Kategorie-Archiv: Awareness

BSI-Veröffentlichung: ICS-Security – Top 10 Bedrohungen und Gegenmaßnahmen

Automatisierungs-, Prozesssteuerungs- und -leitsysteme werden in nahezu allen Infrastrukturen eingesetzt, die physische Prozesse abwickeln – von der Stromerzeugung und -verteilung über Gas- und Wasserversorgung bis hin zur Produktion, Verkehrsleittechnik und modernem Gebäudemanagement und sind ein attraktives Ziel für Cyber-Kriminelle. Im Rahmen seiner Analysen und Industriekooperationen zur Cyber-Sicherheit hat das BSI die aktuellen Bedrohungen mit der höchsten Kritikalität zusammengestellt. Dieses Dokument finden Sier unter: www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf;jsessionid=F88AD9374B1784EECEA4EFDC86800B75.1_cid360?__blob=publicationFile&v=4

Quelle: www.bsi.bund.de

Malware: Manipulierte Apps im Umlauf

In den jeweiligen App Stores von Google und Apple gibt es für fast jede Anwendung eine passende App im Angebot. Alle Apps werden automatisiert auf Sicherheit geprüft, doch auch hier können sich betrügerische Apps einschleusen. Im Google Play Store wurde beispielsweise in der App „colourblock“ der Handy-Trojaner Dvmap entdeckt wie Heise Security berichtet hat. Der Trojaner infiziert das System, indem er die Root-Rechte für das Handy, die eigentlich nur für den Hersteller zugänglich sein sollten, übernimmt. Damit haben die Angreifer dann Narrenfreiheit und können das komplette System überschreiben. Der Nutzer verliert so die Kontrolle über seine Daten und Apps sowie das Betriebssystem. Zwar scheint sich Malware sich noch in Entwicklung zu befinden, da noch nicht bekannt ist, welches Ziel die Internet-Kriminellen mit ihr verfolgen, aber der Schädling ist schon jetzt als gefährlich einzustufen. In Apples App Store lockte, einem weiteren Bericht von Heise Security zufolge, eine manipulierte App namens „Mobile protection: Clean & Security VPN“ mit einem kostenlosen Angebot für einen Virusscan. Beim Start der App wurden dann hundert Dollar für ein Abo von nur sieben Tagen verlangt, gut getarnt durch eine Reihe von Pop-Ups mit weiteren Gratis-Angeboten.

„BSI für Bürger“ empfiehlt allen Smartphone-Usern: Informieren Sie sich vor der Installation einer App so gut wie möglich über diese! Eine kurze Suche im Internet oder das Lesen einiger Bewertungen reicht meistens aus, um einen ersten Eindruck zu gewinnen, ob es sich um das Angebot eines seriösen Anbieters handelt. Auf was Sie außerdem achten sollten, haben wir Ihnen unter „Schutz Ihres Smartphones“ zusammengefasst: www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/EinrichtungMobileGeraete/EinrichtungMobileGeraete_node.html

Zu den Artikeln von Heise Security: Android-Trojaner Dvmap kompromittiert Systeme wie kein anderer: www.heise.de/-3739451.html

„Anti-Malware“-Lösung für iOS: Nepp mit teuren In-App-Verkäufen im App Store: www.heise.de/-3741770.html

Quelle: www.bsi.bund.de

Hoax: Warnung vor unechten Freundschaftsanfragen auf WhatsApp

„Hoax“ steht im Englischen für „schlechter Scherz“. Im Internet hat sich der Begriff als Bezeichnung für Falschmeldungen eingebürgert. Diese Falschmeldungen sollen oft Panik auslösen und den Lesenden zu einer bestimmten Reaktion verleiten: www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Hoax/hoax_node.html

Laut Spam-Info kursieren derzeit Nachrichten per WhatsApp, in denen vor Kontaktanfragen von „Anouk Theiler“ gewarnt werden. Ähnliche Nachrichten gab es bereits mit anderen Namen, wie „Ute Lehr“, „Tobias Mathis“ und „Domenik Beutling“. Angeblich verbreitet sich anhand dieser falschen Anfragen auch Schadsoftware. Dies ist – zum Glück – nicht der Fall, allerdings enthalten die gefälschten Nachrichten oft einen Link, hinter dem sich Schadsoftware verbirgt.

Seien Sie skeptisch bei alarmierenden Nachrichten, die zu einem unüberlegten Klick auf einen Link verleiten sollen. Kontaktanfragen von Unbekannten über Messenger und soziale Netzwerke sollten Sie natürlich genauso kritisch behandeln. Informieren Sie sich auch über unsere weiteren „Tipps zum sicheren Umgang mit sozialen Netzwerken“ auf der Webseite „BSI für Bürger“: www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Schutzmassnahmen/Zehn_Tipps/Zehn_Tipps_node.html

Zum Artikel von Spam-Info: Freundschaftsanfrage von Anouk Theiler: www.spam-info.de/9318/freundschaftsanfrage-von-anouk-theiler/

Quelle: www.bsi.bund.de

Vorsicht-Phishing: Anrufe und Textnachrichten vom “Apple Support”!?

Bewährte Phishing-Methoden werden verstärkt gegen iCloud-Nutzer eingesetzt, darunter Anrufe von Personen, die sich als Apple-Support-Mitarbeiter ausgeben. Besonders nach Verlust oder Diebstahl des iPhones sollten Nutzer misstrauisch sein.

iCloud-Nutzer sollten angeblich vom Apple Support stammende Nachrichten derzeit besonders argwöhnisch handhaben: Phisher setzen offenbar verstärkt auf eine direkte Kontaktaufnahme per Telefon und Textnachricht, um Zugangsdaten zu erschleichen, wie Leser berichten. Dem Angerufenen wird dabei vorgegaukelt, sein iCloud-Account sei kompromittiert – um diesen wieder abzusichern, brauche er “den Technikern” nur seine Zugangsdaten mitzuteilen.

Weitere Informationen finden Sie unter: https://www.heise.de/newsticker/meldung/iCloud-Phishing-Anrufe-und-Textnachrichten-vom-Apple-Support-3721191.html

Quelle: www.heise.de

WannaCry: BSI ruft Betroffene auf, Infektionen zu melden

Das BSI reagiert mit einem Appell an das Sicherheitsbewusstsein und tadelt indirekt Nutzer veralteter Windows-Betriebssysteme.

Zahlreichen, teils jahrelangen Empfehlungen und Warnungen zum Trotz, sind veraltete Windows-Betriebssysteme nicht nur weiterhin in Umlauf, sondern auch noch direkt oder indirekt mit dem Internet verbunden. Nun präsentieren ausgerechnet Erpresser die Quittung für die Versäumnisse: Der WannaCry-Trojaner greift Rechner über Phishing-Mails und über längst bekannte Sicherheitslücken des veralteten SMBv1-Protokolls an, verschlüsselt Benutzerdateien auf den infizierten Rechnern und fordert Lösegeld in Bitcoin-Währung (aktuell entspricht das 300 US-Dollar).

Weckruf für Unternehmen

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) appeliert daher an Nutzer: „Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.“

Der BSI ruft zudem betroffene Institutionen auf, Vorfälle zu melden, „um einen möglichst vollständigen Überblick über die Lage zu bekommen“. Weitere Informationen und Handlungsempfehlungen zum Schutz vor Ransomware hat das BSI in einem Dossier zusammengefasst.

Quelle: www.heise.de

Warnung vor Verschlüsselungstrojaner „WannaCry“!

Das Ransomware-Schadprogramm WannaCry hat sich im Verlauf des Wochenendes weltweit verbreitet. Die Infizierung startete am Freitagabend mit Fällen in Russland und Großbritannien und hat sich mittlerweile weltweit ausgebreitet. Laut Europol sind mindestens 200.000 Computersysteme in 150 Ländern betroffen. „WannaCry“ verschlüsselt befallene Computer und fordert von den Betroffenen eine Lösegeld in Höhe von 300 US-Dollar.Infografik: WannaCry befällt hundertausende Rechner | Statista Mehr Statistiken finden Sie bei Statista

Cyber-Attacke auf Deutsch Bahn: Nürnberger Hauptbahhof betroffen

Nach der WannaCry Ransomware-Attacke auf die Deutsche Bahn (DB) waren die Anzeigetafeln am Nürnberger Hauptbahnhof auch am Sonntag noch gestört.  Eine Beeinträchtigung des Zugverkehrs soll es laut der Deutschen Bahn nicht gegeben haben.

Quelle: www.nordbayern.de

Weltweite Cyber-Attacke trifft auch Deutsche Bahn

Meist werden Verbraucher von Erpressungstrojanern erwischt, die Computer verschlüsseln und Lösegeld verlangen. Am Freitag traf es aber auch die Bahn, Krankenhäuser in Großbritannien und Russlands Innenministerium. Ein Forscher stoppte die globale Attacke.

Quelle: www.nordbayern.de

Was wir bisher über die Ransomware-Attacke wissen

Zwei Angriffsvektoren
Nach bisherigen Erkenntnissen nutzt WannaCry zwei Angriffsvektoren: Einmal verbreitet er sich – wie bei Kryptotrojanern üblich – per E-Mail. So sagte ein DB-Sprecher der dpa, der Angriff auf die Bahn sei durch E-Mails ausgelöst worden. Doch wenn der Schädling ein Sytem infiziert hat, versucht er auch, wie ein Wurm andere Rechner im gleichen Netz zu kompromittieren. Dafür nutzt WannaCry offenbar eine Lücke in Windows Dateifreigaben (SMB). Diese Lücke war bekannt geworden, nachdem eine Hackergruppe namens Shadow Brokers einige Exploits der NSA-nahen Equation Group veröffentlicht hatte. Der Exploit, der die von WannaCry genutzte Lücke ausnutzt, ist unter dem Namen EternalBlue bekannt.

Microsoft hatte die verantwortliche Sicherheitslücke bereits im März durch Sicherheits-Updates geschlossen. Diese Patches liefert der Hersteller jedoch nur für die aktiv unterstützten Windows-Versionen. Ältere Windows-Versionen blieben also weiter ungeschützt – dazu gehören insbesondere Windows XP und Windows Server 2003. Updates für diese hat das Unternehmen am Samstag kurz nach Ausbruch der WannaCry-Epidemie nachgereicht. Manche Anwender schalten allerdings die automatische Installation von Sicherheits-Updates ab, was dazu führt, dass derartige Lücken offen bleiben.

Quelle: www.heise.de

Globaler Hackerangriff ist noch nicht vorbei

Das Schadprogramm verschlüsselt die Daten auf den betroffenen Computern. Gegen die Zahlung von 300 US-Dollar bis zum 15. Mai oder 600 Dollar bis zum 19. Mai wurde den Opfern der Code für die Entschlüsselung angeboten — anderenfalls drohe die Datenlöschung, behaupten die Angreifer. Medienberichten zufolge haben bislang 126 Opfer diesen Preis bezahlt. WannaCry breitete sich zunächst in Russland aus, infizierte aber bereits wenig später Computer des National Health Service (NHS) in Großbritannien. Die Nachricht von der Cyberattacke verbreitete sich am Freitag, als zahlreiche Patienten von chaotischen Zuständen berichteten. Selbst Krebspatienten wurden nach Hause geschickt oder in andere Kliniken umgeleitet, da ihre Daten nach dem Angriff nicht mehr aufrufbar waren.

Erst einen Tag später schien die Situation weitestgehend unter Kontrolle, als ein Sicherheitsforscher unabsichtlich einen Killswitch, also eine Abschalte-Funktion, im Code der Ransomware entdeckte. Experten gehen allerdings davon aus, dass bereits neue Versionen von WannaCry im Umlauf sind, die eine solche Funktion nicht mehr bestitzen.

Quelle: www.wired.de

Tipps zur Vorbeugung

  1. Datensicherung! Datensicherung! Datensicherung!
  2. Robuste Antivirensoftware verwenden
  3. Alle Software auf Ihrem Computer auf dem Laufenden halten
  4. Niemals Anhänge in E-Mails von Unbekannten öffnen
  5. Die Option ‚Dateierweiterungen anzeigen‘ in den Windows-Einstellungen auf dem Computer aktivieren. Damit wird es viel einfacher, potenziell schädliche Dateien zu erkennen.
  6. Das Gerä sofort vom Internet und anderen Netzwerk-Verbindungen (WLAN) trennen wenn ein betrügerisches Programm oder einen unbekannten Prozess auf dem Computer entdeck wird – das wird die Ausbreitung der Infektion verhindern.

Quelle: www.nomoreransom.org

Politiker fordern besseren Schutz gegen Hacker

Nach der globalen Cyberattacke plädieren Union und SPD für Gesetzesverschärfungen. Computerhersteller sollen gezwungen werden, für mehr Sicherheit zu sorgen.

Quelle: www.faz.net

Deutschland laut BSI-Chef „mit blauem Auge davongekommen“

Deutschland hat den weltweiten Cyber-Angriff des Krypto-Trojaners WannaCry mit einem blauen Auge überstanden. Das erklärte zumindest Arne Schönbohm, der Chef des Bundesamts für Sicherheit in der Informationstechnik in einem Interview mit dem RBB-Inforadio. Noch würden aber immer neue Infektionen registriert, das aktuelle Szenario gleiche also einer Flutwelle mit weiter steigenden Pegelständen.

Schönbohm kritisierte, dass IT-Sicherheit in Unternehmen noch allzuoft keine Priorität genieße. Das liegt seiner Meinung nach daran, dass ein ein Großteil der IT-Verantwortlichen nicht die Entscheider in Unternehmen sind. Wenn es um die Sicherheit ihrer IT gehe, sagten die stattdessen „Das macht der Elektro-Erich um die Ecke“. Dieses Prinzip werde aber nicht funktionieren.

Quelle: www.heise.de

BSI: Android – Tipps zur sicheren Konfiguration

Auf vielen mobilen Endgeräten ist das Betriebssystem Android im Einsatz. Mit gezielten Konfigurationsänderungen kann die Sicherheit signifikant erhöht werden.

Die Allianz für Cyber-Sicherheit und die BSI-Initiative für die Wirtschaft veröffentlichen regelmäßig Beiträge zu aktuellen Cyber-Sicherheitsthemen. Best-Practice-Beispiele, Tipps und Hinweise unterstützen bei der Umsetzung von Sicherheitsmaßnahmen in der eigenen Institution. Die Autoren der Fachtexte sind Experten aus Unternehmen oder dem BSI.

Das Dokument finden Sie unter: www.allianz-fuer-cybersicherheit.de

 

Der Mittelstand braucht neue Mobile Security-Konzepte

Kleine und mittlere Unternehmen müssen ihre mobilen Endgeräte besser schützen, um der Datenschutz-Grundverordnung (DSGVO / GDPR) zu entsprechen.

Mobile Sicherheitsvorfälle führen in jedem vierten Unternehmen zu Schäden in sechsstelliger Höhe, so die Marktforscher von IDC bei der Vorstellung der Studie „Mobile Security in Deutschland 2017“. 65 Prozent der befragten Unternehmen berichten von Angriffen auf mobile Endgeräte, ein Anstieg um acht Prozentpunkte gegenüber 2015. Um den mobilen Bedrohungen besser zu begegnen, halten 38 Prozent der Unternehmen das Verbot von Zugriffen auf nicht autorisierte WLAN-HotSpots für entscheidend, 34 Prozent wollen ihre Sicherheitsrichtlinien überarbeiten, 28 Prozent denken an die Einführung einer EMM (Enterprise Mobility Management) & Security-Lösung.

Betrachtet man speziell die kleinen und mittleren Unternehmen (KMU) in Deutschland, verschärft sich die Lage sogar noch: Laut IDC denken 52 Prozent der IT-Verantwortlichen, dass von Anwendern eine größere Gefahr als von Cyber-Kriminellen ausgeht. Doch gerade in KMU herrscht großes Vertrauen in die Sicherheit der mobilen Endgeräte. Europaweit gaben laut einer HID Global-Umfrage 75 Prozent der KMU-Mitarbeiter an, keine Sicherheitsbedenken zu haben, wenn sie Smartphones oder Tablets nutzen. Betrachtet man die steigende Zahl der mobilen Sicherheitsvorfälle, lassen sich viele KMUs von einer Scheinsicherheit täuschen.

Mobility- Konzepte werden für KMU wichtiger, doch die Kontrolle fehlt

Trotz der Sicherheitsrisiken steigt die Hälfte der KMU auf mobile Arbeitsmodelle um: 30 Prozent investieren in Technologie, um die Unterstützung ihrer mobilen Arbeitskräfte zu optimieren. Weitere 20 Prozent planen Investitionen mit ähnlicher Zielrichtung, wie eine Aruba-Studie zeigte. Damit nicht genug: Wie die Ovum-Studie „The European Mobility Management Gap“ ergab, setzen nur 50 Prozent der Unternehmen in Europa Lösungen für MDM (Mobile Device Management) bzw. EMM (Enterprise Mobility Management) ein. Die andere Hälfte verzichtet insbesondere aus Datenschutz- und Kostengründen darauf.

Das ist besorgniserregend, gerade für KMU: Zum einen spielen die Kostenargumente bei den KMU eine noch größere Rolle, die MDM-/EMM-Verbreitung ist dort deshalb noch wesentlich geringer. Zum anderen erfordert der Datenschutz geradezu eine Kontrolle der mobilen Endgeräte, Apps und Daten. Ein Verzicht auf solche Lösungen ist ein echtes Problem. Keine Frage: Es besteht Handlungsbedarf im mobilen Datenschutz, gerade bei KMU.

Datenschutz-Grundverordnung erfordert mehr Durchblick und Kontrolle bei Mobility

Bereits heute bestehen große Schwierigkeiten für KMU, den mobilen Datenschutz umzusetzen. Mit der Datenschutz-Grundverordnung (DSGVO / GDPR), die ab Mai 2018 ohne Verzögerung anzuwenden ist, werden die Aufgaben im mobilen Datenschutz noch größer. Viele KMU in Deutschland müssen deshalb umgehend an ihren Konzepten für Mobile Security arbeiten und die notwendigen Lösungen umsetzen, um die DSGVO fristgerecht einzuhalten. Was insbesondere zu tun ist, zeigen diese Beispiele für verschärfte Anforderungen an den Datenschutz und die Probleme, die bei mobilen Endgeräten bestehen:

  • Lokalisierbarkeit der Daten: Die notwendigen Sicherheitsmaßnahmen und die Rechte der Betroffenen zum Beispiel auf Auskunft zu den über sie gespeicherten Daten lassen sich nur umsetzen, wenn die Unternehmen einen genauen Überblick über ihre Datenbestände haben und über die Zugriffe auf die Daten. Bei den Daten, die auf mobilen Endgeräten gespeichert sind oder die mit mobilen Endgeräten verarbeitet werden, ist diese Transparenz kaum zu erzielen, wenn man kein umfassendes Device und Data Management betreibt.
  • Recht auf Datenübertragbarkeit: Ohne die zuvor genannte Transparenz zu den Daten können auch die Rechte der Betroffenen auf die Übertragung ihrer Daten an ein anderes Unternehmen kaum sinnvoll umgesetzt werden.
  • Recht auf Vergessenwerden / Löschpflichten: Ohne die Transparenz zu den Daten auf mobilen Endgeräten lassen sich auch die Löschpflichten, die der Datenschutz vorsieht, nicht zuverlässig umsetzen.
  • Meldepflichten bei Datenschutz-Verletzungen: Gerade mobile Endgeräte gehen häufig verloren oder werden gestohlen. Sind die Daten auf den Smartphones und Tablets der KMU unzureichend geschützt und besteht keine Übersicht über die Daten und Geräte, können die Fristen für die Meldung einer Datenschutz-Verletzung nicht eingehalten werden. Schon heute werden Datenpannen viel zu spät entdeckt, die neue 72-Stunden-Frist zur Meldung verschärft diese Lage noch.
  • Dokumentation der Sicherheitsmaßnahmen und Stand der Technik: Die Maßnahmen für die Sicherheit der Verarbeitung müssen auch bei mobilen Endgeräten sichergestellt und dokumentiert werden. Dabei müssen die Maßnahmen dem Stand der Technik entsprechen. Das ist ein deutliches Problem, denn zum einen ist der Sicherheitsstatus ohne entsprechende Management-Tools nur sehr schwierig regelmäßig zu überprüfen und zu dokumentieren. Zum anderen stellt sich die Frage, ob die entsprechenden Management-Tools nicht als Sicherheit nach dem Stand der Technik gewertet werden müssen, sprich, ob man heute noch auf ein Mobile Management verzichten kann, ohne die Forderung nach dem Stand der Technik zu missachten.
  • Belastbarkeit der IT: Auch die mobile IT muss die Forderung nach Belastbarkeit erfüllen, wie sie die DSGVO für die Sicherheit der Verarbeitung (Artikel 32) aufstellt. Wenn der Sicherheitsstatus der mobilen Geräte aber nicht ohne weiteres überwacht werden kann, stellt sich die Frage, wie die Belastbarkeit gewährleistet werden soll.
  • Privacy by Design und by Default: Mobile Apps, Betriebssysteme und Geräte müssen datenschutzfreundlich entwickelt sein, ebenso müssen die Voreinstellungen datenschutzfreundlich sein. Die entsprechende Datenschutzkontrolle der Einstellungen und Funktionen kann bei der Vielzahl der Geräte und Apps aber kaum per Hand durchgeführt werden. Auch hier fehlen die Mobile Management-Tools bei vielen KMU.
KMU brauchen Mobile Management für Daten, Apps, Geräte und Risiken

Die Datenschutz-Grundverordnung ist ein wichtiges Beispiel für die Bedeutung verbesserter Mobile Security-Konzepte. An der DSGVO zeigt sich, dass KMU mehr Möglichkeiten brauchen, um für Übersicht und Kontrolle bei mobilen Daten, Apps, Geräten und auch Risiken sorgen zu können.

Wenn entsprechende Lösungen aus dem Bereich MDM oder EMM zu kostspielig sind, sollte die Option entsprechender Mobile Management-Lösungen aus der Cloud geprüft werden. Es versteht sich, dass dabei der Cloud-Datenschutz zu beachten ist, da bei der Verwaltung der mobilen Geräte, Apps und Daten in aller Regel Nutzerdaten mit Personenbezug anfallen können.

Quelle: www.zdnet.de

Datenschutzbeauftragter warnt vor WhatsApp & Co. an Schulen

Soziale Netzwerke wie WhatsApp & Co. sind für Schüler wie Lehrer einTeil des Alltags geworden. Doch was ist mit dem Umgang damit im Schulunterricht? Rheinland-Pfalz gibt Lehrern Hilfsmittel zur Hand.

Mal schnell mit dem Handy eine Nachricht schicken oder ein Foto posten – in der Freizeit gehört das dazu. An Schulen in Rheinland-Pfalz ist das Smartphone aber mitunter tabu. Manche Schulen haben in ihrer Schulordnung geregelt, ob Handys erlaubt sind, manche in einer Handyordnung. Das Bildungsministerium stellt ein Muster dafür zur Verfügung. Darin heißt es: „Handys sind während der gesamten Unterrichtszeit der Schülerinnen und Schüler ausgeschaltet. Eine Stummschaltung reicht nicht aus.“ Die Ordnung sieht Ausnahmen vor, wenn das Handy im Schulunterricht eingesetzt wird. Und wenn ein Schüler in der Schulzeit krank wird und seine Eltern anrufen will.

„Facebook hat WhatsApp nicht aus Menschenfreundlichkeit gekauft“

Der Datenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann, weist darauf hin, dass WhatsApp zu schulischen Zwecken tabu ist. „Es wird teilweise trotzdem genutzt, weil es einfach ist“, sagt Kugelmann. Manch ein Lehrer sage, in einer WhatsApp-Gruppe könne er am einfachsten Hausaufgaben verteilen. Kugelmann sieht ein Risiko: „WhatsApp gehört zu Facebook. Facebook hat WhatsApp nicht aus Menschenfreundlichkeit gekauft“, sagt er. Nach einem Beschluss des Verwaltungsgerichts Hamburg darf Facebook weiter keine Daten deutscher Nutzer von WhatsApp nutzen. Facebook hat allerdings ankündigt, dagegen in Berufung zu gehen.

Der Datenschutzbeauftragte bekommt nach eigenen Angaben zahlreiche Anrufe zum Umgang mit sozialen Netzwerken an Schulen. „Es gibt ganz viele Anfragen“, sagt Kugelmann. Darunter seien Eltern, die berichteten, dass ihr Kind von einem Lehrer gesagt bekomme, sie sollten WhatsApp herunterladen. Aber Kugelmann sagt auch: „Es gibt zusehends Lehrer, die sensibler werden.“ Damit Schulen die notwendigen Infos haben, hat Kugelmann gemeinsam mit Bildungsministerin Stefanie Hubig (SPD) einen neuen Praxis-Leitfaden zum Datenschutz in Schulen herausgegeben.

Leitfaden zum Datenschutz in Schulen

Darin geht es zum Beispiel um die Frage, ob Lehrer ihre Schüler bei Facebook, Google Plus und anderswo kontaktieren können. „Soziale Netzwerke dürfen grundsätzlich nicht für unterrichtliche Zwecke und in anderen schulischen Zusammenhängen eingesetzt werden“, heißt es im Leitfaden. Das Land stellt eine eigene Lernplattform zur Kommunikation bereit. Auch verschlüsselte Messengerprogramme wie zum Beispiel Telegram und Threema werden empfohlen. Ein Wegweiser für den Einsatz digitaler Medien ist das Handbuch „Schule. Medien. Recht“, das es seit 2010 gibt und das immer wieder aktualisiert wird.

„Digitale Medien gehören heute ganz selbstverständlich zur Lebenswelt von Kindern und Jugendlichen, aber auch von Lehrerinnen und Lehrern“, sagt Bildungsministerin Hubig. „Gerade in Zeiten von Fake News und Cybermobbing muss Schule einen Beitrag dazu leisten, dass unsere Schülerinnen und Schüler digitale Medien kompetent nutzen und Inhalte kritisch einordnen können.“ Sie verweist auf das Landesprogramm „Medienkompetenz macht Schule“, das bald zehn Jahre alt wird. Schüler und Lehrer werden dabei im Umgang mit digitalen Medien geschult. Die Schulräte wiesen Schulleitungen zudem regelmäßig auf die Empfehlungen zur Nutzung sozialer Netzwerke hin, sagt die Sprecherin der Aufsichts- und Dienstleistungsdirektion ADD, Miriam Lange.

Quelle: www.heise.de

Industrie 4.0: Angriffsszenarien auf Industrieroboter und Möglichkeiten, sich gegen diese zu schützen

Sicherheitsrisiko Industrieroboter – die Forschungsabteilung von Trend Micro, Anbieter von mehrschichtigen IT-Sicherheitslösungen, testet mögliche Angriffsszenarien auf industrielle Robotersysteme und erläutert die wichtigsten Schwachstellen.

Bis 2018 wird es weltweit schätzungsweise 1,3 Mio. industrielle Robotersysteme geben, die eine breite Palette von Aufgaben in den verschiedensten Industrien übernehmen – vom Schweißen in der Automobilindustrie über das Verpacken in der Lebensmittelherstellung bis hin zum Druckguss in der Metallindustrie. Im Zeitalter von Industrie 4.0 sind die Robotersysteme in automatisierten Produktionsanlagen zunehmend miteinander vernetzt.

Doch sobald die Roboter bzw. das System, in dem sie arbeiten, mit dem Internet verbunden sind, können sie zum Einfallstor für Cyber-Angriffe werden. Der neue Bericht von Trend Micro untersucht die Relevanz von Sicherheit bei modernen Industrierobotern. Die Ergebnisse zeigen, dass roboterspezifische Angriffe durchaus im Bereich des Möglichen sind und eine ernstzunehmende Gefahr für die Smart Factory darstellen.

Die Angriffsfläche wird größer

Durch die Vernetzung und externe Zugriffsmöglichkeiten wird auch die Angriffsfläche der Industrieroboter immer größer: Web Services ermöglichen den externen Zugriff auf den Roboter-Controller und es gibt bereits Apps, mit denen die Mitarbeiter die Roboter in der Fabrik über ihr Smartphone steuern können. Manche Industrieroboter können sogar direkt über das öffentliche Internet erreicht werden, um Monitoring und Fernwartung durchzuführen.

ABB-Roboter als Beispiel

An einem konkreten Fall demonstrieren die Sicherheitsforscher von Trend Micro, wie ein Angriff auf einen typischen Industrieroboter, in diesem Fall der ABB IRB140, erfolgreich durchgeführt werden kann.

Die Sicherheitslücken reichen von technischen Dokumenten, die auf öffentlich zugänglichen Websites verfügbar sind, über Zertifikate, die über alle Produktinstanzen wiederverwendet werden, ungepatchte und veraltete Softwarekomponenten und fehlerhafte Credentials bis hin zu ungenügenden Authentifizierungspraktiken, schlechter Transportverschlüsselung, unsicheren Web Interfaces und leicht zugänglichen Firmware-Bausteinen. Video: https://youtu.be/BxHYtFlKruY

Gemeinsam stark sein

Es bedarf einer ganzheitlichen Anstrengung von Roboter- und Software-Entwicklern, Betreibern und Sicherheitsexperten, um die sensiblen Robotersysteme zu schützen. Trend Micro möchte mit diesem Report dabei helfen, einen Prozess anzustoßen, um für die Zukunft eine sichere Industrie 4.0 zu schaffen.

Den Report finden Sie unter folgendem Link zum Download: https://documents.trendmicro.com/assets/wp/wp-industrial-robot-security.pdf

Weitere Infos zum Thema finden Sie unter: www.trendmicro.com/vinfo/us/security/news/internet-of-things/rogue-robots-testing-industrial-robot-security

Quelle: www.digitalbusiness-cloud.de