Focus on Security Ausgabe 02, Februar 2015

Größe: px
Ab Seite anzeigen:

Download "Focus on Security Ausgabe 02, Februar 2015"

Transkript

1 Focus on Security Ausgabe 02, Februar 2015

2 Focus on Security Informationen zum Unternehmensschutz Anschläge 3 Bahnsicherheit 3 Betrug 3 Cloud Computing 4 Datenschutz 5 Diebstahl 6 Einbruch 7 Falschgeld 7 Flughafensicherheit 8 Gefährdungslagebild Kamerun 8 Gefährdungslagebild Libyen 9 Geldwäsche 9 IT-Sicherheit 9 IuK-Kriminalität 14 Korruption 16 Marktmanipulation 16 Opferbefragung 17 Produktpiraterie 17 Risikomanagement 18 Sicherheitsgewerbe 18 Spionage 19 Stadionsicherheit 19 Steuerfahndung Terrorismus 20 Videoüberwachung 21

3 3 Focus on Security Anschläge Unbekannte zerstörten in Hamburg am 11. Januar mittels Steinwürfen zwei Fenster im Erdgeschoss der Hamburger Morgenpost und setzten zwei Büroräume in Brand, berichtet das BKA in der Wochenlage am 16. Januar. Bisher sei keine Bekennung zu der Tat festgestellt worden. In den frühen Morgenstunden des 21. Januar wurden in Leipzig vier Firmenfahrzeuge einer Wohnungsbaugesellschaft von unbekannten Tätern in Brand gesteckt (Pressemitteilung der PD Leipzig vom 21. Januar). In einschlägigen Internet-Portalen der Linksszene findet sich eine Selbstbezichtigung Autonomer Gruppen, in der es heißt: In der Nacht vom 20. auf den 21. Januar 2015 haben wir in einer gezielten Aktion den gesamten Fuhrpark des Multimillionen Euro Immobilien Spekulanten GRK Holding im Leipziger Zentrum Süd angegriffen, dabei haben wir vier Fahrzeuge den Flammen übergeben. Die besagte Immobilienfirma gehört zu den größten Profiteuren von jahrelang voranschreitender Gentrifizierung in Leipzig. Bahnsicherheit Wie die FAZ am 23. Dezember 2014 meldet, will die Deutsche Bahn aus Sicherheitsgründen rund 100 Bahnhöfe mit zusätzlichen Videokameras ausrüsten sollten bis zu 700 Kameras installiert werden. Die Aufzeichnungen sollen künftig bis zu drei Tage gespeichert werden. Insgesamt könne die Polizei dann an 240 der insgesamt Bahnhöfe auf Videoaufzeichnungen zurückgreifen. Derzeit würden Kameras in 640 Bahnhöfen hängen. Auf 140 Stationen davon würden die Aufzeichnungen gespeichert. Weitere Videokameras gebe es in Regional- und S-Bahnzügen, sodass 80 Prozent der Fahrgastströme gefilmt würden. Bahn und BMI hätten im Sommer 2013 vereinbart, bis 2019 gemeinsam 36 Mio. Euro zu investieren, um die Videoüberwachung zu modernisieren und auszubauen. Betrug Nach einer Pressemitteilung des LKA Baden- Württemberg vom 14. Dezember kursiert seit kurzem eine speziell gegen Firmen gerichtete neue Betrugsmasche. Dabei nutzen die Täter gezielt die Abwesenheit der Geschäftsführung aus, um mit gefälschten -Absenderangaben an Firmengelder zu gelangen. Betrüger traten bereits in mehreren Fällen an Mitarbeiter der Buchhaltung mittelständischer Unternehmen heran. Dazu verwendeten die Täter geringfügig geänderte - Absenderadressen, um vorzutäuschen, dass es sich bei dem Absender der um den Geschäftsführer der betroffenen Firma handelt. In der streng vertraulichen werden Insiderinformationen im Zusammenhang mit einem Firmenkauf vorgegaukelt. In den fingierten s teilt der vermeintliche Geschäftsführer außerdem mit, er sei telefonisch nicht erreichbar. Er kündigt auch einen Rechtsanwalt an, der sich für weitere Anweisungen melden werde. Der vermeintliche Rechtsanwalt meldet sich daraufhin und gibt Anweisungen, auf welche Konten Geld für den Firmenkauf zu transferieren ist.

4 Focus on Security Cloud Computing Deutsche Firmen hinken beim sogenannten Cloud Computing in Europa hinterher, meldet die FAZ am 20. Dezember Nur 12 Prozent der Unternehmen nutzten Informationstechnologie-Dienste externer Anbieter über das Internet, wie das Statistische Bundesamt mitteilte. Von den größeren Firmen würden bereits 27 Prozent auf Speicherkapazität und Rechendienste aus der Datenwolke zurückgreifen. Bei kleineren Betrieben tue dies nur jeder zehnte. Im EU- Durchschnitt würden knapp 19 Prozent der Unternehmen das Cloud Computing nutzen. In Deutschland nutzten die Unternehmen Cloud Computing am häufigsten zur Speicherung von Daten (56 Prozent), für s (46 Prozent) und zum Betrieb von Unternehmensdatenbanken (34 Prozent). Der Verzicht auf Cloud Computing werde vor allem mit Sicherheitsbedenken begründet. Für fünf Euro pro Monat und Nutzer könnten Firmen ihre Daten beim deutschen Cloud- Anbieter CenterDevice speichern, berichtet silicon.de am 17. Dezember Eine Volltextindizierung solle die Dokumentensuche beschleunigen. CenterDevice wolle sich als deutsche Alternative zu Dropbox etablieren. Das Unternehmen biete ab sofort eine sichere Datenspeicherung in einem zertifizierten deutschen Rechenzentrum in Aachen an. Die Lösung solle Daten nicht nur sicher aufbewahren, sondern diese auch schneller auffindbar machen. Die Speicherung von Dateien sei nicht an Ordnerstrukturen gebunden. CenterDevice verschlüssele sämtliche Dateien mit ChaCha20-Algorithmus und 256 Bit-Schlüssellänge (symmetrisch). Auch die Vorschaubilder und die vom System erkannten Volltexte der Dateien verschlüssele CenterDevice selbständig. Es bestünden viele Unklarheiten und Mythen, wenn es um das Thema Datenschutz, Datensicherheit und Spionage geht, insbesondere im Zusammenhang mit der Cloud, berichtet silicon.de am 17. Dezember Werden Daten in Deutschland gespeichert, werde damit keine höhere Sicherheit garantiert. Denn ein Rechenzentrum in den USA, Großbritannien oder Spanien sei genau so sicher wie eines in Deutschland. Halte sich der Anbieter an seine eigenen globalen Regelungen für die Rechenzentrumssicherheit auf physikalischer als auch virtueller Ebene, sollte ein Rechenzentrum unabhängig von seinem Standort überall dieselbe Sicherheit gewährleisten. Public-Cloud-Anbieter würden weit mehr Sicherheit bieten, als es sich ein deutsches mittelständisches Unternehmen leisten könne. Es sollte nicht vergessen werden, dass jedes Unternehmen einen potenziellen Edward Snowden in den eigenen Reihen sitzen habe. Innentäter sorgten heute für eine viel größere Bedrohung als externe Angreifer oder Geheimdienste. Dass ein Rechenzentrum in Deutschland vor der Spionage befreundeter Staaten schützt, sei und bleibe ein Märchen. Das sogenannte Schengen- Routing sehe auf dem Papier theoretisch erst einmal gut aus. In der Praxis sei der Ansatz aber untauglich. Würden beispielsweise USamerikanische Cloud-Services genutzt, dann würden die Daten zum größten Teil auch über deren Server in den USA geroutet. Ein in diesem Zusammenhang viel gravierenderes Problem liege in der Marktmacht und klaren Innovationsführerschaft der USA gegenüber Europa. Die Verfügbarkeit deutscher und europäischer Cloud Services sei immer noch beschränkt. Versicherer wollen Betriebe gegen Hacker angriffe schützen. Das Geschäft laufe besser, seit sie auf Risiken von Industrie 4.0 abstellen, berichtet die FAZ am 20. Dezember Der Hackerangriff auf das Unternehmen Sony Pictures führe der Welt vor, wie anfällig große Computernetze für Attacken von Spezialisten sind. Einnahmeverluste, Reputationsrisiken, Datendiebstahl all dies seien Kategorien, mit denen sich in

5 5 Focus on Security zunehmendem Maße auch die deutsche Industrie beschäftige. Vor allem die technologischen Möglichkeiten durch das Internet und die Vernetzung von Wertschöpfungsketten machten das produzierende Gewerbe anfälliger für Hackerangriffe. An den Datenschnittstellen zwischen Lieferanten und Herstellern entstünden Einfallstore, die Industrie 4.0 zu einem sensiblen Gebilde werden lassen. Durch die Entwicklung zu einer vernetzten Produktion, die spontan auf Daten zugreifen kann, entstehe das Potenzial, Kundenbedürfnisse individueller zu befriedigen. Doch selbst bei der geeignetsten Architektur der Informationstechnik lasse sich das Risiko krimineller Eingriffe nicht aus der Welt schaffen. Diese Risikolage beschäftige seit 2014 auch die Versicherungswirtschaft immer intensiver. Versicherer sollten die zweite Verteidigungslinie hinter der IT-Sicherheit sein, um Cyberangriffe abzuwehren. Damit die Industriebetriebe aber Versicherungsschutz erhalten können, müssten sie wichtige Grundlagen erfüllen. Je mehr sich das produzierende Gewerbe auf Industrie 4.0 zu bewegt, desto anfälliger werde der gesamte Prozess. Früher habe die Produktion einen definierten Anfang und ein definiertes Ende gehabt. Davor und dahinter sei die Logistik gewesen, so Steffen Zimmermann, VDMA. Nun fließen zwischen den Wertschöpfungsstufen Daten und Informationen. Angreifer erhalten direkten Zugriff auf Maschinen. Die Folgen könnten sein: Know-how-Diebstahl, Produktionsausfälle, Gefährdung von Umwelt, Menschen und Maschinen. Versicherungsschutz könne erst dort ansetzen, wo die IT-Sicherheit aufhört. Wir wissen oft zu wenig über IT-Standards und liegen deshalb noch fünf Jahre hinter dem Bedarf zurück, so Achim Fischer-Erdsiek von der Unternehmensberatung Prorisk. So wie ein Makler über die Standards einer Sprinkleranlage zum Feuerschutz Bescheid wissen müsse, müsse er sich mit der IT-Architektur vertraut machen, um zum Gesprächspartner auf Augenhöhe zu werden. Datenschutz Die Europäische Agentur für Netz- und Informationssicherheit ENISA hat Empfehlungen vorgelegt, wie Datenschutz fest in Anwendungen und Prozessen verankert wird, meldet heise.de am 14. Januar. Laut Artikel 23 der kommenden EU-Datenschutz- Grundverordnung muss Datenschutz künftig direkt in Prozesse, Systeme und Produkte eingebaut werden. In dem Berichte Privacy and Data Protection by Design from policy to engineering erläutere die Behörde, was als Stand der Technik begriffen werden dürfe, und analysiert, warum datenschutzfreundliche Techniken bislang in der Praxis kaum eine Rolle spielen. Die ENISA weise beispielhaft darauf hin, dass bei der heute üblichen Internet-Authentifizierung mit Nutzername und Passwort über eine gesicherte Verbindung die teilnehmenden Server einem beobachtenden Dritten bekannt werden, was Phishing-Attacken ermögliche. Die ENISA stelle daher das erst vor etwa zehn Jahren entwickelte Konzept der attributbasierten Berechtigungsnachweise vor, das sowohl Vertrauenswürdigkeit als auch Anonymität ermögliche. In acht Empfehlungen weise die ENISA auf die derzeit größten Probleme bei der Umsetzung von Privacy-Techniken hin. Politische Entscheidungsträger sollten Anreizmechanismen wie Audits und Gütesiegel aktiv unterstützen. Standardisierungsgremien sollten Datenschutz-Prinzipien im Standardisierungsprozess berücksichtigen. Überdies sollten sie Interoperabilitätsstandards für Datenschutzfunktionen bereitstellen, damit verschiedene Privacy-Lösungen besser integriert werden können. Unternehmen in Deutschland, Frankreich und Großbritannien seien für die neuen EU-Datenschutzgesetze nur schlecht vorbereitet. Das zeige die Studie Unter-

6 Focus on Security schiedlicher Bereitschaftsgrad für neuen EU-Datenschutz des Sicherheitsunternehmens FireEye (silicon.de am 27. Januar). Die Grundverordnung, die die EU im Frühjahr verabschieden wolle, stelle Unternehmen vor umfassende Compliance-Herausforderungen, die bis spätestens 2017 bindend eine Lösung benötigen. Unter anderem würden die neuen Verordnungen folgendes vorsehen: Nutzer müssen innerhalb von 723 Stunden über Datenlecks informiert werden. Sie dürfen das Löschen sämtlicher personenbezogener Daten fordern, sofern es kein Gesetz gibt, das ihre Speicherung vorsieht. Unternehmen mit über 250 Mitarbeitern müssen einen Datenschutzbeauftragten anstellen. Trotz der drohenden Geldstrafen bei Datenlecks bis zu 100 Mio. Euro oder 5 Prozent der jährlichen Einnahmen hätten bislang nur 39 Prozent der befragten Unternehmen alle Maßnahmen der NIS-Richtlinie zur Netz- und Informationssicherheit umgesetzt. Die EU-Kommission wolle mit einem neuen Vorschlag die jahrelange Speicherung von Fluggastdaten durchsetzen, meldet ZEIT ONLINE am 29. Januar. Dazu wolle sie die bisherigen Pläne modifizieren, um die Zustimmung des Europäischen Parlaments und der Mitgliedstaaten zu erhalten. Der Kompromissvorschlag sehe vor, dass die kompletten Datensätze der Passagiere statt wie bisher 30 Tage nur noch sieben Tage gespeichert werden. Danach sollen sie anonymisiert werden. Derart anonymisiert plane die EU- Kommission die Daten dann fünf Jahre lang zu speichern. Bei Terrorverdacht könnten Ermittlungsbehörden die Daten einsehen, bis zum Ablauf der Fünfjahresfrist. Beim Zugriff der Behörden würden die Daten deanonymisiert. Die Kommission wolle zudem den Zugang zu den Daten stärker reglementieren. Die Fluggäste sollten das Recht erhalten, die gespeicherten Daten einzusehen und gegebenenfalls deren Löschung zu verlangen. Diebstahl Über einen erfolgreichen Einsatz gegen eine polnische Transporter-Mafia berichtet der ASW am 19. Januar. Die Ermittlungsgruppe Sprinter des LKA Brandenburg habe nach monatelangen Ermittlungen gegen mehrere mutmaßliche Diebesbanden in der Zeit vom 12. bis 15. Januar in mehreren nächtlichen Einsätzen Bandenmitglieder stellen und festnehmen können sowie weitere Erkenntnisse zu Bandenstrukturen, beteiligten Personen und Hintermännern gewonnen. Sechs Personen kamen in Untersuchungshaft. Sowohl die gestohlenen Transporter als auch die von den Tätern benutzten Pilotfahrzeuge wurden sichergestellt. Außerdem stellten die Ermittler mehrere sogenannte Jammer zur Unterdrückung von Funksignalen, entwendete Navigationsgeräte und weitere Ausrüstungsgegenstände der mutmaßlichen Bandenmitglieder sicher. Die Ermittlungsgruppe Sprinter wurde im April 2013 eingerichtet. Hintergrund war das vermehrte Auftreten des Diebstahls von Kleintransportern. Gestohlen wurden die Fahrzeuge in den letzten zwei Jahren in Brandenburg und anderen Bundesländern. Durch die EG Sprinter wurden bisher 343 Fälle bearbeitet. Davon konnten 223 aufgeklärt werden. Es wurden insgesamt 39 Tatverdächtige identifiziert und 20 von ihnen festgenommen. Neun Täter wurden bereits zu zum Teil mehrjährigen Haftstrafen verurteilt (Pressemitteilung des PP Brandenburg vom ). Gut zwei Jahre lang soll ein Leiharbeiter aus dem Daimlerwerk in Rastatt regelmäßig Navigationsgeräte gestohlen haben. Mehr als Navis habe der Mechatroniker aus dem Werk geschleppt und sie anschließend für 1,5 Mio. Euro im Internet verkauft. Diebstähle in Millionenhöhe kämen eher selten vor, so Frank Marzluf, Wirtschaftsprüfer bei Deloitte. Außerdem sei der Mann Leiharbeiter und damit kein typischer Täter. Der typische Täter

7 7 Focus on Security arbeite seit mehreren Jahren im Unternehmen, genieße ein gewisses Vertrauen und habe Netzwerke aufgebaut. Er kenne die Schwächen in Unternehmensabläufen. Betrug, Unterschlagung und Untreue kämen bei etwa 50 bis 70 Prozent der Unternehmen vor. Rund sieben Mrd. Euro Schaden seien deutschen Firmen mit mehr als 50 Mitarbeitern in den vergangenen zwei Jahren durch Diebstahl und Unterschlagung entstanden. Schlechte Bezahlung könne ein Grund für diese Kriminalität sein, aber auch die Unternehmenskultur. Gingen Vorgesetzte eher lax mit Vorschriften um, nähmen es die Mitarbeiter möglicherweise auch nicht so genau. In der Zeit vom 18. bis 19. Januar seien im Gewerbegebiet Landsberger Straße in Waldheim (Mittelsachsen) die Planen an vier Sattelanhängern aufgeschlitzt worden. Der Sachschaden betrage Euro (ASW- Meldung am 21. Januar). Einbruch Nach einer Pressemitteilung der Kriminalinspektion Oldenburg vom 22. Dezember 2014 ist es seit Juni 2014 in Niedersachsen, Bremen und Nordrhein-Westfahlen vermehrt zu Einbrüchen in Geschäfte und Firmenräume gekommen. Die Täter hatten es im Wesentlichen auf Bargeld Tabakwaren und Spirituosen abgesehen. Der Einbrecherbande werden sieben Tatverdächtige zugerechnet. Sie hatte es in besonderem Maße auf Geldwechselautomaten und Tresore abgesehen, die aus den jeweiligen Objekten abtransportiert wurden. Einzelne Objekte seien teilweise videoüberwacht gewesen. In diesen Fällen seien durch die Täter die erkennbar dazugehörigen Kabel gekappt und Telefonleitungen durchtrennt worden. Offensichtlich fehlende technische Einrichtungen wie z. B. Videokameras, Rundumleuchten oder auch fehlende sogenannte Alarmschleifen in den Verglasungen hätten als Anhaltspunkte auf nicht vorhandene technische Absicherung gedient. Die Täter seien hauptsächlich nach Aufhebeln von Seitentüren und Fenstern in die Objekte eingedrungen. Eine Technik namens Hi WiFi soll Anwendern die Überwachung von Räumlichkeiten ermöglichen, ohne dass hierfür zusätzliche Technik angeschafft werden muss, berichtet heise.online am 9. Januar. Das vom finnischen Unternehmen Ekin Labs auf der CES in Las Vegas vorgestellte System bestehe aus einer Software, die auf mindestens zwei Geräten mit WLAN-Zugang installiert werden müsse. Dabei könne es sich um Hardware handeln, die bereits vorhanden ist, beispielsweise Smartphones oder Tablets. Falschgeld Dass die Zahl der Euronoten-Fälschungen 2014 gegenüber dem Vorjahr um 63 Prozent gestiegen sei, hat sich nach einer Bundesbank-Mitteilung vor allem aus der Zunahme von falschen 50 Euro-Noten ergeben, heißt es in der FAZ am 24. Januar. Die Zahl dieser Blüten habe sich gegenüber 2013 auf Fälschungen nahezu verdoppelt. Insgesamt hätten Banken, Handel und Polizei 2014 mehr als falsche Euronoten aus dem Verkehr gezogen. Der Schaden habe 3,3 Mio. Euro betragen gegenüber 2,1 Mio. Euro International sei die Zahl gefälschter Euro-Noten 2014 um ein Viertel auf Blüten gestiegen. In Deutschland seien 82 Prozent aller Fälschungen auf 20- und 50-Euroscheine entfallen, international sogar 86 Prozent. Die Notenbanken legten

8 Focus on Security indes Wert auf die Feststellung, dass gemessen an der vermehrten Anzahl der im Umlauf befindlichen Geldscheine die Zahl der Fälschungen nach wie vor gering sei. Am 15. Dezember 2014 wurde in Neapel Falschgeld im Nennwert von ca. 24 Mio. Euro sichergestellt, berichtet das BKA in der Wochenlage am 16. Januar. Trotz der Großsicherstellung sei damit zu rechnen, dass Produktion und Verbreitung der beiden Fälschungsklassen EUA100 P7 und EUA50 P5 auch in Zukunft fortgesetzt werden. Flughafensicherheit DW.de vermutet am 18. Januar, die kürzlich bekannt gewordenen Sicherheitsmängel am Frankfurter Airport seien noch gravierender als bisher bekannt. Bei den verdeckten und offenen Tests Anfang November 2014 habe das Sicherheitspersonal bis zu 80 Prozent der gefährlichen Gegenstände und Stoffe nicht gefunden. Mehr als 60 Prozent der Luftsicher heitsassistenten hätten an der Übungssoftware nur vier von zwölf Levels erfolgreich lösen können. Dennoch haben sich der Flughafenverband ADV von der Sicherheit an den deutschen Airports überzeugt gezeigt. Aufgedeckte Mängel würden umgehend beseitigt. In den vergangenen 20 Jahren habe sich die Beauftragung privater Sicherheitsdienstleister durch die Behörden bewährt. Eine Rückführung dieser Aufgabe in die Hand des Staates führe nicht automatisch zu einer Verbesserung der Qualität. In einem Interview in der Wirtschaftswoche vom 19. Januar äußert sich der Fraport-Chef Stefan Schulte. Die schlechten Testergebnisse seien kein Indiz für generelle Sicherheitsmängel. Sie gingen an die Grenzen dessen, was Mitarbeiter bei Sicherheitskontrollen erkennen können. Bei den EU-Tests seien neue Sachverhalte getestet worden, die in den Schulungsunterlagen für die Luftsicherheitsassistenten nicht enthalten waren. Hier wurde bereits reagiert, zahlreiche Nachschulungen sind erfolgt. Es sollten die Erfahrungen der Flughafenbetreiber und der Airlines stärker genutzt werden. Dabei dürfe es an der Sicherheit keine Abstriche geben. Gefährdungslagebild Kamerun Das BKA informierte am 18. Dezember 2014 über die Sicherheitslage in Kamerun. Zusammengefasst sei feststellbar, dass kurzbis mittelfristig mit weiteren terroristischen Aktivitäten der BOKO HARAM gegen staatliche und zivile Ziele in Kamerun speziell in der Region Extreme Nord zu rechnen sei. Insbesondere ein intensiviertes Vorgehen der kamerunischen Sicherheitskräfte berge die Gefahr, dass die Gruppierung ihre Aktivitäten weiter ausweite. Dabei könnten zukünftig auch westliche darunter auch deutsche Interessen oder Einrichtungen weiter in den Fokus rücken. Informationen zu bevorstehenden USBV-Anschläge in Jaunde und Douala würden sich grundsätzlich in die bestehende Lagebewertung einfügen. Ähnliches gelte für die verstärkten Bemühungen der Al Qaida im islamischen Maghreb (AQM) um Entführung westlicher Ausländer.

9 9 Focus on Security Gefährdungslagebild Libyen Im aktuellen Wochenbericht des Instituts für Strategie-, Politik-, Sicherheits- und Wirtschaftsberatung (ISPSW) Nr. 315 zur Lageentwicklung in Libyen im Januar 2015 heißt es: Die Lage in Libyen hat sich nicht weiter entspannt. Stattdessen haben trotz der Fortsetzung des Vermittlungsdialogs der Vereinten Nationen die Gefechte in Benghazi erneut zugenommen, und auch in anderen Landesteilen wurde trotz der in der Vorwoche verkündeten Waffenruhe wieder gekämpft. In Tripolis kam es erneut zu mehreren Zwischenfällen, darunter zu einem Angriff auf das Corinthia-Hotel. In weiten Teilen des Landes ist nach wie vor jederzeit mit bewaffneten Auseinandersetzungen und Anschlägen zu rechnen. Vor dem Hintergrund der unübersichtlichen Lage und Dynamik im gesamten Land, der hohen Kriminalität, der mittlerweise desolaten Infrastruktur sowie des Risikos von Anschläge und bewaffneten Auseinandersetzungen wird von Reisen nach Libyen weiter abgeraten. Geldwäsche Wie die FAZ am 28. Januar meldet, wolle die Bundesregierung den Tatbestand der Geldwäsche ausbauen. Der Katalog der sogenannten Vortaten werde zweifach ergänzt: Aufgenommen werde sowohl der neue 335a gegen die Bestechung ausländischer Staatsbediensteter wie auch der reformierte 299 zur Bestechung im Geschäftsverkehr. IT-Sicherheit Im Dezember 2014 hat das BSI über die Lage der IT-Sicherheit in Deutschland 2014 berichtet. Der Bericht enthält Vorfälle in der Wirtschaft: Einen gezielten Angriff auf ein Stahlwerk in Deutschland; mittels Spear-Phishing und ausgefeiltem Social Engineering hätten Angreifer initialen Zugriff auf das Büronetz des Stahlwerks erlangt. Von dort aus hätten sie sich sukzessive bis in die Produktionsnetze vorgearbeitet. Die sich häufenden Ausfälle einzelner Steuerungskomponenten oder ganzer Anlagen hätten dazu geführt, dass ein Hochofen nicht geregelt heruntergefahren werden konnte. Die Folge seien massive Beschädigungen der Anlage gewesen. Über die als Heartbleed bezeichnete Schwachstelle, die im April in der Softwarebibliothek OpenSSL entdeckt wurde, könnten unerlaubt Speicherinhalte ausgele- sen werden. Zum Ausnutzen der Schwachstelle reiche es aus, spezielle Anfragen an ein System zu senden, das die von der Schwachstelle betroffene Funktion von OpenSSL verwendet. Mit dem 2014 bekannt gewordenen Schadprogramm Havex habe die sogenannte Dragonfly-Gruppe mehrere Dutzend deutsche Unternehmen angegriffen. Im ersten Schritt hätten die Täter die Hersteller von Software für Industriesteuerungssysteme angegriffen. Den entsprechenden Installationsdateien auf den Downloadservern der Anbieter sei das Schadprogramm Havex angehängt gewesen. Ebury sei ein Schadprogramm mit Backdoor-Funktionalität ein sogenanntes Rootkit für Linux und Unix-ähnliche Betriebssysteme, das Secure-Shell (SSH)-Zugangsdaten ausspäht. Das Schadprogramm werde von Angreifern auf kompromittierten

10 Focus on Security Servern entweder durch den Austausch von SSH-Programmdateien oder einer von diesen Programmen gemeinsam genutzten Bibliothek installiert. Über die Backdoor hätten die Täter jederzeit die vollständige Kontrolle über das infizierte System. Die mit Ebury infizierten Server würden von den Tätern im Rahmen der Operation Windigo für verschiedene kriminelle Aktivitäten missbraucht. Im Juni 2014 sei die Austausch- und Entwicklungsplattform für Softwareentwickler der Firma Code Spaces zum Ziel einer Erpressung, die von einem mehr als 48 Stunden andauernden DDoS-Angriff begleitet worden sei. Die Täter hätten illegal Zugriff auf einen Administratorenzugang des durch das Unternehmen bei Amazon Web Services angemieteten Cloud-Speicherplatzes erlangt und dort mehrere Nachrichten mit ihren Geldforderungen platziert. Im September 2014 sei unter dem Namen ShellShock eine Schwachstelle im Kommandozeileninterpreter Bash bekannt geworden. Entsprechend der Verbreitung und Anwendbarkeit von Bash seien die Szenarien vielfältig, in denen die Schwachstelle ausgenutzt werden kann, um unerlaubt Programmcode auf betroffenen IT-Systemen auszuführen. Durch die unerlaubte Ausführung von Programmcode könnten Angreifer vertrauliche Informationen auslesen, Manipulationen am IT-System vornehmen oder das IT-System stören. Im Mai 2014 seien hochrangige Vertreter mehrerer international tätiger Großunternehmen mit besonders ausgefeilten Phishing-Mails adressiert worden. Mit fingierten s seien die Mitarbeiter darüber informiert worden, dass infolge eines Updates im IT-System zur Personalverwaltung ein Verdacht auf Inkonsistenzen in einzelnen Datensätzen bestehe. Unter diesem Vorwand seien die Adressaten aufgefordert worden, die Kopie eines amtlichen Lichtbildausweises und die Bankverbindung ihres Gehaltskontos zu übermitteln. Folgende Lösungsansätze benennt das BSI: Grundvoraussetzung für die Gewährleistung von Informationssicherheit seien effektive und vertrauenswürdige Sicherheitsmechanismen auf technischer Ebene. Grundsätzlich sollte sich das Handeln von Staat, Wirtschaft und Forschung an folgenden strategischen Zielen ausrichten: Schutz von Grundwerten in der digitalen Welt durch die Sicherung der technologischen Handlungsfähigkeit und die Förderung vertrauenswürdiger Informationstechnik Schaffung von Rahmenbedingungen und Anreizen, um ausländische Marktführer dazu zu veranlassen, ihre Produkte auf technischer Ebene durch Vertrauensanker an deutsche Vertraulichkeitsansprüche anzupassen Befähigung der deutschen Wirtschaft, industrielle Kernkompetenzen mit dem in Deutschland vorhandenen Know-how im Bereich der Informationssicherheit zu verbinden Verstärkte Anstrengungen seien erforderlich, um die Spitzenposition in der IT-Sicherheit zu sichern und neuen technologischen Herausforderungen gerecht zu werden. Voraussetzung für den Einsatz von Sicherheitstechnik sei die Sensibilität der Nutzer für die Gefährdungen der IT. Wesentlich sei die Bereitstellung skalierbarer Cyber- Sicherheitsangebote, die ein an die spezifischen Bedürfnisse der unterschiedlichen Zielgruppen angepasstes Schutzniveau ermöglichen. Aufgrund der Entwicklung der Gefährdungslage seit 2011 sei eine weitere Vertiefung der Zusammenarbeit zwischen Staat und KRITIS-Betreibern notwendig. Laut Pressemitteilung des BMI vom 17. Dezember 2014 hat das Bundeskabinett am selben Tag den Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen. Er enthalte Anforderungen an die IT-Sicherheit Kritischer Infrastrukturen. Deren Betreiber sollen künftig einen Mindeststandard an IT-Sicherheit

11 11 Focus on Security einhalten und erhebliche IT-Sicherheitsvorfälle an das BIS melden. Zur Steigerung der IT-Sicherheit im Internet würden darüber hinaus Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht. Sie sollen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten. Telekommunikationsunternehmen würden zudem verpflichtet, ihre Kunden zu warnen, wenn ihnen auffällt, dass der Anschluss des Kunden für Angriffe missbraucht wird. Das BSI solle die Befugnis erhalten, auf dem Markt befindliche IT-Produkte und IT-Systeme im Hinblick auf ihre IT-Sicherheit zu prüfen, zu bewerten und die Ergebnisse bei Bedarf zu veröffentlichen. Zwei IT-Trends für 2015 betont die FAZ am 29. Dezember 2014: Unter den zehn wichtigsten Gartner-Trends für das kommende Jahr rangieren zwei, die mit der Analyse großer Datenmengen zu tun haben: das Internet der Dinge sowie smarte Maschinen wie etwa das selbstfahrende Auto. Auch wegen der wachsenden Zahl an Datenlecks bei Online-Diensteanbietern würden zudem 2015 Unternehmen reüssieren, die Verschlüsselungsdienste anbieten oder biometrische Identifizierung, mit der sich zum Beispiel Handys per Fingerabdruck entsperren lassen. Sicherheit ab Werk fordert die FAZ am 2. Januar. Computerhacker feierten Hochkonjunktur. Allein die wirtschaftlichen Schäden würden sich auf mehr als 300 Mrd. Euro im Jahr belaufen. Was aber sei dagegen zu tun? Softwareunternehmen müssten mehr als bisher die Lücken in ihren Programmen schließen, bevor sie damit auf den Markt gehen. Computerhersteller könnten ihre Rechner sicherer machen, indem sie die erste Sicherheitsschranke schon tief in den zentralen Steuerbausteinen errichten. Laut einer aktuellen Untersuchung der Enterprise Strategy Group teilen 44 Prozent der Sicherheitsexperten in Unternehmen die Ansicht, dass Benutzername und Passwort allein heute nicht mehr sicher sind, berichtet computerwoche.de am 10. Januar. Deshalb plädierten sie für eine Abschaffung dieser Authentifizierungsform für Zugriffe auf sensible Unternehmensanwendungen. Ausgereiftere Methoden zum Abfangen von Anmeldedaten seien so dreist, dass nicht einmal mehr die sicherheitsstärksten Token für die Zweifaktor-Authentifizierung effektiv sind. Als Reaktion auf die Anschläge in Paris habe David Cameron angekündigt, die Überwachungsbefugnisse deutlich auszuweiten, meldet heise.de am 13. Januar. Wenn er wiedergewählt werde, müsse jede Kommunikation für Geheimdienste einsehbar sein. Das könnte aber einem Verbot verschlüsselnder Messaging-Dienste gleichkommen. Wie heise. de am 21. Januar meldet, hat nach Cameron und Obama nun auch Bundesminister de Maizière gefordert, dass Sicherheitsbehörden in die Lage versetzt werden müssen, verschlüsselte Kommunikation einsehen zu können. Dies diene dem Kampf gegen den Terror. Die Anschlagsserie in Paris habe deutlich gemacht, dass der Kampf gegen terroristische Aktivitäten im Internet verstärkt werden müsse. Kritisch äußert sich dazu Constanze Kurz in der FAZ am 26. Januar. Der Bundesinnenminister habe versucht, das Ansinnen der Kryptoregulierung zu erklären, indem er einen Vergleich mit Alarmanlagen und anderen Sicherungen an Häusern heranzieht. De Maizière lasse unerwähnt, dass der Staat sich dabei den Zweitschlüssel zu allen Häusern verschaffe, um heimlich und verdeckt eindringen zu können. Die Verschlüsselung sei der einzig wirksame verbliebene Schutz, den wir für unsere Gedanken, Gespräche und Gefühle haben, sobald sie in digitaler Form festgehalten werden. Mit der verkorksten Haus-Analogie zu fordern, Polizei und Geheimdienste müssten einen Nachschlüssel für jede Verschlüsselung bekommen, wäre nicht nur das Ende des Vertrauens in digitale Kommunikation, sondern auch rechtlich fragwürdig. Denn das Bundesverfassungsgericht habe in seinem Urteil zum Staatstrojaner Verschlüsselung explizit als legitimes Mittel des digitalen Selbstschutzes aufgeführt.

12 Focus on Security Nach einer Pressemitteilung von Axis Communications sind folgende Sicherheitstrends im Jahr 2015 zu erwarten (Sicherheitsforum, Ausgabe , S. 54/55): In Zukunft werden die unterschiedlichen Systeme des öffentlichen Verkehrs dank IP zunehmend miteinander verbunden werden. Bei Sicherheitsereignissen werden homogene und unterbrechungsfreie Videos mit HDTV-1080p-Aufzeichnung bei 60 Bildern pro Sekunde eine zweifelsfreie Bestimmung des Tatherganges ermöglichen. Ein weiterer Vorteil von integrierten Lösungen auf IP-Basis sei die Möglichkeit, Vorgänge live mitzuverfolgen und dabei auch präventive Maßnahmen zu ergreifen, um größere Schäden zu entschärfen. Derzeit zeige der Trend klar in Richtung prädiktive Analyse von Echtzeitdaten. Netzwerkkameras seien dabei in der Lage, Live/ Video-Streams kabellos an mobile Geräte zu senden. Die 4K-Technologie werde sich in der Sicherheitsbranche etablieren. 4K entspreche einer Videoauflösung von x Pixeln bei 30 Bildern pro Sekunde. Eine solche Netzwerkkamera eigne sich hervor ragend zum Überblicken von großen Bereichen wie Bahnhöfen oder öffentlichen Anlagen und könne gleichzeitig kleinste Details erfassen. Der Übergang zur IP-Technologie im Sicherheitsmarkt werde auch einen Wechsel von proprietären Systemen zu offenen Lösungen auf Basis internationaler Branchenstandards sowie zu standardisierten APIs mit sich bringen. Israelische Fachleute für Computersicherheit haben Unternehmen auf dem Weltwirtschaftsforum in Davos dazu aufgefordert, beim Thema Cybersicherheit sehr viel stärker als bisher zusammenzuarbeiten, berichtet die FAZ am 23. Januar. Sie müssten besser in Netzwerken kooperieren, viel mehr Informationen über Hackerattacken austauschen und dabei voneinander lernen. Cyber-Sicherheit sei mehr als eine technische Angelegenheit, sie habe sehr viel mit den handelnden Personen zu tun. Sichere Organisationen entstünden nur dann, wenn man einige sehr harmlos klingende Dinge, nämlich Kooperation, Partnerschaft und Kompetenz, mit der sichersten Hard- und Software kombiniert. Traditionelle Sicherheitskonzepte jedenfalls, wie etwa Firewalls und oder sogenannte Intrusion-Prevention -Systeme böten nicht mehr den nötigen Schutz vor den neuesten Techniken der Hacker. Oft seien die Mitarbeiter die Ursache für Sicherheitsverletzungen, nicht absichtlich, sondern einfach aus Unwissenheit oder Unachtsamkeit. Zu viele Unternehmen würden ihre Mitarbeiter in Fragen der Computersicherheit nicht ausreichend schulen. Ein Konsortium aus IT- und Cyber-Experten unter der Federführung von VdS Schadenverhütung hat wie funkschau.de am 21. Januar meldet ein speziell auf kleine und mittlere Unternehmen (KMU) zugeschnittenes Verfahren entwickelt, mit dem der Informationssicherheitsstatus eines Unternehmens auditiert und zertifiziert werden kann. Eine VdSzertifizierte Informationssicherheit solle ein hohes Vertrauen bei Kunden und Lieferanten erzeugen und damit zu Wettbewerbsvorteilen für die zertifizierten Unternehmen führen. Ein VdS-Zertifikat könne auch Versicherern zur Risikoeinschätzung beim Angebot für Deckungen von Cyberschäden dienen. Das BSI stelle zwar einen modular aufgebauten, umfangreichen Katalog zum Informationssicherheitsmanagement zur Verfügung (IT-Grundschutz), das eine Zertifizierung nach ISO ermöglicht. Die Erfahrungen der letzten Jahre zeigen jedoch laut VdS, dass die Hürden hierfür insbesondere für KMU in den allermeisten Fällen viel zu hoch sind. Google werde eine gravierende Sicherheitslücke in älteren Versionen seines Smartphone- Betriebssystems Android nicht mehr schließen, berichtet die FAZ am 26. Januar. Die Lücke betreffe Android 4.3 oder älter und damit schätzungsweise 60 Prozent aller Android-Geräte, die aktuell verwendet werden. Ursächlich sei die fehlerhafte Webview-Technologie. Der Fehler erlaube es etwa Angreifern, an die Daten zu

13 13 Focus on Security gelangen, die ein Nutzer auf anderen Internetseiten gespeichert hat. Google-Entwickler Adrian Ludwig habe den betroffenen Anwendern empfohlen, auf einen sicheren Webbrowser (Firefox oder Chrome) umzusteigen. Doch würden dadurch die Lücken in anderen betroffenen Apps nicht geschlossen. Die deutsche Wirtschaft ist auf bevorstehende Cyberattacken nicht ausreichend vorbereitet, hat nach einer Mitteilung des ASW vom 26. Januar Dr. Michael Littger, Geschäftsführer von Deutschland sicher im Netz zum Auftakt des Omnicard-Kongresses in Berlin erklärt. Hauptursache sei die weit verbreitete digitale Sorglosigkeit in deutschen Unternehmen. Gerade kleine und mittelständische Unternehmen sind gegen einfache Angriffe nur unzulänglich geschützt. Die Wahrheit ist: Als Hobbyhacker kommen Sie heute in die meisten der Unternehmen rein. Im Rahmen der Studienreihe Security Bilanz Deutschland habe das Marktforschungsunternehmen techconsult den Unternehmen zwischen 20 und Mitarbeitern in der Informationssicherheit in den meisten Fällen ein niedriges Schutzniveau attestiert, berichtet silicon.de am 27. Januar. Mehr als die Hälfte der befragten Unternehmen hätten massiven Nachholbedarf bei der Umsetzung von Verschlüsselungslösungen. Als wichtigsten Hinderungsgrund sähen die techconsult-analysten die fehlende Usability. Digitale Signaturen von Dokumenten oder die Verschlüsselung auf Dokumentenebene und auch der verschlüsselte Versand der Daten sei in der Masse der Unternehmen nicht im Einsatz. Der Markt für Identitätsmanagement boomt, titel computerwoche.de am 27. Januar. Die Experton Group habe mehr als 450 in Deutschland aktive Security-Anbieter unter die Lupe genommen. 138 habe das Analystenteam als relevant für den deutschen Markt eingestuft. In 11 Kategorien seien die Anbieter nach Wettbewerbsstärke und Portfolio-Attraktivität bewertet und gerankt worden. Im Bereich Identity and Access Management spiele überraschenderweise die Deutsche Telekom eine tragende Rolle. Auch im Bereich Security Information & Event Management seien große Player wie die Deutsche Telekom, IBM, McAfee oder HP am besten aufgestellt. Vodafone und Secusmart hätten ihre App zum verschlüsselten Telefonieren fertiggestellt, berichtet computerwoche.de am 28. Januar. Die App richte sich vor allem an Unternehmen, die ihre Handy-Telefonate gegen Abhöraktionen schützen wollen. Die Gespräche würden über die App geführt und verschlüsselt im Datennetz übertragen. Die Anwendung laufe auch auf Geräten anderer Mobilfunk-Anbieter, aber mindestens ein Telefon im Unternehmen müsse einen Vodafone-Vertrag haben. Die App greife auf die Kontakte im Telefon zu. Zudem könne eine Liste sicherer Kontakte in einer separaten Datenbank angelegt werden. Die Deutsche Telekom habe ein Zehn-Punkte- Programm für mehr Sicherheit im Netz vorgestellt, berichtet heise.de am 28. Januar. Sie wolle sich nach eigener Darstellung um die Achillesferse einer Gesellschaft kümmern, in der sich Menschen und Maschinen über das Internet vernetzen. Die Erkenntnisse, die Edward Snowden zur Verfügung gestellt hat, müssten vollständig offengelegt und zugänglich gemacht werden. Innerhalb der EU sollten die Mitgliedsländer auf gegenseitiges Ausspionieren des Telekommunikations- und Internetverkehrs verzichten. Auch mit den USA sollte weiterhin ein Abkommen über einen Spionageverzicht angestrebt werden. Der zentrale Punkt des Sicherheitsprogramms laute: Sicherheitsbehörden sollten transparent machen, welche Informationen sie über Telekommunikationsund Internetnutzer abfragen. Dazu gehören Anzahl und Art der erfolgten Anfragen und Auskünfte sowie der überwachten Anschlüsse. Zu den übrigen sieben Punkten gehöre die Informationspflicht bei Cyberangriffen wie die Verstärkung der Forschung und der Ausbau der CERT-Anlaufstellen. Auch der von der Regierungskoalition beabsichtigte Ausbau des Verschlüsselungsstandortes Deutschland finde sich im Sicherheitsprogramm wieder.

14 Focus on Security IuK-Kriminalität Der Schaden, der Telekommunikationsunternehmen durch gezielten Betrug jährlich entsteht, liege laut einer CFCA-Erhebung aus dem Jahr 2013 bei rund 46 Mrd. US-Dollar weltweit, berichtet brainloop.com am 16. Dezember Um Betrug effizienter zu verhindern und Betrüger rechtzeitig zu erkennen, sei von den Telko-Unternehmen schon 1998 das Deutsche Fraud Forum (DFF) ins Leben gerufen worden. Die in ihm zusammengeschlossenen Unternehmen, darunter die Deutsche Telekom, Vodafone, O2/E-Plus und 1&1, tauschten hier Informationen und Erfahrungen über Täter und deren Methoden aus und bildeten eine zentrale Schnittstelle der Branche zu Behörden und Politik. Seit November 2014 nutze das DFF den Brainloop Secure Dataroom, um sicher und schnell zwischen den Mitgliedsunternehmen kommunizieren zu können. Mit dem Brainloop Secure Dataroom lägen vertrauliche Dateien verschlüsselt in der hochsicheren Cloud-Umgebung, während sie gleichzeitig von allen Berechtigten eingesehen und bearbeitet werden könnten. Verschickt würden keine Dokumente mehr, sondern lediglich Links darauf. In einer Zusammenfassung der IT-Sicherheitslage in Deutschland bilanziere das BSI mindestens eine Million Infektionen durch Schadprogramme im Monat, berichtet heise.de am 17. Dezember Doch die eigentliche Überraschung sei eine recht konkrete Beschreibung eines bislang unbekannten Angriffs auf ein deutsches Stahlwerk. Die Angreifer sollten über Spear-Phishing gezielt das Büronetz des Werkes infiltriert und sich von da aus zu den Steueranlagen vorgehandelt haben. Als sie Zugriff zum Produktionsnetz hatten, hätten sie die Steuerkomponenten des Werks manipuliert. Weitere sicherheitsrelevante Ereignisse, die das BSI hervorhebt, seien die zwei Fälle von millionenfachem Identitätsdiebstahl am Anfang des Jahres 2014 und die Sicherheitslücke in den Fritzboxen von AVM. IT-Verantwortliche müssten Server mit speziellen Tools und Maßnahmen ständig überwachen, um Angreifer rechtzeitig zu erkennen und zu bekämpfen, meint TEC- CHANNEL am 29. Dezember Hacker seien kreativ und in der Lage, die standardisierten Sicherheitsmaßnahmen eines Unternehmens auszuhebeln. Greifen Hacker das Unternehmen an, bestehe grundsätzlich auch die Gefahr, dass die Server kompromittiert werden. Das passiere vor allem in kleinen Unternehmen, deren Netzwerke oft nur unzureichend vor Angriffen geschützt sind. Zunächst sollte man im Netzwerk ständig überprüfen, ob es Probleme bezüglich der Arbeitsstationen gibt. Server seien vor allem dann in Gefahr, wenn zwischen dem Netzwerk mit den Client-Computern und den Servern keine Firewall positioniert ist, die den Datenverkehr Port-genau filtern kann. Wenn Hacker erst die Server im Visier haben, würden oft Bot- Schädlinge installiert. Trojaner würden Daten als Spam-Relay auslesen oder der - Server würde als Spam-Relay missbraucht. Wenn Server unter einer hohen Last laufen, sollte man im Task-Manager überprüfen, welche Prozesse gestartet sind. Hacker bringen die Wirtschaft um 300 Mrd. Euro im Jahr, titelt die FAZ am 30. Dezember. Die seit Anfang Dezember 2014 in Amerika mehrfach erfolgreich angegriffene japanische Sony Corp. suche zusammen mit amerikanischen Ermittlungsbehörden die Ursachen für einen der größten Datendiebstähle in der Computergeschichte. Der südkoreanische Energiekonzern Korea Hadro & Nuclear Power habe seine Reaktoren digital attackiert gesehen und stocke nun die Schutzmauern rund um die hauseigene Steuerungstechnik auf. Vor diesem Hintergrund schlage das BSI in seinem jüngsten Jahresbericht laut Alarm. Sie sehen digitale Sorglosigkeit in den Vorständen vieler Unternehmen. Trend Micro sehe in vielen Firewalls mehr Löcher als in einem Schweizer Käse. Die Sicherheits-

15 15 Focus on Security spezialisten des Chipherstellers Intel hätten den durch Cyberkriminelle verursachten Schaden in aller Welt auf rund 300 Mrd. Euro im Jahr beziffert. Nach Angaben des IT-Unternehmens EMC büßten allein deutsche Firmen ,6 Mrd. Euro durch Datenverluste ein. Binnen zweier Jahre habe sich die Datenverlustrate vervierfacht. Hunderttausende Firmen stünden Angriffen ohne Abwehrinstrumente gegenüber. Ein Wachstumstreiber der Weltwirtschaft wanke. Angesichts der Entwicklung hin zu kleinen Taschencomputern hätten sich die in Hamburg versammelten Computerspezialisten den Schwächen im Mobilfunk gewidmet. Denn dort seien die Maschen im Netz größer als gedacht. Unter dem Namen Keysweeper habe der IT- Sicherheitsforscher Samy Kamkar ein neues Schnüffelgerät entwickelt, meldet Spiegelonline am 14. Januar. Äußerlich komme es wie ein kleines USB-Ladegerät daher. Das vermeintliche Ladegerät sei mit einer Software ausgestattet, die Tastatureingaben entschlüsseln kann. Die so gewonnenen Daten würden entweder im Speicher des Keysweepers oder online in der Cloud gespeichert. Zusätzlich könne ein Alarm eingerichtet werden, der bei bestimmten Schlüsselbegriffen, Internetadressen oder Nutzernamen ausgelöst wird und via SMS eine Benachrichtigung verschickt. Da Keysweeper mit einem Akku versehen sei, zeichne er auch dann auf und sende, wenn er nicht mehr in einer Steckdose steckt. Das tückische Ladegerät eigne sich für eine ganze Reihe möglicher Schnüffelszenarien. Firmenspionage sei ebenso denkbar wie die Überwachung von Bürotätigkeiten durch den Chef. Auf der Hackerkonferenz 31C3 sei von Experten demonstriert worden, wie einfach sich Handys orten und abhören lassen, meldet TECCHANNEL am 30. Dezember. Hierzu werde das SS7-Protokoll genutzt. Über dieses Protokoll ließen sich die Standards UMTS und GSM aus der Ferne knacken. Neben dem entsprechenden Fachwissen sei nur die Telefonnummer nötig, um Zugriff auf Ortsdaten und Gesprächsinhalte zu bekommen. Das BKA ermittelt gegen Cyberkriminelle, die mit einer Software bis zu Computersysteme in über 90 Staaten infiziert haben sollen, meldet TECCHANNEL am 30. Dezember. Mehr als die Hälfte der Systeme habe sich in Deutschland befunden. Experten sei es gelungen, das sogenannte Bot-Netz zu zerschlagen. Die betroffenen Computerinhaber seien über ihren Provider über die Gefahren benachrichtigt worden. Die slowenische Bitcoin-Börse Bistamp sei von Hackern angegriffen worden, meldet die FAZ am 6. Januar. Die Cyber-Kriminellen hätten rund Bitcoin erbeutet. Die hätten einen Wert von rund 5 Mio. Dollar. Dieses Ereignis werfe wieder mal ein Schlaglicht auf die Sicherheit der digitalen Devise. Schon im Vorjahr habe die Pleite des lange Zeit größten Handelsplatzes für Bitcoin, der japanischen Börse Mt. Gox, viele Nutzer verunsichert. Auch habe es gerade 2014 zahlreiche Diebstähle gegeben. Zu guter Letzt sei die Währung auch oft für illegale Transaktionen benutzt worden. Das Sicherheitsforum skizziert in der Ausgabe (S. 46/47) Cybergefahren, die nach einem Report von Websense Security Labs 2015 zu erwarten sind: Das Gesundheitswesen rücke verstärkt ins Visier von Hackern. Attacken auf das Internet der Dinge gelten Unternehmen, nicht Konsumenten. Smartphones würden nicht mehr vorrangig wegen ihrer Daten, sondern wegen ihrer Zugänge gehackt. Jahrzehntealte Quellcodes machten neue Anwendungen verwundbar. -Attacken erreichten einen neuen Perfektionsgrad. Hacker hosteten ihre Command and Control- Infrastrukturen verstärkt auf legitimen Seiten. Neue Teilnehmer beträten das Schlachtfeld des Cyberkrieges: eine wachsende Zahl von lose miteinander verbundenen Zellen, die mit ihren Cyber-Aktivitäten zwar unabhängig von Nationalstaaten handeln, aber deren Ziele unterstützen.

16 Focus on Security Das Bundeskabinett hat ein Gesetz beschlossen, mit dem die Höchststrafe für Computerhacking ( 202c StGB), nämlich das Abfangen oder Knacken von Passwörtern, um damit in fremde Rechner einzudringen, und Handelsteilnehmer seien durch das Börsengesetz verpflichtet, ein ausgewogenes Verhältnis zwischen ihren Aufträgen und den tatsächlich ausgeführten Transaktionen zu gewährleisten. Auch das Wertpapierhandelsgesetz und die dazugehörige Verordnung zur Konkretisierung des Verbotes der Marktmanipulation (MaKonV) seien verschärft worden, schreibt die FAZ am 14. Januar. Als Delikt gelte nun auch, wenn Algorithmen mit einer Unmenge an Aufträgen Handelssysteme verlangsamen könnten und ebenso, wenn diese eine nicht vorhandene Nachfrage oder ein übertriebenes Angebot vortäuschen, und schließlich, wenn andere Börsenkunden dadurch echte Aufträge schwerer finden können. Dennoch bleibe die Gefahr, dass Händler andere Börsianer mit ihrem überlegenen Wissen systematisch übervorteilen. Das Grundproblem am Hochfrequenzhandel bestehe darin, dass nicht Menschen, sondern Algorithmen die Kauf- und Verkaufsaufträge steuern. Händler mieten Computer in unmitdas Herstellen oder Verbreiten von Computerprogrammen zu diesem Zweck auf zwei Jahre Haft verdoppelt wird (Meldung in der FAZ am 28. Januar). Korruption Im Kampf gegen Korruption wolle die Bundesregierung das Strafrecht aufrüsten, berichtet die FAZ am 28. Januar. Sie habe ein Gesetz auf den Weg gebracht, das insgesamt sechs Vorgaben der EU und des Europarats umsetzt. Bestimmungen aus diversen Sondergesetzen sollen in das Strafgesetzbuch verlagert. Eine wichtige Änderung ergebe sich beim Straftatbestand der Bestechlichkeit und Bestechung im geschäftlichen Verkehr ( 299 StGB). Bislang müssen beispielsweise Einkäufer, die von einem Zulieferer Schmiergeld annehmen, nur dann eine Strafe befürchten, wenn sie ihn dafür gegenüber einem günstigeren Konkurrenten bevorzugen. Künftig reiche es, wenn der Beschäftigte dadurch als Gegenleistung seine Pflichten gegenüber seinem Arbeitgeber verletzt. In einem neuen 335a StGB werden Beamte und Richter anderer Staaten und überstaatlicher Institutionen sowie NATO- Soldaten erfasst. Marktmanipulation telbarer Nähe zur Börse, weil das die elektronische Übermittlung zusätzlich beschleunige. Denn die erhofften Arbitrage-Gewinne durch Kursdifferenzen würden mitunter von einem Vorsprung um wenige Mikro- oder Nanosekunden abhängen. Auch an den internen Handelsplattformen großer Banken (Dark Pools), an denen wenig Transparenz herrscht, werde das ausgenutzt. Es gebe auch räuberische Handelsstrategien etwa wenn der Markt gezielt gestört oder andere Marktteilnehmer ausgespäht werden sollten, um einen Insidervorteil zu ergattern. Es könne zum Beispiel strafbar sein, wenn so viele Scheinaufträge erteilt und sofort wieder zurückgenommen werden, dass andere Marktteilnehmer ein falsches Bild von der Orderlage erhalten. Ähnlich funktioniere das Quote Stuffing. Damit solle an einzelnen Handelsplätzen gezielt der Großrechner um einige Millisekunden verlangsamt werden, um anderswo dasselbe Finanzinstrument zum aktuellen Kurs zu handeln. Möglich sei zudem

17 17 Focus on Security eine gezielte Irreführung, wenn etwa durch massenhafte Scheinaufträge eine nicht vorhandene Liquidität vorgetäuscht werden soll (Spoofing). Werden diese kurz hintereinander mit auf- oder absteigenden Limits gestaffelt, um den Kurs in eine bestimmte Richtung zu bewegen, heiße die Methode Layering. Solle ein bereits vorhandener Markttrend suggeriert werden, sprechen die Kapitalmarktstrafrechtler von Momentum Ignotion. Das sei in der Regel sogar strafbar und nicht bloß eine Ordnungswidrigkeit. Opferbefragung Am 8. Dezember 2014 hat das BKA auf den Deutschen Viktimisierungssurvey 2012 hingewiesen, den es gemeinsam mit dem Max Planck-Institut für ausländisches und internationales Strafrecht durchgeführt hat. Rund Personen seien zu ihren Erfahrungen als Opfer von Kriminalität, zu ihrem Sicherheitsempfinden und ihren kriminalitätsbezogenen Einstellungen befragt worden. Die Studie kommt unter anderem zu folgenden Ergebnissen: Abhängig vom jeweiligen Delikt halten es drei bis fünf Prozent der Befragten für wahrscheinlich, in naher Zukunft Opfer beispielsweise einer Körperverletzung, eines Einbruchs oder Raubes zu werden. Das Sicherheitsgefühl variiert nach Personengruppen und Wohnlage. Opferbefragungen haben einen starken Einfluss auf die Risikobewertung. Einbruchsopfer etwa bewerten das Risiko eines nochmaligen Einbruchs in ihrer Wohnung sieben Mal höher als Personen, die bisher nicht von einem Einbruch betroffen waren. Bewohner in Städten mit bis Einwohnern sind am stärksten von allgemeiner Kriminalitätsfurcht betroffen. Die Anzeigebereitschaft variiert je nach Delikt. Beim Kfz-Diebstahl sind es 99 Prozent, beim Wohnungseinbruch 88 Prozent der vollendeten und 58 Prozent der versuchten Taten, beim Waren- und Dienstleistungsbetrug hingegen nur neun Prozent. 87 Prozent der Befragten haben ein hohes Vertrauen in die Polizei und deren Arbeit bei der Verbrechensbekämpfung. Download der Studie unter Produktpiraterie Computerwoche.de gibt am 17. Januar Tipps gegen Produktpiraterie. Was eine Maschine oder Anlage kann, werde nicht mehr allein von Aufbau, Form und Material bestimmt, sondern mehr und mehr von der eingesetzten Embedded-Software. Damit wandere das wertvolle Know-how des Maschinenproduzenten gewissermaßen von der Hardware in die Software. Industrie 4.0 biete Chancen und berge Risiken, denn der Schutz aus der Office-IT passe nicht automatisch für die Schutzbedürfnisse in der Produktion. Die neueste Umfrage des VDMA zur Thema Produktpiraterie, vorgestellt im April 2014, habe ergeben, dass neun von zehn Herstellern mit mehr als 500 Mitarbeitern betroffen sind und dabei über die Hälfte vom Nachbau ganzer Maschinen. Der Gesamtschaden durch Produktpiraterie betrage mehr als sieben Mrd. Euro im Jahr. Im VDMA gebe es eine AG Produkt- und Knowhow-Schutz, Protecting, die unterschiedliche Schutzmechanismen aufzeigt und auch einen Leitfaden zu dem Thema erstellt hat. Hier eine Auswahl verschiedener Maßnahmen: Rechtliche Maßnahmen Sensibilisierung der Mitarbeiter

18 Focus on Security Schutz vor Sabotage Verschlüsselung digitaler Dokumente Verschlüsselung digitaler Produktionsdaten Schutz vor Manipulation. Hersteller könnten den Schutz so aufbauen, dass ein System nur startet, wenn es als vertrauenswürdig gilt. Technisch funktioniert dies über eine elektronische Signatur. Gesamte Produktionskette absichern Chinas Regierung wirft dem Alibaba-Konzern Verkauf gefälschter Produkte vor, schreibt die FAZ am 29. Januar. Mit ungewöhnlich scharfen Worten werfe die chinesische Handelsaufsicht SAIC dem Konzern vor, illegale Geschäfte auf seinen Plattformen zuzulassen. Die Mängelliste: zahlreiche über Alibaba erhältliche Produkte verletzten Markenrechte, verstießen gegen Normen, würden illegal importiert, seien verboten oder gefährdeten die öffentliche Sicherheit. Händler könnten ohne Handelslizenz operieren und gefälschte Handtaschen und Weine verkaufen, ohne dass die Betreiber einschritten. Die Zeichen zwischen der chinesischen Regierung und Alibaba stünden auf Machtkampf. Risikomanagement TECHCHANNEL.de veröffentlicht am 21. Januar eine Checkliste von Empfehlungen für ein intelligenzbasiertes Risikomanagement. Sie zeige auf, worauf Unternehmen bei Planung, Einführung und Umsetzung eines Access Risk Management-Systems achten sollten: Nutzen Sie die Möglichkeit der intelligenten Risikoanalyse Think big, start small: Führen Sie Risikomanagement in einem Stufenmodell ein Machen Sie es Ihren Kollegen einfach, verlässliche Aussagen zu treffen Verzetteln Sie sich nicht in quantitativen Risikoeinschätzungen Identifizieren Sie Hochrisikonutzer Verwenden Sie Berechtigungspfadanalysen Nutzen Sie Ad-hoc-Analysen Sicherheitsgewerbe Die Bundesregierung soll nach dem Willen der Grünen-Fraktion einen gesetzlichen Rahmen für die Tätigkeit privater Sicherheitsfirmen schaffen, berichtet die Wochenzeitung Das Parlament am 22. Dezember Dabei solle sie unter anderem eine Registrierungspflicht für solche Firmen einführen und ein Zulassungsverfahren entwickeln, dass die Aufnahme von unternehmerischer Tätigkeit im Sicherheitsbereich an klare Voraussetzungen bindet, wie aus einem Antrag der Fraktion (18/3555) hervorgehe. Danach solle sich die Regierung zudem für einheitliche Regulierungs- und Zertifizierungsregelungen auf EU-Ebene einsetzen, die Normen für Gründungen von Sicherheitsdienstleistern sowie eine Dokumentierung der Qualifikation der Mitarbeiter beinhalten. Zur Begründung schreiben die Abgeordneten unter anderem, dass die Privatisierung im Bereich der inneren und äußeren Sicherheit seit Jahren voranschreite. Werde dieser Bereich nicht kontrolliert, könne das Gewaltmonopol des Staates erodieren.

19 19 Focus on Security Spionage Gegen deutsche und japanische Hersteller von Geräten zur Behandlung von Dialysepatienten ermittle auf Betreiben eines chinesischen Unternehmens (Chongquing Shanwaishan Science & Technology Co. Ltd.) das chinesische Handelsministerium ein Verfahren wegen Preisdumpings, berichtet die FAZ am 15. Dezember Während des Verfahrens seien der CEO des chinesischen Unternehmens und zwei andere Geschäftsleute nach Deutschland gereist, um Beweise zu sammeln. Bei der Firma B. Braun in Melsungen habe sich das Trio Zutritt zum Betriebsgelände verschafft und Bilder gefertigt: Hochregallager seien auf den Fotos zu sehen, Produktionsanlagen, noch anderes mehr. Dabei handele es sich um Maschinen, die in einem abgesperrten Teil des Betriebsgeländes produziert werden, zu dem nur ausgewählte Mitarbeiter des Unternehmens Zutritt hätten. Der Werkschutz sei auf die Eindringlinge aufmerksam geworden. Die Polizei habe die drei Chinesen festgenommen. Gegen eine Kaution von jeweils Euro hätten sie Deutschland nach Befragung durch ein Gericht verlassen dürfen. Inzwischen sei die Anzeige in China zurückgenommen worden. Den Beteiligten sei vermutlich die Nacht-und- Nebel-Aktion wohl doch zu peinlich geworden. Die Antidumping-Untersuchungen liefen aber weiter. Stadionsicherheit Der Bundesgerichtshof hat am 22. Januar in einer Entscheidung organisierte Hooligangruppen als kriminelle Vereinigungen im Sinne des Strafgesetzbuches bewertet. Die Richter bestätigten ein Urteil des LG Dresden, das fünf Hooligans wegen der Mitgliedschaft in einer kriminellen Vereinigung verurteilt hatte. Die Gruppe hatte sich unter anderem rund um Fußballspiele von Dynamo Dresden mit anderen Hooligans zu Prügeleien verabredet. Die Kämpfe hätten mit dem Einverständnis aller Beteiligten und nach den einschlägigen Regeln der Szene stattgefunden. Nach der Entscheidung des BGH ist eine Einwilligung gar nicht möglich, weil die Beteiligten gleichzeitig den Tatbestand der Teilnahme an einer Schlägerei erfüllen. Steuerfahndung 2.0 Mit Risikokontrolle durch Steueraufsicht befasst sich die FAZ am 14. Januar. Statt personell aufzustocken, werde verstärkt auf Risikomanagementsysteme, digitale Helfer und zentralisierte Steuer-Sondereinheiten gesetzt. Risikomanagementsysteme decken besondere Prüffelder auf und verwalten sie. Im Anschluss lasse man Recherche-Software durch das Internet krabbeln (Web-Crawler). Die vom Bundeszentralamt für Steuern genutzte Software Xpider sei ein Beispiel hierfür. Sie sammele Daten, analysiere und bewerte alles. Blinkt die Alarmlampe, werde der Fall der zuständigen Finanzbehörde übergeben. Website-Watcher heiße ein weiteres Überwachungstool. Das Programm informiere den Fiskus über Aktualisierungen und Änderungen von Webseiten. Sondereinheiten in den Ländern setzten sich in der Regel aus Steuerfahndern, Betriebs- und Umsatzsteuerprüfern sowie IT-Fachleuten zusammen. Diese griffen zum Beispiel über das Internet

20 Focus on Security vermittelte Warenverkäufe, Vermietungen von Ferienwohnungen oder taxiähnliche Personenbeförderungen auf. Die Erfahrung zeige: Hier werden oftmals Umsätze verschwiegen. Die neue EU-Zinsrichtlinie sehe einen automatischen Datenaustausch ab 2017 vor. Das multilaterale Abkommen reiche jedoch inhaltlich weiter. Die Steuerfahndung sei also heute vorwiegend im Untergrund eines Steuerverfahrens tätig. Sondereinheiten, Risikomanagementsysteme und softwarebasierte Recherchemöglichkeiten erweiterten das Erkenntnisspektrum. Terrorismus Das BKA befasst sich in einem Gefährdungshinweis vom 7. Januar mit dem Anschlag auf die Redaktion der Zeitschrift Charlie Hebdo in Paris. Zwei vermummte Täter waren in die Redaktionsräume eingedrungen und hatten zwölf Personen getötet. Bei der Tat riefen die Täter Allah ist groß und Wir haben den Propheten gerächt. Für einen Anschlag gegen französische Interessen komme eine Vielzahl von Begründungszusammenhängen in Betracht. So stelle das Land aufgrund seiner Kolonialgeschichte und der Präsenz staatlicher und wirtschaftlicher Vertretungen in Nordafrika ein Hauptziel für operative und propagandistische Aktivitäten verschiedener jihadistischer Gruppierungen dar. Die Zeitschrift Charlie Hebdo sei in zweifacher Hinsicht als Ziel für islamistische Täter geeignet, da hier sowohl die Eigenschaft französische Einrichtung als auch Veröffentlichung von Islamkritik vorliege. Unmittelbare Auswirkungen auf die Gefährdungslage in Deutschland seien derzeit nicht erkennbar. Die Folgen der Anschläge in Paris für die deutsche Wirtschaft behandelt die Wirtschaftswoche am 19. Januar. Die Bedrohung von Unternehmen durch Extremisten habe eine neue Qualität erreicht. In einer Umfrage der Münchner Allianz-Versicherung bei 500 Risikomanagern rangierten erstmals politische Gefahren unter den Top Ten der Risiken, mit denen sich Firmen im In- und Ausland konfrontiert sehen. Fluglinien und Frachtunternehmen müssten Unsummen für Sicherheitskontrollen ausgeben, fast neun Milliarden Dollar 2014 weltweit. Bei der Deutschen Bahn summierten sich die Ausgaben für die Sicherheitsmaßnahmen an den Bahnhöfen auf jährlich 160 Mio. Euro. Die Bahn wolle weitere 60 Mio. in Überwachungskameras investieren. In mehreren Sicherheitszentren der Bahn werteten Mitarbeiter und Beamte der Bundespolizei gemeinsam Livebilder von Videokameras an 640 Bahnhöfen in Deutschland aus rund um die Uhr. Insgesamt beobachte die Bahn damit die Umgebung von 80 Prozent aller Reisenden. Auch im Handel steige die Nervosität. Wie es sich mit der ständigen Bedrohung arbeitet, wüssten vor allem die Manager und Mitarbeiter in der Logistik. Kaum eine Branche sei durch Extremisten leichter zu verwunden. Die Luftfracht hielten Experten trotz aller Kontrollen weiterhin für besonders gefährdet, auch weil mittlerweile über 50 Prozent der Sendungen im Bauch von Passagiermaschinen transportiert werden. Trotzdem würden diese meist nur stichprobenartig kontrolliert. Knifflig werde es, wenn die kunterbunt vollgepackten, igluförmigen Großbehälter für Flugzeuge als Ganzes umgeschlagen werden. Dann brauche es riesige Röntgenanlagen. Zudem sind bei einem Container umfangreiche Vorabinformationen über den Inhalt erforderlich, um eine Entscheidung zu treffen, mit welchem Verfahren der Inhalt überprüft werden könne, sage Harald Zielinski, Sicherheitschef bei Lufthansa Cargo. Auf einen dreistelligen Millionenbetrag summierten sich die Ausgaben für Sicherheit bei Lufthansa Cargo. Seit dem Anschlag am 11. September

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum?

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Dirk Häger, Fachbereichsleiter Operative Netzabwehr Bundesamt für Sicherheit in der Informationstechnik Jahrestagung CODE,

Mehr

Rechtliche Anforderungen an die IT-Sicherheit

Rechtliche Anforderungen an die IT-Sicherheit Rechtliche Anforderungen an die IT-Sicherheit Tag der IT-Sicherheit 05.02.2015 NELL-BREUNING-ALLEE 6 D-66115 SAARBRÜCKEN TELEFON: +49(0)681 /9 26 75-0 TELFAX: +49(0)681 /9 26 75-80 WWW.JURE.DE Überblick

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 23. Oktober 2012, S-IHK Hagen Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

[IT-RESULTING IM FOKUS]

[IT-RESULTING IM FOKUS] [IT-RESULTING IM FOKUS] Hans-Peter Fries Business Security Manager Datenschutzauditor Industrie 4.0 und IT-Sicherheit Ein Widerspruch in sich? GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655

Mehr

Neuer Erpressungs-Trojaner verschlüsselt mit RSA-2048

Neuer Erpressungs-Trojaner verschlüsselt mit RSA-2048 IT-Service Ruhm Neuer Erpressungs-Trojaner verschlüsselt mit RSA-2048 Es häufen sich Berichte über infizierte Windows-Systeme, auf denen ein Schadprogramm Dateien verschlüsselt und nur gegen Zahlung eines

Mehr

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Petra Flessa Product Marketing Manager DACH it-sa 2013 10/4/2013 Copyright 2013 Trend Micro

Mehr

1 Ratgeber und Praxis

1 Ratgeber und Praxis 1 Ratgeber und Praxis Nicht nur große, sondern zunehmend auch mittlere und kleine Unternehmen sind Zielscheibe von Cyberkriminellen. Dieses Kapitel gibt IT-Verantwortlichen und Administratoren einen praxisrelevanten

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q1/2015

G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q1/2015 G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q1/2015 INHALTE Auf einen Blick 03-03 Prognosen und Trends 03-03 Aktuelle Lage: Täglich 4.900 neue Android-Schaddateien 04-04 Die Hälfte der Android-Malware

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Status quo Know-how Kontext Industrial IT-Security beim VDMA

Status quo Know-how Kontext Industrial IT-Security beim VDMA Status quo Know-how how-schutz im Kontext Industrial IT-Security beim VDMA Augsburg, 2014-02-19 Peter Mnich VICCON GmbH Ottostr. 1 76275 Ettlingen VICCON GmbH Büro Potsdam David-Gilly-Str. 1 14469 Potsdam

Mehr

SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 16.04.2015 Nummer: NL-T15/0008

SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 16.04.2015 Nummer: NL-T15/0008 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 16.04.2015 Nummer: NL-T15/0008 Die Themen dieses Newsletters: 1. Apps: Hoher Anteil an Gray- und Schadsoftware 2. D-Link:

Mehr

Vodafone Cloud. Einfach A1. A1.net/cloud

Vodafone Cloud. Einfach A1. A1.net/cloud Einfach A1. A1.net/cloud Ihr sicherer Online-Speicher für Ihre wichtigsten Daten auf Handy und PC Die Vodafone Cloud ist Ihr sicherer Online-Speicher für Ihre Bilder, Videos, Musik und andere Daten. Der

Mehr

Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015

Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015 Risiken und Schutz im Cyber-Raum Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015 Stahlwerk in Deutschland durch APT-Angriff beschädigt

Mehr

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum Thomas Haeberlen Gelsenkirchen, 11.Juni 2015 Agenda» Kernaussagen» Zahlen und Fakten zu Angriffen im Cyber-Raum» Cyber-Angriffsformen» Snowden-Enthüllungen»

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

News: Aktuelles aus Politik, Wirtschaft und Recht

News: Aktuelles aus Politik, Wirtschaft und Recht News: Aktuelles aus Politik, Wirtschaft und Recht Januar/2013 Internet-Sicherheitsexperten führten auf drei Testpersonen einen gezielten Angriff durch. Das beunruhigende Fazit des Tests im Auftrag von

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

MOBILE MALWARE REPORT

MOBILE MALWARE REPORT TRUST IN MOBILE MALWARE REPORT GEFAHRENBERICHT: H2/2014 INHALTE Auf einen Blick 03-03 Prognosen und Trends 04-04 Aktuelle Lage: Täglich 4.500 neue Android-Schaddateien 05-05 Drittanbieter App-Stores 06-07

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

THEMA: CLOUD SPEICHER

THEMA: CLOUD SPEICHER NEWSLETTER 03 / 2013 THEMA: CLOUD SPEICHER Thomas Gradinger TGSB IT Schulung & Beratung Hirzbacher Weg 3 D-35410 Hungen FON: +49 (0)6402 / 504508 FAX: +49 (0)6402 / 504509 E-MAIL: info@tgsb.de INTERNET:

Mehr

Smartphone-Diebstähle in Europa:

Smartphone-Diebstähle in Europa: Smartphone-Diebstähle in Europa: Was wirklich passiert, wenn das Telefon gestohlen wird Es lässt sich nicht leugnen: Seit es Smartphones gibt, ist deren Diebstahl ein ernstes Thema. Das Problem wird von

Mehr

Einführung in das deutsche und europäische Computer- und Internetstrafrecht

Einführung in das deutsche und europäische Computer- und Internetstrafrecht Einführung in das deutsche und europäische Computer- und Internetstrafrecht Dr. Alexander Koch Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie Gang des Vortrags

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

Neueste IDG-Studie: Cyber Defense Maturity Report 2014

Neueste IDG-Studie: Cyber Defense Maturity Report 2014 Medienkontakt: Susanne Sothmann / Erna Kornelis Kafka Kommunikation 089 74 74 70 580 ssothmann@kafka-kommunikation.de ekornelis@kafka-kommunikation.de Neueste IDG-Studie: Cyber Defense Maturity Report

Mehr

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Bankkunden von heute können die meisten ihrer Finanztransaktionen online durchführen. Laut einer weltweiten Umfrage unter Internetnutzern,

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH Sichere Kommunikation Angriffe auf Smartphones & Laptops Volker Schnapp Fink Secure Communication GmbH Agenda Entwicklungen in der Kommunikation Trends Gefahren und Angriffe Gegenmaßnahmen Internetuser

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Berlin, 30. Januar 2014 Seite 1 Guten Morgen, meine sehr geehrten Damen und Herren! Wenn wir unsere Mitglieder nach den wichtigsten IT-Trends fragen,

Mehr

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren patrick.hof@redteam-pentesting.de http://www.redteam-pentesting.de netzwerk recherche 01./02.

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Die Cybersicherheitslage in Deutschland

Die Cybersicherheitslage in Deutschland Die Cybersicherheitslage in Deutschland Andreas Könen, Vizepräsident BSI IT-Sicherheitstag NRW / 04.12.2013, Köln Cyber-Sicherheitslage Deutschland Ist massives Ziel für Cyber-Crime Wird breit cyber-ausspioniert

Mehr

IT-Kriminalität in Deutschland

IT-Kriminalität in Deutschland IT-Kriminalität in Deutschland Prof. Dieter Kempf BITKOM-Präsident Vorsitzender Deutschland sicher im Netz e. V. Pressekonferenz 30. Juni 2011 Datenspionage: Angst und Gefahr nehmen zu Wodurch fühlen Sie

Mehr

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 IT HEUTE UND MORGEN Die Welt im Netz Das Netz wird wichtiger als der Knoten Prozesse statt Computer Cloud, Cloud,

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity BEISPIELE WELTWEIT ERFOLGREICHER CYBER- ANGRIFFE JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

KAV/KIS 2014 Global Messaging- Leitfaden

KAV/KIS 2014 Global Messaging- Leitfaden KAV/KIS 2014 Global Messaging- Leitfaden Headlines Kaspersky Internet Security 2014 Kaspersky Anti-Virus 2014 Premium-Schutz für den PC Essenzieller PC-Schutz Produktbeschreibung 15/25/50 Kaspersky Internet

Mehr

Sicherheitsgefühl österreichischer

Sicherheitsgefühl österreichischer Sicherheitsgefühl österreichischer Unternehmen Projektleiter: Studien-Nr.: ppa. Dr. David Pfarrhofer F.9.P.T Diese Studie wurde im Auftrag der Wirtschaftskammer Österreich durchgeführt. Dokumentation der

Mehr

LANCOM Systems. Standortvernetzung NEU

LANCOM Systems. Standortvernetzung NEU LANCOM Systems Hochsichere Standortvernetzung NEU Hochsichere Standortvernetzung [...] Geheimdienste werten in ungeahntem Ausmaß deutsche Mails, Telefongespräche und Kurznachrichten aus. Unternehmen befürchten

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Cyber Defence vor dem Hintegrund der NSA-Affäre

Cyber Defence vor dem Hintegrund der NSA-Affäre Cyber Defence vor dem Hintegrund der NSA-Affäre Prof. Dr. Gabi Dreo Rodosek Sprecherin des Forschungszentrums CODE gabi.dreo@unibw.de 2014 Gabi Dreo Rodosek 1 Die Wachsende Bedrohung 2014 Gabi Dreo Rodosek

Mehr

Aufgepasst: Cybercrime! Computer- und Internetsicherheit

Aufgepasst: Cybercrime! Computer- und Internetsicherheit Aufgepasst: Cybercrime! Computer- und Internetsicherheit Cybercrime die unterschätzte Gefahr für die Unternehmen?! Zentrale Ansprechstelle Cybercrime für die niedersächsische Wirtschaft (ZAC) KHK Michael

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Denken wie ein Hacker

Denken wie ein Hacker Denken wie ein Hacker Phasen eines Hackerangriffs Juerg Fischer Juerg.fischer@sunworks.ch Consultant & Trainer Certified EC-Council Instructor Microsoft Certified Trainer www.digicomp.c 2 1 Ihre Daten

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN DISCLAIMER / HAFTUNGSAUSSCHLUSS Haftung für Inhalte Die auf Seiten dargestellten Beiträge dienen nur der allgemeinen Information und nicht der Beratung in konkreten Fällen. Wir sind bemüht, für die Richtigkeit

Mehr

In die Cloud aber sicher!

In die Cloud aber sicher! In die Cloud aber sicher! Basisschutz leicht gemacht Tipps und Hinweise zu Cloud Computing 1 In die Cloud aber sicher! Eine Cloud ist ein Online-Dienst. Mit dem Dienst speichern Sie Daten im Internet,

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

ID Forum IT-Sicherheitsvorfälle an der Universität Bern. Pascal Mainini Informatikdienste Universität Bern Securitygruppe

ID Forum IT-Sicherheitsvorfälle an der Universität Bern. Pascal Mainini Informatikdienste Universität Bern Securitygruppe ID Forum IT-Sicherheitsvorfälle an der Universität Bern Pascal Mainini Informatikdienste Universität Bern Securitygruppe Agenda Sicherheitsvorfälle?!?!? - Übersicht - Wer? Was? Wieso? - Wie? Wann? - und

Mehr

Cybercrime Bedrohung ohne Grenzen

Cybercrime Bedrohung ohne Grenzen Cybercrime Bedrohung ohne Grenzen Polizeiliche Ermittlungen im globalen Kontext Manfred Riegler Wien, am 20.05.2015 BUNDESKRIMINALAMT, 1090 WIEN, JOSEF HOLAUBEK PLATZ 1 BUNDESKRIMINALAMT, 1090 WIEN, JOSEF

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Mobile Security. Live-Hacking. Thomas Haase Laurenz Hommel

Mobile Security. Live-Hacking. Thomas Haase Laurenz Hommel Mobile Security Live-Hacking Thomas Haase Laurenz Hommel EINFÜHRUNG Verbreitung #1 Smartphone-Benutzer: [1] Weltweit: 1,76 Mrd. Deutschland: 40,4 Mio. Große Nutzerbasis und Potentiale zur Ausnutzung von

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen)

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen) Datenschutzerklärung der Etacs GmbH Die Etacs GmbH wird den Anforderungen des Bundesdatenschutzgesetzes (BDSG) gerecht.personenbezogene Daten, d.h Angaben, mittels derer eine natürliche Person unmittelbar

Mehr

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Aktuelle Angriffsmuster was hilft?

Aktuelle Angriffsmuster was hilft? Aktuelle Angriffsmuster was hilft? Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik Managementforum Postmarkt, Frankfurt

Mehr

Was sieht das Gesetz vor?

Was sieht das Gesetz vor? Die Bundesregierung plant ein IT Sicherheitsgesetz. Dieses liegt aktuell als Referenten- entwurf des Innenministeriums vor und wird zwischen den einzelnen Ministerien abgestimmt. Im Internet wird viel

Mehr

Sind Sie (sich) sicher?

Sind Sie (sich) sicher? Sind Sie (sich) sicher? Unabhängiger Unternehmensberater für IKT Allgemein beeideter und gerichtlich zertifizierter Sachverständiger Fachgruppenobmann UBIT WK Steiermark Lektor FH Campus02 Leistungen Als

Mehr

Tipps zur Verbesserung der Sicherheit im Online-Banking

Tipps zur Verbesserung der Sicherheit im Online-Banking Tipps zur Verbesserung der Sicherheit im Online-Banking Seite 1 von 7 Vorwort Die Fiducia IT AG stellt Ihren Kunden einen Überblick mit Tipps zur Verbesserung der Sicherheit im Online-Banking zur Verfügung.

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Polizeipräsidium Mittelfranken Security by Design Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Referent: Matthias Wörner (MW IT-Businesspartner) gepr. IT Sachverständiger Matthias

Mehr

Leiden Sie auch unter Digitaler Schizophrenie?

Leiden Sie auch unter Digitaler Schizophrenie? Aufgepasst: Cybercrime! Computer- und Internetsicherheit Cybercrime die unterschätzte tzte Gefahr für f r die Unternehmen?! Zentrale Ansprechstelle Cybercrime für die niedersächsische Wirtschaft (ZAC)

Mehr

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Claudiu Bugariu Industrie- und Handelskammer Nürnberg für 17. April 2015 Aktuelle Lage Digitale Angriffe auf jedes

Mehr

Cloud Security Status Quo. Stand 28.11.2013 Hans-Peter Samberger. IT-Lösungen nach Maß

Cloud Security Status Quo. Stand 28.11.2013 Hans-Peter Samberger. IT-Lösungen nach Maß Stand 28.11.2013 Hans-Peter Samberger Die Cloud - Sind Sie schon drin? Sind Sie schon drin? Ihre Daten auf jeden Fall. Android Smartphones -> Google Mail/Docs Apple Smartphones -> icloud, itunes Account

Mehr

IT Security / Mobile Security

IT Security / Mobile Security lcs ] Security computersyteme Lösungen für Unternehmen IT Security / Mobile Security Im Zuge der globalisierten Vernetzung und der steigenden Zahl mobiler Nutzer wird der Schutz der eigenen IT-Infrastruktur,

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden -

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - Sparkasse Rosenheim-Bad Aibing Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen,

Mehr

IT-Sicherheit in Kreditinstituten

IT-Sicherheit in Kreditinstituten S Gibt es absolute Sicherheit beim Umgang mit meinen Kundendaten? IT-Sicherheit in Kreditinstituten - ein Praxisbericht der - Ist das überhaupt Thema? Seite 2 Datenklau beim Geldabheben: Trotz Milliardeninvestitionen

Mehr

Know-how-Schutz und Einsatz mobiler Endgeräte

Know-how-Schutz und Einsatz mobiler Endgeräte Wolfgang Straßer @-yet GmbH Know-how-Schutz und Einsatz mobiler Endgeräte @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche @-yet GmbH, Schloß Eicherhof, D-42799

Mehr

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie Sichere E-Mail ist von Ende zu Ende verschlüsselt Sichere E-Mail-Kommunikation bedeutet, dass die Nachricht nur vom

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Informationssicherung und

Informationssicherung und Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Nachrichtendienst des Bundes NDB MELANI Informationssicherung und Cybercrime das Internet und die Schweiz Lage, Probleme und

Mehr

IT-SICHERHEIT UND MOBILE SECURITY

IT-SICHERHEIT UND MOBILE SECURITY IT-SICHERHEIT UND MOBILE SECURITY Grundlagen und Erfahrungen Dr.-Ing. Rainer Ulrich, Gruppenleiter IT SECURITY Schäubles Handy bei Einbruch gestohlen Bei Wolfgang Schäuble ist eingebrochen worden. Die

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

RISIKEN BEIM ONLINE- UND MOBILE-BANKING

RISIKEN BEIM ONLINE- UND MOBILE-BANKING RISIKEN BEIM ONLINE- UND MOBILE-BANKING ONLINE-ZAHLUNGEN SIND SEHR BELIEBT, ABER NICHT SICHER 98% der Befragten nutzen regelmäßig Online-Banking und -Shopping oder elektronische Zahlungssysteme der Benutzer

Mehr

DDoS-ANGRIFFE FÜR JEDERMANN

DDoS-ANGRIFFE FÜR JEDERMANN DDoS-ANGRIFFE FÜR JEDERMANN SO LEICHT IST ES IM INTERNET DDoS-ATTACKEN ZU BUCHEN KONTAKT LINK11 GmbH Hanauer Landstraße 291a 60314 Frankfurt am Main Deutschland Telefon: +49 (0) 69-264929777 E-Mail: info@link11.de

Mehr

Cyber-Sicherheit von Industrial Control Systems

Cyber-Sicherheit von Industrial Control Systems Cyber-Sicherheit von Industrial Control Systems Holger Junker Bundesamt für Sicherheit in der Informationstechnik Industrial IT Forum 2012-04-25 Agenda Das BSI Cyber-Sicherheit im ICS-Kontext Sicherheitsmaßnahmen

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr