesign von Hardwarebauteilen als erhebliches Sicherheitsrisiko bei Industrie 4.0 und dem Internet der Dinge. In dem Artikel „Sichere Systeme – Security beim Hardwaredesign“ im aktuellen Security Journal von GAI NetConsult werden nicht nur die wichtigsten Angriffsvektoren auf Hardwareebene vorgestellt, sondern auch Gegenmaßnahmen und Best-Practices seitens der Hersteller diskutiert. Zudem werden Tipps für die Produktentwicklung und -auswahl gegeben.

In unser tägliches Leben halten sowohl im privaten Bereich als auch in den Unternehmen verstärkt Systeme zur Automatisierung und Steuerung Einzug. Im Hype um Industrie 4.0 und das Internet der Dinge wird eine Problematik leider zu oft ausgeblendet: Beim Design solcher Systeme wird nicht selten der Fokus auf die Verwendung einer sicheren Hardware vernachlässigt. Dadurch sind viele dieser Systeme anfällig für Hacker-Attacken und Datenverluste, nur ist sich dessen kaum jemand bewusst.

Schon heute wird der Hardware von kritischen Infrastrukturen wie Steuerungsanlagen in der Energiewirtschaft in Bezug auf Sicherheitsdesign zu wenig Aufmerksamkeit gewidmet. Wenn nun mit dem Industrie 4.0-Konzept massiv vernetzte Steuerungselemente in die industriellen Fertigungsprozesse einziehen und das tägliche Leben durch das Internet of Things (IoT) mit vernetzten Devices aller Art angereichert wird, potenziert sich die Gefahr dramatisch.

Dabei sind Konzepte und Lösungen für sicheres Hardwaredesign längst vorhanden. Es ist essentiell wichtig zu verstehen, dass Security keine „App“ oder ein nachträglich zugefügtes „Feature“ ist. Ein System muss von Grund auf hinsichtlich Sicherheitsanforderungen geplant, konstruiert und gefertigt werden. Sicherheit ist ein Prozess, kein Produkt. Sicherheit muss grundsätzlich schon während der Konzeptphase in ein Produkt eingebracht und für jeden Teil des Entwurfs berücksichtigt werden.

Sicherheitslücken in der Hardware ermöglichen zahlreiche Angriffsszenarien wie beispielsweise das unbemerkte Abhören von Daten, Steuerungsinformationen und Messwerten. So wurde beispielsweise die bekannte Xbox von Microsoft über das Auslesen des Bussystems auf der Hauptplatine geknackt. Kennt der Angreifer so die Details der Sicherheitsarchitektur, ist für ihn der Zugriff auf andere Xbox-Systeme deutlich einfacher. Weitere bekannte Schadensszenarien sind die Funktionsunterbrechung oder der Einbau „neuer“ Funktionen für den Angreifer, die zum gewünschten Zeitpunkt die Steuerung Dinge tun lässt, die nicht vorgesehen waren. Im Internet der Dinge oder bei der massiven Aufrüstung von industriellen Fertigungsprozessen mit vernetzten Steuerungssystemen kann man sich die wirtschaftlichen Folgen und Risiken für Mensch und Umwelt schnell ausmalen.

„Die Notwendigkeit der Sicherheit beim Hardware-Design steht außer Frage. Die in unserem Artikel genannten Schwachstellen und Angriffsszenarien zeigen deutlich, wie wichtig der Blick auf die Hardware ist“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Sie zeigen auch, dass Software – und sei diese noch so sicher konfiguriert und programmiert – nicht vor Angriffen auf der Ebene der Hardware schützt. Es sollte aus diesem Grund immer auch ein kritischer Blick auf die Hardware geworfen werden – insbesondere bei Systemen, die in Bereichen der Kritischen Infrastrukturen eingesetzt werden.“

Die Gegenmaßnahmen im Hardwaredesign erstecken sich über drei Ebenen: Das Gehäusedesign, das Platinen-Layout und die Firmware. Für alle drei Ebenen gibt es zahlreiche Gegenmaßnahmen, die im neuen Artikel der GAI NetConsult zum Thema ausführlich beschrieben werden. Der Artikel wurde im Security Journal der GAI NetConsult veröffentlicht und kann kostenlos bezogen werden.

Zu den wichtigsten Gegenmaßnahmen gehört, sich zunächst das Ausmaß der Bedrohungslage bewusst zu machen und dann geordnet vorzugehen. Dies kann über alle Ebenen vom Hersteller über die Betreiber bis zum Nutzer geschehen. Hersteller sollten ihr Hardware-Sicherheitsdesign immer wieder von externen Experten auditieren lassen. Betreiber von Kritischen Infrastrukturen wie beispielsweise der Energieversorgung oder der Verkehrsleittechnik, aber auch zunehmend Fertigungsunternehmen, die ihre Steuerungstechnik im Rahmen des Industrie 4.0-Konzeptes stärker vernetzen, sollten ein Informationssicherheitsmanagement (ISMS) auf der Basis von ISO/IEC 27001 einführen. Sogar einfache Nutzer von vernetzter Hardware können durch ein verstärktes Hinterfragen der Sicherheitsmaßnahmen bei der Produktauswahl den Marktdruck zugunsten von mehr Sicherheit im Internet der Dinge erhöhen.

Das Security Journal der GAI NetConsult erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit. Es bündelt die Erfahrungen aus vielen Security-Projekten in Form von tiefgreifenden Fachartikeln sowie aktuellen Tipps zum Thema Informationssicherheit. In einer „TOP 10 der Sicherheitsrisiken“ stellt es die wichtigsten Bedrohungen der letzten zwei Monate zusammen und gibt Hinweise zu empfohlenen Gegenmaßnahmen. In der neu eingeführten Kolumne „ICS Security News“ werden zudem wichtige Sicherheitsinformationen speziell aus dem Bereich der Steuerungs- und Automatisierungssysteme (Industrial Control Systems – ICS) weitergegeben. Das Journal kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal

Details zu den Beratungsangeboten der GAI NetConsult wie Sicherheitsaudits, Sicherheitsmanagement und ISMS-Einführung finden Sie hier: https://www.gai-netconsult.de

Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderem Fokus auf das Thema IT-Sicherheit. Unser Angebot umfasst dabei die qualifizierte Beratung sowie die Konzeption und Realisierung individueller Aufgabenstellungen bis zur Einführung und Betreuung im laufenden Betrieb.
Bei der Informationssicherheit konzentrieren wir uns auf Sicherheitsaudits, Penetrationstests, Hacking, ISO/IEC 27001 / ISO/IEC 27019 Umsetzung und die Einführung von Information Security Management Systemen (ISMS) im Sicherheitsmanagement. Ein besonderer Schwerpunkt liegt in der Sicherung kritischer Infrastrukturen in der Leittechnik, Industrial Control Systems (ICS), SCADA, Prozessdatenverarbeitung (PDV) und Industrie 4.0. Sichere Prozessintegration, sichere Anwendungsentwicklung und die Umsetzung des Security Development LifeCycle sind die Basis für Integrationslösungen und Branchenlösungen auf der Basis von EIA und ESB mit modernen SCRUM Methoden. Unsere Spezialisten gehören zu den Top-Know-how-Trägern für Informationssicherheit und ICS-Sicherheit und arbeiten in führenden Fachgremien an Industriestandards und nationalen Sicherheitsempfehlungen mit.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

Firmenkontakt
GAI NetConsult GmbH
Detlef Weidenhammer
Am Borsigturm 58
D-13507 Berlin
+49 30 / 41 78 98 – 0
info@gai-netconsult.de
http://www.gai-netconsult.de

Pressekontakt
bloodsugarmagic GmbH & Co. KG
Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen
0049 7721 9461 220
bernd.hoeck@bloodsugarmagic.com
www.bloodsugarmagic.com

Computer IT Software

IT Sicherheit Jahrestagung 14.-15.04.2015 in Österreich

Treffpunkt für IT-Manager zum Thema Informationssicherheit

IT Sicherheit Jahrestagung 14.-15.04.2015 in Österreich

Jahrestagung Informationssicherheit 14.-15.04.2015 im Salzburger Land

SECUTA.AT Information Security Tagung entfaltet Themen-Panorama zur Informationssicherheit

CBT Training & Consulting lädt zur Jahrestagung für IT-Manager an den Fuschlsee im Salzburger Land ein!

14. bis 15. April 2015

Ab dem 14. April 2015 ist es soweit – Manager, IT Verantwortliche und Information-Professionals treffen sich 2 Tage lang zum IT-Security Gipfel in Österreich. Die CBT Training & Consulting GmbH veranstaltet dieses Jahr die SECUTA.AT – die Jahrestagung zur Informationssicherheit am Fuschlsee, vor den Toren Salzburgs.

Gipfeltreffen auf der SECUTA.AT – das kann man hier ganz wörtlich nehmen, findet die Jahrestagung doch im Salzburger Bergenland statt. Gipfeltreffen gilt aber selbstverständlich auch für die Themen und Inhalte der SECUTA.AT. Hier referieren Top-Security-Professionals zu den aktuellen technischen, rechtlichen und organisatorischen Aspekten moderner Informationssicherheit in Unternehmen und Organisationen.

Die Teilnehmer erwartet intensives Networking und spannende Wissensvermittlung in gelöster Tagungsatmosphäre. Die Referate der Jahrestagung verfolgen aktuelle Entwicklungen und Lösungsansätze in der Informationssicherheit, die praxisbezogen und anhand konkreter Fallbeispiele vorgestellt werden. Die Teilnehmenden dürfen sich auf informative Praxisberichte, Live-Sessions, Darstellungen aus Unternehmen und Organisationen, Live Hacking und Ausführungen zu aktuellen Rechtsprechungen sowie zum Europäischen Datenschutz einstellen.

Mit der Teilnahme an der SECUTA.AT 2015 sind die Teilnehmer auf der Höhe des Wissens rund um Informationssicherheit, Datenschutz und Datensicherheit. Das dokumentiert auch die Agenda, die Top-Referenten für alle wesentlichen Themen der Informationssicherheit & IT Sicherheit listet. Zur Intensivierung des Informationsaustauschs wurde zudem die Vortragszeit der einzelnen Referenten verlängert. Der SECUTA.AT-Treff am Vorabend ermöglicht den Teilnehmern einen perfekten Einstieg in das Business Networking der anstehenden 2 Tage.

Weitere Jahrestagungen 2015:
Die 14. SECUTA in Deutschland findet vom 25. – 27. November 2015 in Garmisch-Partenkirchen statt.

Die CBT Training & Consulting GmbH ist seit 1998 ein renommiertes IT-Trainings-und Dienstleistungszentrum mit Hauptsitz in München. Das Unternehmen versteht sich als Partner für Industrie und Verwaltung bei der Konzeption, Planung und Durchführung von IT-Trainings, IT-Projekten und IT-Consulting. Das Angebot an herstellerneutralen und selbst entwickelten Schulungen besteht bundesweit. Zertifizierungen, Education Services, Support und Consulting runden die Dienstleistungsbereiche ab. Die CBT Training & Consulting GmbH ist von namhaften Herstellern und Unternehmen wie Microsoft, Check Point, EC-Council etc. zertifiziert. Geschäftsführerin ist Frau Gabriela Bücherl.

Speziell im Informationssicherheits-Bereich bietet das Unternehmen in Kooperation mit Partnern entwickelte Kurse, Ausbildungen und Zertifizierungen an. Seit 2003 führt die CBT Training die Informationssicherheitstagung SECUTA durch, die seither bundesweit als die zentrale Tagung für Informationssicherheit gilt. Hinzu kommen die Datenschutztagung DASTAG sowie die ITSIFA IT-Sicherheitsfachtagung.

Die CBT Training & Consulting GmbH vermietet seit Jahren Seminarräume an Firmen für EDV-, Produkt- und Soft-Skill-Schulungen. Der Hauptsitz in München befindet sich im Arabellapark auf einer Fläche von 700 qm mit insgesamt 9 Seminarräumen. CBT Training & Consulting bieten erstklassigen Service, eine großzügige angenehme Atmosphäre und eine optimale Infrastruktur der Trainingsräume Außerdem steht ein autorisiertes Testing Center zur Verfügung. Für ihre Kundenorientierung und exzellenten Trainingsservice ist die CBT Training seit 2010 mit dem International Training Center Rating mit 5 Sternen ausgezeichnet.

Kontakt
CBT Training & Consulting GmbH
Manuela Krämer
Elektrastrasse 6a
81925 München
+49 89 457691812
m.kraemer@cbt-training.de
http://www.it-informationssicherheit.de

Wirtschaft Handel Maschinenbau

Mittelstand steht im Regen trotz IT Sicherheitsgesetz

Das derzeit heftig kritisierte IT Sicherheitsgesetz wird sogar zum Abbau von Sicherheitsmaßnahmen führen. Stand der Technik ist billig und schützt nicht, aber erfüllt die gesetzlichen Anforderungen.

Mittelstand steht im Regen trotz IT Sicherheitsgesetz

IT Sicherheit auch bei Unfällen und Hacking?

Der deutsche Mittelstand ist die für Industriespionage und Datendiebstahl das am meisten attackierte Ziel. Die meisten Patente und Erfindungen, sowie Innovationen kommen vom Mittelstand, denn dort sind die Gesellschafter am engsten mit dem Unternehmen verbunden.

Die Leidenschaft des Unternehmers fördert geschickt die Weiterentwicklung seiner Produkte. Es gibt viele globale Marktführer in kleinen Nischen, die sich meisterhaft behaupten können. Betrachtet man nur die Liste der in der ASU / BJU vertretenen Unternehmen, findet man im Mittelstand den bedeutenden Wirtschaftsmotor Deutschlands.

Man liest in Zeitungen und hört viele Diskussionen, dass ein neues IT Sicherheitsgesetz ab 2015 kommen soll. Was bringt das dem kleinen Unternehmer oder dem Mittelständler?

Hat das überhaupt einen Wert, wenn kaum IT Sicherheitshardware aus deutschen Technikschmieden kommt? Kann ein Unternehmer überhaupt seine Investitionen in IT Sicherheit durch eine bessere Rechtssicherheit rechtfertigen? Nein.

Selbst wenn man es als Wettbewerbsvorteil betrachten würde, dass man die IT Sicherheit verbessert oder gar über ein gesetzliches Mindestniveau hinaus baut, so muss man ernüchternd feststellen, dass Kapital verbrannt wird.

Deutschland hat ein strukturelles und politisches Handicap. Politiker versuchen es jedem recht zu machen. Je mehr von allen Seiten Beschwerden kommen, desto mehr wird aus einer guten Idee, reine Zeitverschwendung.

Das strukturelle Problem liegt aber auch an der IT Infrastruktur zwischen den Städten und der Region. Langsames Internet auf dem Land und städtische Zapfstellen, die laut Snoden wohl ein Einlasstor für Spionage sind. Der Laie kann diese Problematik zwar hören, aber eigentlich nicht verstehen, warum die Politik jahrelang die BRD in diese Sackgasse geleitet hat.

Lässt man die fundamentalen Systemlücken außer Acht, muss man schon hinterfragen, was ein schwammiges Gesetz bewirken soll.

Was ist „Stand der Technik“?

Genau betrachtet, ist das die aktuell am Markt befindliche billigste IT Lösung.

So könnte ihr Einkaufwagen gefüllt werden:

– kostenlose Virenschutz
– Firewall für 29 EUR
– Spamschutz aus der Cloud
– 1 Erste-Hilfe Verbandskasten für 9,95€
– 1 USB Festplatte zum Daten sichern

Sie brauchen keine … „gute“ IT Sicherheit, die beruhigt, aber nicht wirklich schützt.

Zum Glück halten es viele Mittelständler für wichtig eine angemessenere Datensicherheit aufrecht zu erhalten. Jedoch reicht es aus?

Datensicherheit ist ein breiter Begriff, der sowohl internen als externen Risiken für einen Datenverlust entgegen treten soll.

Bei der Sicherheitsberatung stellen unsere Berater immer wieder Sicherheitslücken fest, die eigentlich mit geringem Mehraufwand beantwortet werden können. Es gilt nicht eine 100%ige Sicherheit zu erreichen, denn es ist bereits mehr als deutlich bekannt, dass eine absolute und undurchdringliche Sicherheitsbarriere nicht machbar ist.

IT Sicherheit wird dann wirtschaftlich, wenn das Gefährdungspotential des erkannten Risikos soweit eingeschränkt wird, dass man mit der zu erwartenden Gefahr leben kann. Dabei sollen aus einem möglichen Vorfall resultierende Haftungsrisiken und wirtschaftliche Schäden minimiert werden.

Der Gesetzgeber erwartet von Unternehmen laut dem neuen IT Sicherheitsgesetz nur „Stand der Technik“.

Wer aber noch morgen wettbewerbsfähig bleiben will, kann sich nicht mit „Stand der Technik“ zufrieden geben. Häufig hören wir zurecht, das die Wirtschaft es selbst regeln soll. Nur, was soll sie regeln, wenn das Gesetz selbst nicht detailliert definieren kann was Stand der Technik ist und was eigentlich angemessen wäre.

Im Prinzip könnte sich auch der „Stand der Technik“ jedes Jahr ändern. Sollen Unternehmer jedes Jahr sich eine neue Firewall kaufen? Immer nur die billigste, die eben auf dem Markt gekommen ist.

Mit so einem minimalistischen Denken erreicht man keine Datensicherheit.

Im Prinzip ist es ja auch egal, denn ausländische Konkurrenten müssen sich nicht am deutschen IT Sicherheitsgesetz messen. Es gibt recht simple Wege um auf dem deutschen Markt präsent zu sein und doch nicht in die Haftungsfalle zu geraten. Wo kein Personal und keine Werte, da gibt es nichts zum pfänden oder beschlagnahmen. Keine Akten usw.

Das deutsche IT Sicherheitsgesetz schlägt auch nicht vor, wie deutsche KMUs überhaupt IT Sicherheit einrichten und finanzieren können. Schließlich was angemessen für einen Konzern ist, kann ein KMU kaum finanzieren. Nur was bringt eine IT Sicherheit aus Pappe, die zu Datenverlusten in KMUs führt. So kann auch Deutschland seine Unternehmer verlieren, denen die Geschäftsgrundlage durch Datendiebstahl wegbricht.

Die ACATO GmbH bietet eigene Produkte und Dienstleistungen für das Thema Datenschutz an. Sie verfügt über TÜV zertifizierte Datenschutzexperten und eine eigene Datenschutz Management Lösung für die Betreuung mehrerer komplexer Organisationen. Das Familienunternehmen entwickelt seine workflow-basierende Software am Hauptstandort München.

Kontakt
ACATO GmbH
Christian Bartsch
Heimeranstr. 37
80339 München
00498954041070
presse@acato.de
http://www.acato.de