news-header-security-awareness-tipp.png

Security Awareness verteidigt entlang der Kill Chain

Hinter diesem Link verbirgt sich ein Artikel, der das Konzept der Cyber Kill Chain und die Rolle von Security Awareness in dessen Rahmen vorstellt.

Hier geht es zum Artikel: searchsecurity.de

Was verbirgt sich dahinter.
Die Cyber Kill Chain, ein ursprünglich militärischer Begriff („Kill Chain“), definiert die einzelnen Schritte, die bei modernen Cyberangriffen durchlaufen werden. Der Gedanke hinter diesem Vorhaben ist es, dass Cyberangriffe auf diese Weise getreu der Strategie „Kenne deinen Feind“ besser erkannt und bekämpft werden können. Der Artikel betont an dieser Stelle die Rolle von Security Awareness, welche menschliche Sicherheitsrisiken in den Fokus ihrer Betrachtung rückt. Oftmals werden jedoch nur technische Sicherheitsmaßnahmen berücksichtigt. Weitergehend werden die Schritte der Cyber Kill Chain vorgestellt, bei denen Security Awareness unterstützend eingesetzt werden kann.

Weiterlesen »

news-header-security-awareness-tipp.png

Mediathek der Allianz für Cybersicherheit

Hinter diesem Link verbirgt sich eine Mediathek, die eine Reihe von Videos zu verschiedenen Security Awareness-Themen bereitstellt.

Hier geht es zum Artikel: allianz-fuer-cybersicherheit.de

Was verbirgt sich dahinter.
Die Allianz für Cyber-Sicherheit, deren Gründung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem Ziel der Stärkung der Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen initiiert wurde, ist ein Netzwerk bestehend aus derzeit knapp 2700 Unternehmen und Institutionen verschiedener Größen und Branchen. Zwei Partner der Allianz für Cybersicherheit, die DATEV eG und HvS-Consulting tragen jeweils mit unterschiedlichen Video-Formaten zur Mediathek der Allianz bei. Die DATEV eG steuert eine 9-teilige Reihe von Sensibilisierungsvideos bei und HvS-Consulting liefert drei weitere Tutorials zu IT-Sicherheitsthemen. Exemplarisch seien die Themen E-Mail-Sicherheit, Virenschutz und –prüfung sowie Datenschutz und Verschlüsselung auf Seiten der Datev eG und das Video „Wie funktioniert Security Awareness“ auf Seite von HvS-Consulting genannt.

Weiterlesen »

news-header-security-awareness-tipp.png

Security Planner des Citzien Lab

Hinter diesem Link verbirgt sich der Security Planner des kanadischen Citizen Lab. Es handelt sich hierbei um einen individuell zugeschnittenen Aktionsplan für mehr Online-Sicherheit.

Hier geht es zum Artikel: citizenlab.ca

Was verbirgt sich dahinter.
Der Security Planner  ist ein von kanadischen Sicherheitsforschern der Universität Toronto erarbeiteter Aktionsplan mit Empfehlungen für einen sichereren Umgang im Internet. Das Besondere an ihm ist seine interaktive Aufmachung. Dem Nutzer werden zunächst drei Fragen gestellt. Sinngemäß: 1.) Welche Geräte/ Anwendungen verwenden Sie?  2.) Mit welchen Sicherheitsanliegen sehen Sie sich konfrontiert? 3.) Welche Inhalte interessieren Sie besonders? Auf Basis der vom Nutzer gewählten Antworten wird ein auf seine Bedürfnisse und Vorlieben angepasster Aktionsplan generiert, wobei er zu jeglichen Empfehlungen Kurzanleitungen sowie ergänzende Informationen erhält.

Weiterlesen »

news-header-security-awareness-tipp.png

Risiken im Internet of Things

Hinter diesem Link verbirgt sich ein Beitrag, der über die Notwendigkeit einer hinreichenden Qualitätssicherung im Rahmen der Nutzung von IoT-Devices informiert.

Hier geht es zum Artikel: security-insider.de

Was verbirgt sich dahinter.
Der Siegeszug des Internet of Things (IoT, zu Deutsch: Internet der Dinge) lässt das Marktforschungsinstitut Gartner für das Jahr 2020 einen Umlauf von bereits 20 Milliarden IoT-Geräten weltweit prognostizieren. Neben den Annehmlichkeiten, die die zunehmende Vernetzung verschiedener Devices für den Nutzer mitbringt, droht ebenso ein Anstieg von Sicherheitsangriffen auf selbige Geräte. Für Aufsehen sorgte zum Beispiel ein DDoS-Angriff auf das US-Unternehmen DYN, welcher durch IoT-Technologien sogar begünstigt werden kann. Solche Schwachstellen lassen sich neben der großen Anzahl an IoT-Geräten auch an einer mangelnden Qualitätssicherung ausmachen. Grundlegende Sicherheitsprinzipien wie die Nutzung ausreichend starker Passwörter oder regelmäßige Software-Updates werden schlicht nicht befolgt, sodass Cyber-Attacken auf IoT-Geräte ohne Weiteres durchgeführt werden können. Penetrationstest geben weiterhin Aufschluss darüber, dass man heute kein Hacker-Profi sein muss, um einen schädlichen Angriff auf ein IoT-System durchzuführen. Der Artikel schließt mit Anreizen ab, wie die Nutzung von IoT sicherer gestaltet werden kann.

Weiterlesen »

news-header-security-awareness-tipp.png

Social Media – mit Sicherheit

Hinter diesem Link verbirgt sich eine Broschüre, die Regeln zum sicheren Verhalten mit Social Media im Unternehmenskontext bereitstellt.

Hier geht es zum Artikel: sicher-im-netz.de

Was verbirgt sich dahinter.
Der Verein „Deutschland sicher im Netz“ (DsiN) ist ein Verbund von derzeit 24 Unternehmen, Vereinen und Branchenverbänden der digitalen Wirtschaft und Gesellschaft, die einen praktischen Beitrag zu einem sicheren Umgang im Internet leisten wollen. So widmet sich die vorliegende Broschüre nach einleitenden Informationen den Anwendungsgebieten von Social Media in Unternehmen und gibt Sicherheitstipps dazu, wie man sich datenschutzkonform in sozialen Netzwerken  bewegt. Die genannten Sicherheitstipps sind vorwiegend organisatorischen Charakters, wie z.B. die Etablierung von Social Media Guidelines, die Trennung privater und beruflicher Social-Media-Aktivitäten und die Pflege einer professionellen Diskussionskultur.

Weiterlesen »

news-header-security-awareness-tipp.png

Sicherheitsirrtümer: E-Mail-Sicherheit

Dieser Artikel klärt über allgemeine Irrtümer und Missverständnisse auf, die im Internet auftreten können.

Hier geht es zum Artikel: bsi-fuer-buerger.de/BSIFB/DE/Risiken

Was verbirgt sich dahinter.
Dieser Artikel ist als vierter Teil in der Reihe „Sicherheits-Irrtümer im Internet“, veröffentlicht durch das BSI, erschienen. Laut Artikel bestehen einige Missverständnisse, die häufig wiederholt und im Allgemeinen als Wahrheit hingenommen werden. Über diese Missverständnisse klärt das BSI in diesem Ratgeber auf. Behandelt werden Aussagen wie „Das Antworten auf Spam-Mails birgt keine Gefahr, man kann auch den Links zum Löschen aus dem Verteiler folgen“. Dies ist ein fataler Irrtum, denn Nutzer sollten auf gar keinen Fall Links folgen, die vermeintlich dazu führen, dass die Empfängeradresse aus der Liste gelöscht wird. Dadurch würden die Versender der Spam-E-Mail die Bestätigung erhalten, dass die E-Mail-Adresse gültig und aktiv ist. Zudem werden drei weitere, häufig auftretende Irrtümer behandelt und Hinweise dazu gegeben, wie diese zu vermeiden sind.

Weiterlesen »

news-header-security-awareness-tipp.png

Spionage, Sabotage, Datendiebstahl

Hinter diesem Link verbirgt sich ein Artikel, welcher die Ergebnisse einer Studie von Bitkom zum Thema „Wirtschaftsschutz in der digitalen Welt“ darlegt.

Hier geht es zum Artikel: bitkom.org

Was verbirgt sich dahinter.

Der deutsche Digitalverband Bitkom hat in Zusammenarbeit mit dem Bundesverfassungsschutz eine Studie veröffentlicht, in deren Rahmen über 1000 Sicherheitsverantwortliche verschiedener Branchen in Deutschland befragt wurden. Die Ergebnisse der Studie geben Aufschluss darüber, dass die Gefahr für Unternehmen, Opfer von Spionage, Sabotage oder Datendiebstahl zu werden, gegenwärtig sehr hoch ist. Allein im Jahr 2017 entstand Unternehmen ein Schaden von 55 Milliarden Euro aus Angriffen auf wertvolle Unternehmensinformationen, was eine Steigerung von 8 % zum Vorjahr darstellt. Die Studie informiert ebenfalls darüber, wie unterschiedlich sich Spionage- und Sabotageaktivitäten sowie Diebstähle abspielen können. Allein der Personenkreis der Angreifer erstreckt sich hierbei von ehemaligen Mitarbeitern, Wettbewerbern, Kunden, Lieferanten, Dienstleistern, Hobby-Hackern und organisierten Kriminellen bis hin zu ausländischen Nachrichtendiensten. Ebenso unterschiedlich wie die Angreifer sind auch deren Ziele. Während es die einen Angreifer direkt auf sensible Daten wie E-Mails, Finanz-, Mitarbeiter- und Kundendaten, Patente und Informationen aus Forschung und Entwicklung abgesehen haben, vergreifen sich andere Angreifer bevorzugt an unternehmenseigenen IT- und Telekommunikationsgeräten. Angewandte Methoden der Angreifer sind Formen des Social Engineerings und anschließender Malware-Befall, digitale Sabotage z.B. durch Störung der Produktion, Ausspähen digitaler Kommunikation sowie analoge Methoden, wobei letztere weniger häufig zum Tragen kommen. Neben der Darlegung der Studienergebnisse schließt der Artikel mit wichtigen Sicherheitstipps für Unternehmen ab.

Weiterlesen »

news-header-security-awareness-tipp.png

Sicherheitsrisiken in der Cloud

Hinter diesem Link verbirgt sich eine Zusammenfassung der 12 gemäß der Cloud Security Alliance größten Sicherheitsrisiken in der Cloud.

Hier geht es zum Artikel: computerwoche.de

Was verbirgt sich dahinter.

Die Cloud Security Alliance (CSA) ist eine Non-Profit-Organisation, die sich der Erforschung und Verbreitung von Best Practices zur Absicherung von Cloud-Computing und zur Verwendung von Cloud-Technologien für Sicherheitszwecke verschrieben hat. Im Rahmen der RSA Conference 2016 stellte die CSA die 12 größten Sicherheitsrisiken in der Cloud unter dem Namen „The Treacherous 12“ (zu deutsch: „Die betrügerischen 12“) vor. Bei den Treacherous 12 handelt es sich um:

  • Datenverluste,
  • gestohlene Benutzerdaten,
  • geknackte Interfaces und APIs,
  • ausgenutzte Schwachstellen,
  • Account Hijacking,
  • Insider mit bösen Absichten,
  • den APT-Parasiten,
  • dauerhaften Datenabfluss,
  • fehlende Sorgfalt,
  • Missbrauch von Cloud-Diensten,
  • DoS-Attacken sowie
  • geteilte Technik.

Der Artikel geht unter Bereitstellung von Sicherheitsempfehlungen genauer auf jede einzelne der Bedrohungen ein.

Weiterlesen »

news-header-security-awareness-tipp.png

Datenschutz kompakt: Sprachassistenten

Hinter diesem Link verbirgt sich ein Informationsblatt, herausgegeben von der Datenschutzbeauftragten für den Datenschutz und der Informationsfreiheit, das Wissen zu Sprachassistenten vermittelt.

Hier geht es zum Artikel: bfdi.bund.de

Was verbirgt sich dahinter.
Das Informationsblatt erklärt zunächst, was überhaupt digitale Sprachassistenten sind und wie sie funktionieren. Danach wird näher auf datenschutzrechtliche Risiken eingegangen: „Sprachassistenten sind dauerhaft mit dem Internet verbunden und können von Angreifern abgehört und manipuliert werden.“ Beispielsweise können manipulierte Sprachbefehle genutzt werden, um Online-Transaktionen durchzuführen. Weiterhin wird auf Cloud-Sicherheit eingegangen, bei der man davon ausgehen muss, dass sie nicht zu 100 % gegeben ist. Auch sollte die mangelnde Transparenz über die Verarbeitung, Speicherung und Löschung der Daten durch den Hersteller in der Cloud beachtet werden. Aus gespeicherten Sprachinformationen lassen sich Nutzerprofile erstellen, was problematisch ist, da Kriminelle daraus z.B. ableiten können, wann Wohnungen leer stehen, wo Autos geparkt sind, etc. Durch die Dauerabhörung von Sprachassistenzsystemen kann es auch dazu kommen, dass Dritte davon betroffen werden. Das Informationsblatt gibt zum Schluss Tipps zu einem datenschutzrechtlichen Umgang mit Sprachassistenten.

Weiterlesen »

news-header-security-awareness-tipp.png

DSGVO-Schulung und wie Sie Ihre Mitarbeiter sensibilisieren

Hinter diesem Link verbirgt sich ein Artikel, der Vorschläge unterbreitet, wie eine DSGVO-Schulung gestaltet werden kann, um die Awareness der Mitarbeiter zu schärfen.

Hier geht es zum Artikel: neupart.com

Was verbirgt sich dahinter.
Die im Mai diesen Jahres in Kraft getretene EU-DSGVO schreibt die Schulung der Mitarbeiter betroffener Unternehmen in Sachen des personenbezogenen Datenschutzes vor. Konkretisierende Richtlinien werden allerdings nicht vorgegeben, sodass es jedem Unternehmen selbst überlassen ist, wie die Schulung aussehen soll. Der Erfolg von Awareness-Schulungen steht und fällt mit deren Gestaltung. Der Beitrag gibt einfache Tipps, um die Wirksamkeit von Sicherheitsschulungen zu erhöhen. Zunächst sollte man Einsicht für die Wichtigkeit des Themas DSGVO bei seinen Mitarbeitern schaffen. Wenn diese den Sinn hinter der neuen Verordnung verstehen, sind sie in der Regel eher bereit, sich dieser anzunehmen. Die nächsten Tipps beziehen sich darauf, den Mitarbeitern die Realisierung von Sicherheitsmaßnahmen nicht unnötig kompliziert zu machen und den Spaßfaktor bei Awareness-Schulungen nicht zu kurz kommen zu lassen. Weitere Ratschläge finden sich im Artikel wieder.

Weiterlesen »