Cybersecurity: Social Engineering und der Sicherheitsfaktor Mensch - Erfahrungen aus einer Revisionsprüfung
|
|
- Nadine Hase
- vor 5 Jahren
- Abrufe
Transkript
1 Cybersecurity: Social Engineering und der Sicherheitsfaktor Mensch - Erfahrungen aus einer Revisionsprüfung
2 Inhalt 01 Einführung 02 Vorbereitung 03 Testhandlungen 04 Praktische Erfahrungen
3 01 Social Engineering ist erfolgreich 1 Angreifer nutzen nicht mehr rein technische Sicherheitslücken in IT Systemen aus, sondern machen sich zunehmend menschliche Schwächen zunutze mit den einfachsten Mitteln. In der jüngsten Vergangenheit verbuchten so auch deutsche Unternehmen Verluste in Millionenhöhe. Erfolgreiche Angriffsmethoden in Unternehmen weltweit ISACA and RSA Conference Survey 2016 Phishing 60% Malware Social Engineering Hacker Versuche 36% 41% 52% Handeln aus Neugier - Öffnen fremder Datenträger, Dateien, Anhänge Verlust mobiler Geräte Insider-Diebstahl 16% 34% Vertrauen falscher Identitäten bei dubiosen Anrufen - Chef-Masche SQL-Injection 15% Drive-by Exploits Man-in-the-Middle Attacken Keine Angabe 8% 7% 11% Mitteilung vertrauensvoller Daten auf dem Prinzip der Gegenseitigkeit - Passwort gegen Schokolade Keine der Genannten 15% 0% 20% 40% 60% 80% 100% Ist Ihr Unternehmen ausreichend geschützt? 1 Quelle: Protiviti 3
4 02 Vorbereitung der Prüfung Wie wurde es geprüft? Aufbau der Revisionsprüfung Vorbereitung z. B. Einbindung relevanter Bereiche Testhandlungen z. B. Phishing s, Telefonanrufe Nachbereitung z. B. Auswertung, Artikel im Intranet Es wurde ausschließlich das menschliche Verhalten getestet. Die Technik, wie z. B. Spamfilter oder Virenschutz, wurde nicht überprüft. Das Ergebnis der durchgeführten Testhandlungen lieferte ein klares Bild vom tatsächlichen Verhalten der Mitarbeiter. 4
5 02 Vorbereitung der Prüfung Eine gute Vorbereitung ist essentiell für ein gutes Prüfergebnis Folgende Bereiche wurden im Vorfeld der Prüfung involviert: Datenschutz Genehmigung über die Verwendung von Mitarbeiterdaten (Name, Bereich, Telefonnummer, -Adresse). Vereinbarung über die anonymisierte Auswertungen der Testhandlungen durch einen Dienstleister. Konzernbetriebsrat Betriebsrat ist nach 80 Abs. 2 BetrVG über Ausmaß, Zeitraum und Modalitäten der Testhandlungen zu unterrichten. Mitbestimmungsrecht aus 87 Abs.1 Nr. 6 BetrVG ist ebenfalls zu berücksichtigen. Sicherheitsbereiche Group Security Governance Group Security Services (ASP für operative Sicherheitsfragen) Cyber Defense & Situation Management Wichtig ist es, alle Bereichsleiter zu involvieren, bei denen Meldungen eingehen könnten (insbes. Verantwortliche für akute Sicherheitsthemen, Spam-Filter, Zutrittsschutz, Whistleblower etc.) Um den Erfolg der Prüfung nicht zu gefährden, sollten so wenig Personen wie möglich und so viele wie nötig informiert werden. 5
6 02 Vorbereitung der Testhandlungen Eine gute Vorbereitung ist essentiell für ein gutes Prüfergebnis Auswahl der Stichprobe Auswahlprozess seitens Revision: Risikoorientierte Auswahl potentieller Testkandidaten. Berücksichtigt wurden insbesondere Bereiche, die mit hochsensiblen Daten agieren. In der Stichprobe waren alle wesentlichen Unternehmenseinheiten enthalten. Auswahl der doppelten Anzahl des tatsächlichen Stichprobenumfangs, z.b. wurden bei einer Anzahl von 1000 Phishing- s 2000 potentielle Testkandidaten ausgewählt. Auswahlprozess seitens des Dienstleisters: Tatsächliche Stichprobenziehung durch den Dienstleister aus der Liste potentieller Testkandidaten. Die Tests wurden stichprobenartig und unangekündigt durchgeführt. Wahrung der Anonymität und Vorbereitung standardisierter Antwort- Der Dienstleister zog tatsächliche Stichprobe, die nicht an die Revision kommuniziert wurde. Der Dienstleister wertete die Ergebnisse der Testhandlungen soweit wie möglich anonymisiert aus. Anonymisierte Übermittlung der Ergebnisse an die Revision. Standardisierte Antwort- für Mitarbeiter, die einen potentiellen Angriff melden. 6
7 03 Testhandlungen Unvorhergesehene Mitarbeiterreaktionen beachten Telefon Vortäuschen eines Anrufs vom IT-Helpdesk der Deutschen Telekom mit der Aufforderung an den Mitarbeiter, seine IP-Adresse weiterzugeben. Verwendung einer nicht existie- renden Telefonnummer, die der IT-Helpdesk-Nummer stark ähnelte. Zutritt Versuch der Umgehung von physischen Einlasskontrollen in selektierten Gebäuden der DTAG auf verschiedenste Arten: offensichtlich DTAG-externe Person (Pizzalieferant) Person mit und ohne Besucherausweis bat Mitarbeiter um Einlass bzw. versuchte mitzulaufen Versand von Irrläufer- s mit vorgetäuschtem schadhaften Anhang an selektierte Zielgruppe. -Adresse ähnelte echter DTAG Adresse. Absender der war fiktiver DTAG-Mitarbeiter und somit im internen Adressbuch nicht aufgeführt. Anhang war html -Datei ohne Inhalt. USB-Sticks USB-Sticks wurden mit einer html -Datei präpariert. USB-Sticks wurden in den Räumlichkeiten der DTAG hinterlegt (u. a. in offenen Bürowelten und anderen geteilten Arbeits-flächen). 7
8 03 Testhandlungen Auswertung Sofern Mitarbeiter sensible Daten preisgegeben haben, wurde dies gezählt. Es wurden die Fälle gezählt, in denen die Testperson Zutritt zu den Räumlichkeiten der DTAG erhalten hat. Sofern Mitarbeiter auf den -Anhang geklickt haben, wurde diese Information an den Dienstleister übermittelt und gezählt. Sofern ein Mitarbeiter die auf dem Stick enthaltene Datei geöffnet hat, wurde die Information an den Dienstleister übermittelt und gezählt. Nicht ausgewertet wurde, wie viele Mitarbeiter den USB-Stick tatsächlich in ihren PC gesteckt haben, da dies die Ausführung von Code/Scripts erfordert hätte. Zusätzlich wurde die Anzahl der Rückmeldungen von Mitarbeitern ausgewertet: An welchen Bereich erfolgte die Rückmeldung? War dieser Bereich für Social Engineering Angriffe auch zuständig? 8
9 04 Praktische Erfahrungen Zeitkomponente Frühzeitige Einbindung der zu involvierenden Bereiche. Freigabe durch Datenschutz, Betriebsrat sowie der Abschluss des Dienstleistungsvertrags können mehrere Monate in Anspruch nehmen. Durchführung Testhandlungen /Telefonanrufe Prüfungsleiter muss während des Versands der s bzw. der Durchführung der Telefonanrufe erreichbar sein, um alarmierte Mitarbeiter zu beruhigen. Mitarbeiter hacken zurück Zutritt in Verbindung mit USB-Drop Prüfungsleiter sollte Kenntnis über Zeit und Ort der Testhandlungen haben. Die testende Person sollte zumindest Kontaktdaten des Prüfungsleiters haben, damit dieser ggf. die Testhandlungen bestätigen kann. Sollte die Testhandlung Zutritt nicht erfolgreich sein, muss die testende Person dennoch Zutritt zum Gebäude erhalten, um die Testhandlung USB-Drop durchführen zu können. Beunruhigte Mitarbeiter können ggfs. dafür sorgen, dass die Testhandlungen abgebrochen werden müssen. Schnelles Handeln des Prüfungsleiters und eine gute Zusammenarbeit mit dem Dienstleister waren für den Erfolg der Testhandlungen unerlässlich. 9
10 Fragen und Antworten? 10
11 Ansprechpartner Susanne von Campenhausen Project Lead Transformation Internal Audit bei Group Audit & Risk Management Deutsche Telekom AG Friedrich-Ebert-Allee Bonn Telefon:
12 Anhang Technische Maßnahmen 1 Spamfilter Untersuchung eingehender s bereits während der Kommunikation der SMTP-Server Bei Identifikation einer Spam- wird die Kommunikation vor der Zustellung abgebrochen Verwendung von Filtern und Listen zum erkennen von Spam- s Blacklist Sammlung von IP-Adressen, denen Spam unterstellt wird IP-Adressen und Domains auf der Liste werden blockiert Tarpitting Antwort des SMTP-Servers künstlich verlängern Bei sehr vielen Empfängern wird die Reaktionszeit des lokalen Mailservers verlangsamt Sender muss warten, bis er weitere s abschicken kann Weitere Maßnahmen USB-Schnittstellen deaktivieren Aktueller Virenschutz 1 Quelle: Protiviti 12
13 Anhang Organisatorische Maßnahmen 1 Awareness-Schulungen Bewusstsein der Mitarbeiter im Bezug auf Social Engineering Angriffe stärken Vorstellung der verschiedenen Angriffsarten Schulung zur Identifikation solcher Angriffe Anlaufstelle Einrichtung einer Anlaufstelle im Security Incident Prozess Platzierung der Kontaktdaten direkt im Blickfeld auf dem Bildschirm Anonymisierte Kontaktaufnahme Weitere Maßnahmen Abschließen einer Hacker-Versicherung Bildung von Rückstellungen für Hacker- Angriffe Allgemein ist ein 100%iger Schutz nicht möglich! 1 Quelle: Protiviti 13
SOCIAL ENGINEERING AUDIT
secion Fact Sheet SOCIAL ENGINEERING AUDIT Das secion Social Engineering Audit liefert Ihnen ein valides Bild der Wirksamkeit Ihrer physischen und organisatorischen Sicherheitsmaßnahmen. Unsere IT-Sicherheitsexperten
MehrCybersecurity in der
21. September 2018 Mainz www.pwc.de Cybersecurity in der Finanzindustrie Angreifertypen Staaten Hacktivisten Organisierte Kriminalität Cyber-Terroristen MADKON 18 - Cybersecurity in der Finanzindustrie
MehrSparkasse Erding - Dorfen. Kundenleitfaden. Sichere
Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen, wie das Versenden von E-Mails, erfolgt zunehmend über elektronische Medien. Neben
MehrSicherer Schutz von Unternehmensdaten
Sicherer Schutz von Unternehmensdaten SICHERER SCHUTZ VON UNTERNEHMENS DATEN Datenschutz und Datensicherheit werden im täglichen Geschäftsleben immer wichtiger und sind daher auch ein wichtiger Bestandteil
MehrViren-Terror im Zeitalter von E-Health:
Workshop 3: Viren-Terror im Zeitalter von E-Health: Chancen und Gefahren der Digitalisierung im Praxis-Alltag TEAMWORK IN DER ARZTPRAXIS Unternehmertagung für niedergelassene Ärztinnen und Ärzte und ihr
MehrWirtschaftsschutz in der Industrie
Wirtschaftsschutz in der Industrie Achim Berg Bitkom-Präsident Thomas Haldenwang Vizepräsident des Bundesamtes für Verfassungsschutz Berlin, 13. September 2018 Mittelständler werden am häufigsten angegriffen
MehrCyber-Sicherheit. Maßnahmen und Kooperationen. Marc Schober BSI Referat C23 - Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision
Cyber-Sicherheit Maßnahmen und Kooperationen Marc Schober BSI Referat C23 - Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision egov-day, Koblenz / 13.06.2013 Zahlen und Fakten in 2012 mehr
MehrCyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen
Cyber Security 4.0 Aktuelle Angriffs- Methoden & Gegenmaßnahmen Michael Hochenrieder Senior Information Security Consultant HvS-Consulting AG Einige prominente Fälle Restricted: for project use only 2
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrEU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO
EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO Stand: Juni 2017 Mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018 wird sich der Datenschutz
MehrKundenleitfaden Secure
Kundenleitfaden Secure E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien, z. B. per E-Mail. Neben den großen Vorteilen,
MehrSo gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk
So gelingt die sichere Kommunikation mit jedem Empfänger Andreas Richter EVP Marketing & Product Management GROUP Business Software AG E-Mail-Verschlüsselung ist kein Hexenwerk Datenschutz im Fokus der
MehrIT-Security-Symposium 2019 IT- Security im Fokus
IT-Security-Symposium 2019 IT- Security im Fokus Datensicherheit richtig überwachen und verwalten wie Sie Datenschutzverstöße verhindern. Referent: Michael Veit, Technology Evangelist, Sophos Sicherheit-als-System
MehrJanotta und Partner. Projekt DEFENSE
Janotta und Partner Cybersicherheit Sicherheit Projekt DEFENSE Projekt Defense - Das Sicherheitssystem Janotta und Partner Breslaustrasse 28, 97424 Schweinfurt Telefon: (09721) 370 38 17 Schützen Sie Ihre
MehrJanotta und Partner. Projekt DEFENSE
Janotta und Partner Cybersicherheit Sicherheit Projekt DEFENSE Heutzutage existiert eine Vielzahl von Methoden zur Erkennung von Angriffen. So arbeiten viele Systeme heute nach dem Prinzip. Datenpakete
MehrDas CERT-Brandenburg und die Kommunen 4. Kommunaler IT-Sicherheitskongress Berlin,
David Deutschmann Das CERT-Brandenburg und die Kommunen 4. Kommunaler IT-Sicherheitskongress Berlin, 08 + 09.05.2017 (ZIT-BB) 14480 Potsdam, Steinstraße 104-106 David Deutschmann, CERT-Brandenburg Schwachstellen
MehrCybercrime aus polizeilicher Sicht
Cybercrime aus polizeilicher Sicht Bedrohungslage und Phänomene Eric Fischer, Kriminalkommissar Agenda Rolle der Polizei? Phänomene und Trends Was können Unternehmen tun? Rolle der Polizei bei Cybercrime?
MehrSicheres Postfach. Kundenleitfaden
Sicheres Postfach Kundenleitfaden Sicheres Postfach worum geht es? E-Mails sind aus dem Alltag nicht mehr wegzudenken. Seit vielen Jahren wird das Medium als schnelle und unkomplizierte Form der Kommunikation
MehrAuf Nummer Sicher im Netz -
Auf Nummer Sicher im Netz - Neue Medien als Thema für den Unterricht Anke Gaul, BSI Information und Kommunikation, Öffentlichkeitsarbeit Düsseldorf, 24.September 2008 Anke Gaul September 2008 Folie 1 Das
MehrIT Security. Infos und Tipps von Sophos und Ihrem RZ-Team. Hochschule Amberg-Weiden
IT Security Infos und Tipps von Sophos und Ihrem RZ-Team Stand 17.7.2012 / 1 Bedrohungslage Hauptszenarien für Anwender email World Wide Web (WWW, Internet ) Anrufe Hardware-Manipulation Stand 17.7.2012
MehrPENETRATIONSTESTS UND TECHNISCHE AUDITS. Delivering Transformation. Together.
PENETRATIONSTESTS UND TECHNISCHE AUDITS Delivering Transformation. Together. HERAUSFORDERUNG IT-SICHERHEIT Als Folge der fortschreitenden Digitalisierung hängt der Erfolg eines Unternehmens immer stärker
MehrFaktor Mensch in IT-Managementsystemen oder Security-Awareness nachhaltig und wirksam. Nadin Ebel, Materna
Faktor Mensch in IT-Managementsystemen oder Security-Awareness nachhaltig und wirksam Nadin Ebel, Materna Agenda. Motivation oder veränderte Rahmenbedingungen Regulatorische Anforderungen Awareness: Psychologische
MehrKrisenkommunikation bei Cyberangriffen
12. Tagung Krisenkommunikation Krisenkommunikation bei Cyberangriffen Wie die Deutsche Telekom die Krisenkommunikation organisiert 29. Oktober 2018 Christian Sachgau Telekom SECURITY Telekom Security Christian
MehrWirtschaftsschutz in der Industrie
Wirtschaftsschutz in der Industrie Achim Berg Bitkom-Präsident Thomas Haldenwang Vizepräsident des Bundesamtes für Verfassungsschutz Berlin, 13. September 2018 Mittelständler werden am häufigsten angegriffen
MehrQualifizierte APT-Response Dienstleister. im Sinne 3 BSIG
Qualifizierte APT-Response Dienstleister im Sinne 3 BSIG Stand: 24. Mai 2019 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582 0 E-Mail: qdl@bsi.bund.de
MehrSocial Engineering. Dennis Schröder TÜV Informationstechnik GmbH
Social Engineering Dennis Schröder TÜV Informationstechnik GmbH AGENDA Ziele und Motivation Exemplarische Angriffskategorien Best Practices Lessons Learned Quelle: Buchcover, Social Engineering: The Art
MehrDatenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke
Datenschutztag Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke 1. Website Security Gliederung 2. Viren, Trojaner & Antivirensoftware 3. Phishing & Gefahren des World Wide
MehrVerschlüsselung mittels GINA-Technologie
E-Mail Verschlüsselung mittels GINA-Technologie Die Logata Digital Solutions GmbH (im Weiteren Logata genannt), ist ein IT- Dienstleister innerhalb der LB-Gruppe sowie für externe Kunden. Als solcher betreibt
MehrBackup und Restore mit PC Wrapper
Backup und Restore mit PC Wrapper Zusammenfassung: PC Wrapper ermöglicht es, ein Backup einer virtuellen Maschine auf einem Backupserver abzulegen. Der Backupserver ist ein virtuelle oder physikalische
MehrModerne APT-Erkennung: Die Tricks der Angreifer
Moderne APT-Erkennung: Die Tricks der Angreifer CeBIT 2016, 16.03.2016 Ihr Referent: Dominique Petersen petersen [at] finally-safe.com Halle 6, Stand G30 Agenda Wer ist finally safe? Advanced Persistent
MehrIT-Security-Symposium Risikofaktor Mitarbeiter Awareness Schulungen zum Thema IT-Sicherheit.
I T- S e c u r i t y i m F o k u s Risikofaktor Mitarbeiter Awareness Schulungen zum Thema IT-Sicherheit. COMPAREX Akademie IT-Security-Trainings Wie schütze ich mich vor Angriffen und kann Täter ermitteln?
MehrCyber-Alarm 10 Tipps, wie Sie Ihre Daten schützen
03. August 2017 Cyber-Alarm 10 Tipps, wie Sie Ihre Daten schützen j Allgemein Viele Unternehmen unterschätzen noch immer die Folgen eines Cyber- Angriffs. Aber eben dieses mangelnde Risikobewusstsein macht
MehrSecurity Einfach Machen
Security Einfach Machen Ferri Abolhassan (Hrsg.) Security Einfach Machen IT-Sicherheit als Sprungbrett für die Digitalisierung Ferri Abolhassan T-Systems International GmbH Saarbrücken, Deutschland ISBN
MehrAb der Homepage Starter haben Sie die Möglichkeit, mehrere -Postfächer unter Ihrer eigenen Internetadresse (Domain) zu verwalten.
Postfächer einrichten und verwalten Ab der Homepage Starter haben Sie die Möglichkeit, mehrere E-Mail-Postfächer unter Ihrer eigenen Internetadresse (Domain) zu verwalten. In Ihrem Homepagecenter ( http://homepagecenter.telekom.de)
MehrCHARTA DES WHISTLEBLOWERS
CHARTA DES WHISTLEBLOWERS CHARTA DES WHISTLEBLOWERS Elior Group stellt seinen Mitarbeitern ein Whistleblower-System zur Verfügung, auf das sie wie folgt zugreifen können: Per E-Mail unter der Adresse
MehrSecurity Einfach Machen
Ferri Abolhassan Hrsg. Security Einfach Machen IT-Sicherheit als Sprungbrett für die Digitalisierung Security Einfach Machen Ferri Abolhassan (Hrsg.) Security Einfach Machen IT-Sicherheit als Sprungbrett
MehrSicherheit für Embedded Systems und IoT. Markus Grathwohl, Senior Corporate Account Manager
Sicherheit für Embedded Systems und IoT Markus Grathwohl, Senior Corporate Account Manager Ob wir wollen oder nicht alles wird verbunden 2 BILLIONS OF DEVICES THE INTERNET OF THINGS Warum jetzt?! Die Explosion
MehrSicherer Schutz von Unternehmensdaten
Sicherer Schutz von Unternehmensdaten SICHERER SCHUTZ VON UNTERNEHMENS DATEN Datenschutz und Datensicherheit werden im täglichen Geschäftsleben immer wichtiger und sind daher auch ein wichtiger Bestandteil
MehrHack-Backs und Active Defense Technische Implikationen und Herausforderungen
Hack-Backs und Active Defense Technische Implikationen und Herausforderungen - Thomas Reinhold // cyber-peace.org - Definitionen von Hack-Backs Allgemein: potentiell invasive Aktivitäten in fremden IT-Systemen
MehrSichere - Kommunikation. 23. Cyber-Sicherheits-Tag Münster Julian Kaletta
Sichere E-Mail- Kommunikation 23. Cyber-Sicherheits-Tag 11.07.2018 Münster Julian Kaletta Wir gestalten nachhaltige Verbundenheit von Mensch und IT IT-Systemhaus Über 10 Jahre Erfahrung in IT-Infrastruktur
MehrDigitale Wirtschaftsspionage Deutsche Wirtschaft im Fokus fremder Nachrichtendienste
Digitale Wirtschaftsspionage Deutsche Wirtschaft im Fokus fremder Nachrichtendienste Seite 1 Aktuelle Herausforderungen Seite 2 Zuständigkeiten der Cyberabwehr X kriminelle Akteure: Ransomware DDoS-Angriffe
MehrCheckliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)
Checkliste Technische und organisatorische Maßnahmen der Datensicherheit (TOMs) Art. 32 DSGVO verpflichtet jeden Betrieb zu Maßnahmen, die die Integrität und Vertraulichkeit der Datenverarbeitung gewährleisten.
MehrAPT Defense Service. by TÜV Rheinland.
APT Defense Service. by TÜV Rheinland. Referent. Ihr Referent Name: Funktion: Frank Melber Head of Business Development, Experte für Cyber Security 2 25.02.2016 APT Defense Service Agenda. 1 2 Das Bedrohungsszenario
MehrAdministrator: -to-Fax
Administrator: E-Mail-to-Fax Funktionsbeschreibung Die Mail-to-Fax Option erlaubt es eine Mail zu verschicken, die dann als Fax der spezifizierten Zielrufnummer zugeschickt wird. Hierzu wählt der Administrator
MehrCyber defense. ZKI Frühjahrstagung Frankfurt (Oder), 8. März 2016 Dr. Bernd Eßer
Cyber defense ZKI Frühjahrstagung 2016 Frankfurt (Oder), 8. März 2016 Dr. Bernd Eßer Gezielte Cyber Angriffe Professionalisierung der Angreifer vom Hobby zur organisierten Kriminalität Hot Topics Spionage
MehrSind Sie (sich) sicher?
Sind Sie (sich) sicher? Unternehmensberater fr IKT Allgemein beeideter und gerichtlich zertifizierter Sachverständiger fr IT Fachgruppenobmann UBIT WK Steiermark Lektor fr Wirtschaftsinformatik FH Campus02
MehrSICHERE DIGITALE KOMMUNIKATION LERNEINHEIT 2
SICHERE DIGITALE KOMMUNIKATION LERNEINHEIT 2 DIE THEMEN: 1. Kommunikationspartner & -mittel 2. Datenschutz 3. Potentielle Gefahren > Phishing > Social Engineering 4. Maßnahmen zur Vorbeugung > Ende-zu-Ende-Verschlüsselung
Mehr1. Digitale Schließanlagen Vorteile nur noch ein Schlüssel gezielte Vergabe von Zutrittsberechtigungen Schlüsselverlust unproblematisch
1. Digitale Schließanlagen Vorteile nur noch ein Schlüssel gezielte Vergabe von Zutrittsberechtigungen Schlüsselverlust unproblematisch Nachteil Möglichkeit zur Speicherung der Daten erlaubt Verhaltens-
MehrDATENSCHUTZ in der Praxis
DATENSCHUTZ in der Praxis Rechtliche Rahmenbedingungen: EU-DSGVO Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene
MehrBitte haben Sie Verständnis dafür, dass wir auch über die gesicherte kommunikation grundsätzlich keine Kundenaufträge entgegennehmen können.
Hinweise zum sicheren E-Mailverkehr Die E-Mail ist heute einer der am häufigsten verwendeten technischen Kommunikationsmittel. Trotz des täglichen Gebrauchs tritt das Thema Sichere E-Mail meist in den
MehrCyber War die Bedrohung der Zukunft Lehrerinformation
Lehrerinformation 1/5 Arbeitsauftrag Ziel Die Sch informieren sich in 2er-Gruppen mit dem APP isoldat über die folgenden Themen: - Technologietrends und Szenarien - Bedrohungen - Die wichtigsten Regeln
MehrGANZHEITLICHE -SICHERHEIT
GANZHEITLICHE E-MAIL-SICHERHEIT Schutz vor betrügerischen CEO-s, Ransomware Attacken und Credential- Phishing Oliver Karow Manager Systems Engineering, DACH 1 2017 Proofpoint, Inc. Angreifer wissen, wie
MehrRouter für BT-Professional MOBILE konfigurieren
Router für BT-Professional MOBILE konfigurieren - Dieses Dokument beschreibt, welche Einstellungen Sie an Ihrem Router vornehmen müssen, damit Sie von Ihrem externen Gerät auf den BT-Professional MOBILE
MehrVielen Dank für Ihre Aufmerksamkeit!
Gefahrenabwehr - Threat Intelligence NRW-Sicherheitstag, 2.12.15 Dipl.-Inform. Norbert Friederichs, Vorstand Vielen Dank für Ihre Aufmerksamkeit! Einordnung von Threat Intelligence (Die Unsicherheitspyramide)
Mehrmeeting2015 Aktuelle Stunde IT-Sicherheit Ransom Angriffe
meeting2015 Aktuelle Stunde IT-Sicherheit Ransom Angriffe Ransom Software Wie schützen Sie sich vor Erpressersoftware? Diese Software verschlüsselt Daten auf Ihrem System und kommt per Mail in die Kanzlei.
MehrSecure So sicher wie ein Brief mit Siegel. Kundeninformation
: So sicher wie ein Brief mit Siegel. Kundeninformation Stand: August 2017 Inhalt Vorwort... 3 Secure E-Mail bietet... 3 Erster Schritt... 4 Unterschiedliche Varianten... 5 Anmeldung am Secure WebMail
MehrDer Buchführungs- und Lohnverrechnungskanzlei Silvia Kuntner ist Ihre Privatsphäre wichtig!
Datenschutzerklärung Der Buchführungs- und Lohnverrechnungskanzlei Silvia Kuntner ist Ihre Privatsphäre wichtig! Wir achten Ihre Privatsphäre und setzen uns für ihren Schutz ein. Um diesen Schutz bestmöglich
MehrWALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN
WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN Die 7 häufigsten Fehler im IT-Security- Management bei Webanwendungen (nach OWASP) München, 11.10.2011 c1 Folie 3 c1 Ich habe
MehrHow to hack your critical infrastructure
How to hack your critical infrastructure Was kann man aus den Angriffen der Vergangenheit lernen? IT-SecX - 4.11.2016 Thomas Bleier t@b-sec.net +43 664 3400559 B-SEC better secure KG https://www.b-sec.net/
MehrInternetkriminalität im Mittelstand - die tägliche Realität? Sicherheit im Netz für KMUs
Internetkriminalität im Mittelstand - die tägliche Realität? Sicherheit im Netz für KMUs Veranstaltung: Pallas Security Break fast 26.09.2017 Referent: Ulrich Gärtner Leiter Vertrieb Pallas GmbH Verwendete
MehrSicherheit und Datenschutz. Bei apager PRO. Alamos GmbH
Sicherheit und Datenschutz Bei apager PRO Gültig für: apager PRO Android und apager PRO ios Ab: FE2 Version 2.16 Stand: Donnerstag, 24. Mai 2018 Inhalt Verschlüsselung... 2 Transportverschlüsselung...
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit
und der IT-Sicherheit Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter) kann zum
MehrKanton St.Gallen Kaufmännisches Berufs- und Weiterbildungszentrum St.Gallen Datenschutz, Datensicherheit, Viren
Kaufmännisches Berufs- und Weiterbildungszentrum St.Gallen Datenschutz, Datensicherheit, Viren Bildungsdepartement Datenschutz Schutz der Persönlichkeit und der Grundrechte von Personen (natürliche und
MehrModernes Phishing- & Social Engineering- Training
Modernes Phishing- & Social Engineering- Training Wie sich Firmen gegen Cyber- Angriffe rüsten können. Vortrag von Lukas Schaefer, Pallas Security Breakfast, 11.09.2018 Agenda. 1. Phishing & Social Engineering
MehrAnsprüchen sofern Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten nicht überwiegen, Art. 6 Abs. 1 lit. f DSGVO.
Seite 3 von 7 Datenschutzerklärung SWF GmbH; Stand Mai 2018 Ansprüchen sofern Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten nicht überwiegen, Art. 6 Abs. 1 lit. f DSGVO. Übermittlung
MehrVollautomatisiertes Sicherheitsassessment für Behörden-, Ämter- und Unternehmensumgebungen
Vollautomatisiertes Sicherheitsassessment für Behörden-, Ämter- und Unternehmensumgebungen Vulidity? In Ihrem Netz wurde gerade der Anhang einer Mail geöffnet Stellen Sie sich eine Welt vor, in der IT
MehrRichtlinie der kytax consulting Stb. u. UB GmbH & Co KG zur Gewährleistung der Sicherheit personenbezogener Daten
Richtlinie der kytax consulting Stb. u. UB GmbH & Co KG zur Gewährleistung der Sicherheit personenbezogener Daten Zur Gewährleistung der Sicherheit personenbezogener Daten, werden von der Kanzlei folgende
MehrKonsolidierte Gefährdungsmatrix mit Risikobewertung 2015
Konsolidierte Gefährdungsmatrix mit Risikobewertung 2015 Die Bereitstellung von Internet-Dienstleistungen ist mit einer Vielzahl wechselnder Gefährdungen verbunden. Einige betreffen unmittelbar die eigene
Mehreps Network Services ASP-Schein
01/2009 ASP-Schein eps Network Services ASP-Schein Leistungsbeschreibung Gültig für Software Softwarestand eps Network Services 4.7 eps Network Services, Leistungsbeschreibung (LB) - Ausgabe 01/2009 1
MehrAktuelle Bedrohungen im Umfeld von Industrie 4.0
Aktuelle Bedrohungen im Umfeld von Industrie 4.0 HvS-Consulting AG Michael Hochenrieder 1 Information Security Training Internal Die 10 wichtigsten Geschäftsrisiken 2017 Quelle: https://www.agcs.allianz.com/assets/pdfs/reports/allianz_risk_barometer_2017_de.pdf
Mehr-Sicherheit in der Cloud. 19. Cyber-Sicherheits-Tag Stuttgart Julian Kaletta
E-Mail-Sicherheit in der Cloud 19. Cyber-Sicherheits-Tag 07.11.2017 Stuttgart Julian Kaletta Wir gestalten nachhaltige Verbundenheit von Mensch und IT IT-Systemhaus Über 10 Jahre Erfahrung in IT-Infrastruktur
MehrMichael Kretschmer Managing Director DACH
Michael Kretschmer Managing Director DACH Information Value Protection Schützen Sie die Informationswerte Ihres Unternehmens! Clearswift 350+ Mitarbeiter: HQ in UK und Niederlassungen in Australien, Deutschland,
MehrDigitalisierung und neue Medien Chancen oder Risiko? COMPUTERIA KÖ S S E N
Digitalisierung und neue Medien Chancen oder Risiko? WERNER B E YERLE COMPUTERIA KÖ S S E N I NFO@COMPUTERIA -KÖ SSEN.AT Das Leben ist immer lebensgefährlich Erich Kästner Chancen UND Risiko!! Entwicklung
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Dortmund
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrStand: Richtlinie zum Umgang mit Informationen Seite unterschiedlicher Vertraulichkeitsklassen
II III 1 http://emotion/home1/richtlinien/mitarbeiter/verhalten/arb-ord/arbeitsordnung.pdf m 2 5 3 5 5 4 5 6 7 2 Eine Aufstellung der Domains, die als interne Nutzer gewährtet werden, finden Sie unter
MehrMobile Security Awareness: Überzeugen Sie Ihre Mitarbeiter, mobile Endgeräte sicher zu nutzen! 17. Cyber-Sicherheits-Tag
Mobile Security Awareness: Überzeugen Sie Ihre Mitarbeiter, mobile Endgeräte sicher zu nutzen! 17. Cyber-Sicherheits-Tag 01.09.2017 1 Agenda Gefährdung mobiler Endgeräte Security Awareness Das integrierte
MehrHornetsecurity Outlook-Add-In
Hornetsecurity Outlook-Add-In für Spamfilter Service, Aeternum und Verschlüsselungsservice Blanko (Dokumenteneigenschaften) 1 Inhaltsverzeichnis 1. Das Outlook Add-In... 3 1.1 Feature-Beschreibung... 3
MehrAbwehr von Spam und Malware in s. Christian Grimm DFN-Nutzergruppe Hochschulverwaltung 10. Mai 2010, Berlin
Abwehr von Spam und Malware in E-s Christian Grimm DFN-Nutzergruppe Hochschulverwaltung 10. Mai 2010, Berlin Übersicht Bedeutung von E- Risiken im Umgang mit E- Maßnahmen zum Schutz vor verseuchten E-s
MehrCyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity
Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity BEISPIELE WELTWEIT ERFOLGREICHER CYBER- ANGRIFFE JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen
MehrSOCIAL ENGINEERING. Ing. Johannes Mariel, CSO Der IT-Dienstleister des Bundes. Öffentlich
SOCIAL ENGINEERING Ing. Johannes Mariel, CSO 29.5.2008 www.brz.gv.at Öffentlich Der IT-Dienstleister des Bundes Definition SOCIAL ENGINEERING beschreibt die Methodik, berechtigte User eines IT-Systems
MehrKontrollblatt: Malware Backup Social Engineering Phishing
Memory IT Security Druckt dieses Dokument auf festes Papier, schneidet die Kärtchen aus und übt die Begriffe gemeinsam im Memory Spiel! Kontrollblatt: Malware = Überbegriff für unerwünschte, schädliche
MehrCyber Risk Management by Spiegel & Pohlers und Hiscox. Warum muss sich heute jedes Unternehmen mit Cyber Risks beschäftigen?
Cyber Risk Management by Spiegel & Pohlers und Hiscox Warum muss sich heute jedes Unternehmen mit Cyber Risks beschäftigen? Unternehmen, die in den letzten zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage
MehrSmart Factoy of the Future? Aber wie weit sind unsere C(F,I,E)O s
INFORMATION SECURITY Smart Factoy of the Future? Aber wie weit sind unsere C(F,I,E)O s 2 Disclaimer Die nun folgenden Ausführungen und Erzählungen basieren auf wahrer Begebenheit beziehen sich jedoch NICHT
MehrInformationsrisikomanagement
Informationsrisikomanagement 1 ROTER FADEN Das Unternehmen CARMAO Bedrohungen und Verwundbarkeiten Der Nutzen der Risikoszenarioanalyse 2 HERZLICH WILLKOMMEN Gegründet: Firmensitz: 2003 in Darmstadt Brechen
MehrLocky & Co Prävention aktueller Gefahren
Locky & Co Prävention aktueller Gefahren Agenda - Locky & Co Vorstellung Ich Wir Locky & Co. Überblick Prävention Fazit Agenda - Locky & Co Vorstellung Ich Wir Locky & Co. Überblick Prävention Fazit Markus
MehrInformationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.
Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen Zusammen erfolgreich. Umgang mit dem IT Risiko Patrick Schmid, Dacor Informatik AG Zusammen erfolgreich. Dacor Informatik AG Patrick
MehrPhoneVoice. Fax Dienste. P h o n e V o i c e. d e. Leistungsbeschreibung
Leistungsbeschreibung PhoneVoice Fax Dienste Version: 4.0 25.02.2016 PhoneVoice ist ein Dienst der TeamPoint Systemhaus GmbH & Co. KG P h o n e V o i c e. d e Rüdigerstr. 1 44319 Dortmund Telefon 0231
MehrInformationssicherheit und Know-how-Schutz
11. PATENTFORUM NORDBAYERN - WISSEN SCHÜTZEN Informationssicherheit und Know-how-Schutz Praktische Hilfestellung für den Mittelstand 1 Agenda Informationssicherheit einige Zahlen Cybergefahren Social Engineering
MehrUm s nur an bestimmte Empfänger zu versenden, können Sie die Suche nach weiteren Kriterien einschränken.
E-Mail-Massenversand Im Modul Benutzer öffnen Sie in der Aktionsleiste rechts die erweiterte Benutzersuche mit Klick auf. Aktivieren Sie die Option Benutzer mit E-Mailadresse und klicken Sie auf .
MehrWirtschaftsspionage in Deutschland!?
Wirtschaftsschutz Prävention durch Dialog und Information Wirtschaftsspionage in Deutschland!? Amt für Verfassungsschutz beim Thüringer Ministerium für Inneres und Kommunales ThAFF Dialogforum Fachkräftesicherung
MehrSicher im Internet. PC-Treff-BB. Peter Rudolph
Sicher im Internet Sicher im Internet, Folie 1 von 15 Peter Rudolph 12.12.2015 Risiken Sicher im Internet, Folie 2 von 15 Viren böswilliges Programm automatische Verbreitung (Ansteckung) Ziel: PC funktionsuntüchtig
MehrMYSECURITY & AWARENESS ACADEMY FAQ LISTE
MYSECURITY & AWARENESS ACADEMY FAQ LISTE _Toc460918323 1. Anmeldeprobleme... 1 2. Passwortanforderung fehlgeschlagen... 3 3. Lektion nicht vorhanden... 3 4. Lektion gesperrt... 4 5. Inhaltliche Fragen
MehrCybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen. Markus Grathwohl Senior Corporate Account Manager
ENTERPRISE SECURITY. POWERED BY INTELLIGENCE Cybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen Markus Grathwohl Senior Corporate Account Manager IT-Trends und die Bedrohungen, die sie mit
MehrNur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit
Nur für den internen Dienstgebrauch Freie Universität Berlin FU Directory and Identity Service FUDIS der ZEDAT Fragenkatalog des Sicherheits-Audit Fassung: März 2009 Version 1.1 Fragenkatalog des Sicherheits-Audits
MehrSIWECOS KMU Webseiten-Check 2018
SIWECOS KMU Webseiten-Check 2018 Für den SIWECOS KMU Webseiten-Check wurden 1.142 Webseiten kleiner und mittelständischer Unternehmen aus Deutschland mit den Scannern des SIWECOS Projekts auf mögliche
MehrIT-SECURITY AWARENESS PENETRATION TESTING IN DER PRAXIS PROF. DR. MICHAEL MEIER
IT-SECURITY AWARENESS PENETRATION TESTING IN DER PRAXIS 1 PROF. DR. MICHAEL MEIER Institut für Informatik 4, Arbeitsgruppe IT-Sicherheit Rheinische Friedrich-Wilhelms-Universität Bonn Friedrich-Ebert-Allee
MehrIncident Reponse. Irgendwann erwischt es jeden. oder warum wir uns auf den Ernstfall vorbereiten müssen. Robert Schischka
Incident Reponse Irgendwann erwischt es jeden. oder warum wir uns auf den Ernstfall vorbereiten müssen Robert Schischka 1 Wer sind wir? CERT.at das nationale Computer Emergency Response Team Ansprechpartner
MehrWie Unternehmen 2014 kompromittiert werden
Wie Unternehmen 2014 kompromittiert werden Audits Trainings Intelligence Audits IT Penetration Tests Social Engineering Physical Security Tests Audits Tiger Team Assessments Das Internet vor 10 Jahren
MehrZUVERLÄSSIGE LÖSUNG FÜR DEN SCHUTZ SENSIBLER DATEN SCHUTZ DER DATEN NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY
ZUVERLÄSSIGE LÖSUNG FÜR DEN SCHUTZ SENSIBLER DATEN SCHUTZ DER DATEN NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY VERTRAULICHKEIT DER DATEN: SIND SIE BEREIT? VON DER FAHRLÄSSIGKEIT BIS ZUR INDUSTRIESPIONAGE
MehrSpam- & Virenfilter Compliance-Filter
Spam- & Virenfilter Compliance-Filter Skyfillers Kundenhandbuch Compliance Filter Stand: 08/2018 1 von 8 Basiswissen Compliance Filter Der Compliance Filter kann genutzt werden um den ein- und ausgehenden
Mehr