Schlagwort-Archiv: Informationssicherheit

PGP und S/Mime: Forscher hebeln E-Mail-Verschlüsselung aus

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) haben schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber informiert. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender folgende Punkte umsetzen:

  • Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.
  • E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert sein.
  • Auf www.bsi-fuer-buerger.de und www.allianz-fuer-cybersicherheit.de finden Privatanwender und Unternehmen ausführliche Informationen, wie sie E-Mailverschlüsselung weiterhin sicher nutzen können.

Quelle: www.bsi.bund.de

Weitere Informationen zur Efail-Schwachstelle finden Sie unter:  www.heise.de/security/meldung/PGP-E-Mail-Verschluesselung-akut-angreifbar-4048489.html

 

 

 

SiToM: Online-Tool zur Bewertung des IT-Sicherheitsniveaus

Das Sicherheitstool-Mittelstand ist ein effektives Werkzeug, um den Status der IT-Sicherheit in Ihrem Unternehmen zu erfassen, zu bewerten und durch die Umsetzung vorgeschlagener Maßnahmen zu verbessern.

Die ständig zunehmende Digitalisierung von Abläufen bzw. Prozessen im Unternehmensalltag stellt insbesondere die kleinen und mittleren Unternehmen sowie Handwerksbetriebe vor eine große Herausforderung. Der Einsatz von entsprechenden IKT-Anwendungen ist hier oft Segen und Fluch zugleich. Zum einen können die digitalisierten Abläufe ein entscheidender Wettbewerbsvorteil sein. Zum anderen begeben sich die Unternehmen auch in eine gewisse Abhängigkeit funktionierender Systeme sowie einer stabilen IT-Infrastruktur. Genau hier setzt das Sicherheitstool Mittelstand (SiToM) an. Das Online-Angebot erlaubt mit einem geringen zeitlichen Aufwand die Ermittlung des vorhandenen IT-Sicherheitsniveaus und das Erkennen von Risiken sowie Schwachstellen, was so die Basis zur Verbesserung von IT-Sicherheit und Datenschutz schafft.Das Sicherheitstool Mittelstand wurde im Rahmen der Förderinitiative „Mittelstand 4.0-Digitale Produktions- und Arbeitsprozesse“ für den Mittelstand und das Handwerk in Anlehnung an die Empfehlungen zum IT-Grund-schutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erarbeitet. Das Tool ist branchen-übergreifend auf die speziellen Anforderungen kleiner und mittlerer Unternehmen ausgerichtet und deckt auch die aktuellen Themen der IT-Sicherheit in Produktionsprozessen ab.

Das Tool erlaubt die Ermittlung des aktuellen IT-Sicherheits- und Datenschutzzustands gegliedert nach Themenkomplexen, wobei ein Assistent die Bearbeitung der einzelnen Abschnitte unterstützt. Es erfolgt eine Echtzeitauswertung durch eine grafische Darstellung im Spinnennetz-Diagramm und der Bearbeitungszustand kann zu jedem Zeitpunkt in einer separaten Datei gespeichert und zu einem späteren Zeitpunkt fortgesetzt werden. Die Ergebnisse können zusammen mit einer Liste möglicher Maßnahmen in Form einer Checkliste zur Verbesserung des Sicherheitsniveaus ausgegeben werden.

Weitere Informationen zum Sicherheitstool Mittelstand finden Sie unter: www.sitom.de

BSI: Informationssicherheit in der Industrie 4.0

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die neue Ausgabe seines Magazins „Mit Sicherheit“ veröffentlicht. Schwerpunkt der aktuellen Ausgabe 2018/01, die zur Hannover Messe erscheint, ist die Informationssicherheit in der Industrie 4.0.

Cyber-Sicherheit im Kontext der Industrie 4.0 steht im Fokus der aktuellen Ausgabe des BSI-Magazins. Moderne Industrieanlagen sind heute hochgradig vernetzte Systeme. Bisher physikalisch voneinander getrennte Bereiche werden über das Internet miteinander vernetzt – und damit angreifbar. Cyber-Kriminelle können diese Angriffsflächen ausnutzen. Sabotage, Spionage und Erpressung können die Folgen sein. Welche Gefährdung geht von Angriffen auf industrielle Steuerungssysteme aus? Wie schaffen Unternehmen die Voraussetzungen, um sich adäquat zu schützen? Wie kann Security-by-design helfen, den wachsenden Herausforderungen zu begegnen? Darüber hinaus richtet sich der Blick auf Zukunftsprojekte wie Intelligente Verkehrssysteme, neuartige Technologien wie Blockchain und weitere aktuelle Themen aus der Arbeit des BSIs.

Weitere Informationen sowie das kostenlose BSI-Magazin fidnen Sie unter: www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/bsi_magazin_industrie_40.html

Quelle: www.bsi.bund.de

Deutsche Unternehmen horten Bitcoin als schnelles Lösegeld für Ransomware-Attacken

Die Hälfte aller deutschen Unternehmen horten Kryptowährungen, um im Falle eines Ransomware-Angriffes das Lösegeld möglichst schnell bezahlen und sich ihre Daten freikaufen zu können. Im Schnitt besitzen sie 27 Bitcoins – das sind fast 240.000 Euro – so das Ergebnis einer Studie von Citrix und OnePoll. 500 IT-Entscheider aus Firmen mit mindestens 250 Mitarbeitern wurden hierzu befragt. Das Problem, das entsteht: Das Bitcoin-Depot lockt neue Angreifer an. 51 Prozent der befragten Unternehmen hatten bereits Angriffe auf ihren Bestand zu verzeichnen. Ein Kryptowährung-Sicherheitsdepot für mögliches Lösegeld – Chance oder Gefahr?

Ross Brewer, Vice President und Managing Director EMEA des Security-Intelligence-Unternehmens LogRhythm, kommentiert die Studie folgendermaßen:

„Die Studie zeigt nur einmal mehr wie hoch der Bedarf an einer funktionierenden Sicherheitsstrategie ist, die weit über traditionelle Präventionstechnologien hinausgeht. Die Zahl der angreifbaren Ziele hat im letzten Jahr neue Rekorde aufgestellt, Ransomware-Angriffe machten regelmäßig Schlagzeilen. Das Horten von Kryptowährung und die Bereitschaft, Lösegeld ohne Zögern an die Angreifer abzutreten, ist die Folge und eine verzweifelte Reaktion hierauf. Es zeigt weiterhin, welch großes Misstrauen die Unternehmen gegen ihre eigenen Sicherheitsmaßnahmen hegen.

Dass ein sogenanntes ‚Sicherheitsdepot‘ an Bitcoins eben keineswegs sicher ist, sondern im Gegenteil nur noch mehr Angreifer anlockt, mussten 51 Prozent der Unternehmen bereits schmerzlich erfahren, indem sie Angriffe auf ihren Bestand zu verzeichnen hatten. Zwar zeigt eine ähnliche Studie, die vor einem halben Jahr durchgeführt wurde, dass die Anzahl der Bitcoin hortenden Unternehmen vermutlich aus genau diesem Grund von 62 Prozent auf 50 Prozent zurückgegangen ist, jedoch sind auch die aktuellen Zahlen keineswegs beruhigend und zeigen, dass sich in diesem Bereich nicht viel gebessert hat.

Ein Ransomware-Angriff kann für ein Unternehmen fatale Folgen haben – finanzieller und auch rufschädigender Art. Jedoch kann es nicht die Lösung sein, Kryptowährung zu kaufen und zu horten, um diese im Falle eines Angriffes in einer Verzweiflungstat an Cyberkriminelle abzutreten.

Stattdessen wäre das Geld besser in die richtigen Präventionsmaßnahmen investiert. Unternehmen müssen also überlegen, was zu tun ist, um die Sicherheit ihrer sensitiven Daten gewährleisten zu können. Es ist insbesondere wichtig, Aktivitäten im Firmennetzwerk lückenlos und in Echtzeit zu verfolgen und zu wissen was passiert, wann es passiert und warum es passiert – die Experten müssen den Überblick behalten. Falls außergewöhnliche Aktivitäten auftreten, müssen die sofort erkannt, untersucht und bekämpft werden – und das alles möglichst schnell.

Das Sicherheitskonzept einer Firma muss also von Anfang bis Ende durchdacht sein, denn Lücken sind eine willkommene Einladung für Angreifer und locken diese an. So wie auch ein Bitcoin-Sicherheitsbestand, der definitiv nicht Teil des Konzeptes sein sollte.

Die erste gute Nachricht: Wenn funktionierende Sicherheitstechnologien potenziellen Angreifern die Möglichkeit auf einen erfolgreichen Einbruch in das Firmennetzwerk erschweren, dann ist Lösegeld ohnehin nicht mehr notwendig. Die zweite gute Nachricht: Keine Hortung von Kryptowährung bedeutet noch weniger Angreifer, wenn man den Ergebnissen der Studie Glauben schenkt.

So sind dann zwei Fliegen mit einer Klappe geschlagen. Wichtig ist demnach nicht, sich bei Angriffen schnell freikaufen zu können, sondern diese gar nicht erst geschehen zu lassen. Lassen Sie sich nicht erpressen, sondern nutzen Sie die richtigen Technologien!“

Quelle: www.it-sicherheit.de

IT-Grundschutz auch für kleine und mittlere Unternehmen

Die Modernisierung des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist erfolgreich abgeschlossen. Nach der grundlegenden Überarbeitung der gesamten Methodik bietet der neue IT-Grundschutz Einsteigern und Fortgeschrittenen eine modulare und flexible Methode zur Erhöhung der Informationssicherheit in Behörden und Unternehmen.

Schlank, strukturiert und aktuell

Neben einer besseren Strukturierung und Verschlankung der Inhalte bietet der neue IT-Grundschutz die Möglichkeit, Themen künftig schneller aktualisieren und aufbereiten zu können. Damit trägt das BSI sowohl den rasanten Entwicklungszyklen in der Informationstechnik als auch Änderungen der Rechtslage Rechnung, beispielsweise durch das IT-Sicherheitsgesetz. Die Inhalte der Grundschutz-Bausteine bilden den aktuellen Stand der Technik ab. Das neue IT-Grundschutz-Kompendium enthält derzeit 80 modernisierte IT-Grundschutz-Bausteine, die übergeordneten Themen der Informationssicherheit in zehn Schichten zugeordnet sind.

Angebote speziell für kleine und mittelständische Unternehmen

Neu im Angebotsportfolio ist der „Leitfaden zur Basis-Absicherung“. Er basiert auf dem BSI-Standard 200-2 und beschreibt die Einstiegsvorgehensweise Basis-Absicherung zielgerichtet für KMU und kleinere Behörden.

Weitere Informationen zum IT-Grundschutz finden Sie unter: www.bsi.bund.de

ACS: 10 Tipps zur Cyber-Sicherheit für Unternehmen

Auch in kleinen und mittelgroßen Unternehmen schreitet die Digitalisierung rasant voran und eröffnet gerade diesen ganz neue Chancen. Doch unzureichend geschützte Systeme bieten Cyber-Kriminellen viele Möglichkeiten, sensible Daten auszuspähen und Geräte oder Prozesse zu sabotieren. Hinzu kommt, dass ein Unternehmen alle seine potenziellen Schwachpunkte absichern muss denn einem Angreifer genügt es, eine einzige ausfindig zu machen. Daher ist ein umfassendes Sicherheitskonzept so wichtig.

Mit den nachfolgenden 10 Tipps zeigen wir Ihnen, wo Sie ansetzen können, um einen umfassenden Schutz aufzubauen. Oder nutzen Sie sie als Checkliste, ob jedem dieser wichtigen Aspekte neben dem Tagesgeschäft auch immer noch die gebührende Aufmerksamkeit zuteil wird. Denn Cyber-Sicherheit greift nur, wenn man sie als Herausforderung versteht, der man sich gemeinsam und tagtäglich aufs Neue stellt und wenn sie fest in der Strategie, der Kultur und den Prozessen eines Unternehmens verankert ist.

So schützen Sie Ihr Unternehmen

Tipp 1: Cyber-Sicherheit ist Chefsache!
Tipp 2: Cyber-Resilienz erhöhen!
Tipp 3: Netzwerke schützen Netzwerke!
Tipp 4: Managen Sie Cyber-Risiken!
Tipp 5: Schützen Sie die „Kronjuwelen“!
Tipp 6: Sichern Sie Ihre Daten!
Tipp 7: Die Mitarbeiter mitnehmen und regelmäßig schulen!
Tipp 8: Patchen, patchen, patchen!
Tipp 9: Verschlüsselung sollte der Normalfall werden!
Tipp 10: Nutzen Sie die Angebote des BSI!

Detaillierte Informationen finden Sie unter: www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/10_Tipps/10_Tipps.html

Quelle: www.allianz-fuer-cybersicherheit.de

 

Allianz für Cyber-Sicherheit: Top 10 der Datenbank Sicherheitsanforderungen

Basierend auf umfangreichen Erfahrungen aus Teststellungen (Proof of Concept) und Implementierungen von Datenbanksicherheitslösungen hat McAfee eine Übersicht mit den zehn häufigsten Sicherheitsrisiken für Datenbanken zusammengestellt. Zu jedem Risikofaktor werden dabei technische und grundlegende organisatorische Maßnahmen zur Risikominimierung vorgestellt.

Weitere Informationen sowie die Übersicht finden Sie hier: www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/McAfee_Whitepaper.html

IT-Sicherheitstag Mittelfranken am 12. Dezember 2017

Die IHK Nürnberg für Mittelfranken veranstaltet am 12. Dezember 2017 den ersten IT-Sicherheitstag Mittelfranken.

Sie haben die Möglichkeit als Teilnehmer an Workshops, Fachforen und einer begleitenden Fachausstellung teilzunehmen. Außerdem stehen Ihnen die Experten zu verschiedenen Problemstellungen für Fragen zur Verfügung und Sie können sich mit anderen Teilnehmern austauschen und untereinander vernetzen.

Als Aussteller haben Sie die Möglichkeit den Teilnehmern an Ihrem Unternehmensstand Ihre Lösungen und Produkte zum Thema Informationssicherheit vorzustellen.

Die Themenschwerpunkte sind:

  • Informationssicherheit als Fundament für erfolgreiche Digitalisierung
  • Die aktuelle Lage der Informationssicherheit
  • (Rechts-)Sicherheit beim Cloud Computing
  • Industrial IT-Security (Industrie 4.0 / IoT)
  • Social Engineering (Faktor Mensch)
  • Privacy & Compliance (EU-DSGVO / ISMS)
  • Internetsicherheit – Sicher im World Wide Web
  • Prävention und vorbeugende Maßnahmen

Die Veranstaltung findet in der IHK-Akademie von 9:00 – 18:00 Uhr statt.

Weitere Informationen finden Sie unter: www.it-sicherheitstag-mittelfranken.de

Sicherheitsaspekte bei der Vernetzung von (Embedded) Systemen im IoT

Die Informationstechnologie entwickelt und verbreitet sich enorm schnell. Von Autos über Industrie-Anlagen bis hin zu Kühlschränken ist alles miteinander vernetzt und schickt oder empfängt Daten von mobilen Applikationen und Cloud-Services. Mit der Anzahl der vernetzten Systeme steigt allerdings auch die Zahl möglicher Hacker und Cyber-Krimineller.

Diese Entwicklung wird noch verstärkt durch die zunehmende Verwendung von IPv6. So soll lt. Marktforschungsunternehmen Gartner die Anzahl von vernetzten Geräten im Jahr 2020 auf über 26 Milliarden anwachsen, d.h. statistisch gesehen gut 3 Geräte pro Kopf der dann erwarteten Weltbevölkerung (7,76 Mrd. in 2020).
Die Sicherheit (Security) in den neu entstehenden Netzen scheint mit dieser Entwicklung allerdings nicht Schritt halten zu können. Immer öfter entdecken Experten, NGOs und Nutzergruppen Sicherheitslücken in vernetzten Systemen. So wurde z.B. Ende 2013 in einer Studie der Fa. Proofpoint aus den USA festgestellt, dass mehrere Hunderttausend infizierte Emails übers Internet verbreitet wurden, die nicht nur von normalen PCs und Computern stammten, sondern auch von Smart-TVs, vernetzten Kühlschränken und Kaffeeautomaten!

Ein Angriff auf eine intelligente Heizungssteuerung in einem Wohnblock beispielsweise erscheint auf den ersten Blick nicht sicherheitskritisch, dennoch sind einige hundert Bewohner bestimmt nicht sonderlich erfreut, wenn sie in Ihren Wohnungen frieren müssen oder kein Warmwasser haben. Angriffe auf andere Einrichtungen wie Strom- und Wasserversorgung oder Verkehrsleitsysteme beinhalten dagegen ein wesentlich höheres Schadenspotential. Man benötigt also neue und ganzheitliche Sicherheitsansätze, um das schnell wachsende IoT zu adressieren.

Weiter Informationen finden Sie hier: www.industry-of-things.de/sicherheitsaspekte-bei-der-vernetzung-von-embedded-systemen-im-iot-a-615418/?_scpsug=crawled_23937_c8a028b0-4d19-11e7-8073-90b11c40440d#_scpsug=crawled_23937_c8a028b0-4d19-11e7-8073-90b11c40440d

Quelle: www.industry-of-things.de

Herrmann verstärkt Cybercrime-Bekämpfung in Bayern

Bayerns Innenminister Joachim Herrmann hat den Kriminellen im Internet den Kampf angesagt. Dazu verstärkt Herrmann die Cybercrime-Bekämpfung bei der Bayerischen Polizei. Wie der Innenminister heute in Nürnberg bekannt gegeben hat, sollen noch heuer rund 70 spezielle Computer- und Internetkriminalisten neu eingestellt werden, auch ‚Cybercops‘ genannt. „Damit verdoppeln wir unsere extra zu Polizisten ausgebildeten EDV-Spezialisten, mit denen wir eine bundesweite Vorreiterrolle eingenommen haben“, erklärte Herrmann. Derzeit verfüge die Bayerische Polizei über 65 Computer- und Internetkriminalisten. Davon haben 20 im April 2017 ihre polizeifachliche Ausbildung beendet. Wie Herrmann erläuterte, bildet die Bayerische Polizei seit 2011 im Rahmen der neuen Polizeilaufbahn ‚Technischer Computer- und Internetkriminaldienst‘ externe Bewerber mit einem Studium im Bereich der Informatik in einer einjährigen Ausbildung zu Polizeivollzugsbeamten aus. „Wir kombinieren technisches ‚IT-Know-How‘ mit polizeilichen Fachkenntnissen“, so der Minister weiter. „Dadurch können wir Verbrechern im Netz noch besser das Handwerk legen.“

Neben den Computerkriminalisten gibt es laut Herrmann eine Reihe weiterer Spezialbeamter bei der Bayerischen Polizei, die sich um die Cybercrime-Bekämpfung kümmern: „Bayernweit haben wir bei unserer Polizei insgesamt mehr als 300 Spezialisten im Kampf gegen Kriminelle im Netz, die extra aus- und fortgebildet sind.“ Unter anderem gebe es bei allen Polizeiinspektionen spezielle Schwerpunktsachbearbeiter ‚Cybercrime‘. Dazu kämen noch zahlreiche weitere Polizisten, die sich auf den Dienststellen um einfach gelagerte Cyber-Delikte kümmern. Zum 1. März 2017 hat Herrmann außerdem in ganz Bayern bei den Kriminalpolizeiinspektionen neue Kommissariate ‚Cybercrime‘ einrichten lassen. „Darüber hinaus leistet unsere ‚Zentrale Ansprechstelle Cybercrime‘ beim Bayerischen Landeskriminalamt seit mehr als drei Jahren auch als Ansprechpartner für Sicherheitsbehörden aus dem In- und Ausland hervorragende Arbeit“, ergänzte der Minister.

Ein weiteres Kernelement der Strategie für mehr Cybersicherheit in Bayern ist nach Herrmanns Worten das ‚Cyber-Allianz-Zentrum‘, das der Freistaat 2013 beim Bayerischen Landesamt für Verfassungsschutz eingerichtet hat. Es dient Unternehmen, Hochschulen und Betreibern kritischer Infrastrukturen als zentraler, vertraulicher und kompetenter Ansprechpartner, wenn es um elektronische Angriffe mit Spionage- oder Sabotagehintergrund geht. „Natürlich bleiben die Unternehmen, die Hochschulen und die Betreiber kritischer Infrastrukturen für ihre IT-Sicherheit weiterhin selbst verantwortlich“, machte der Minister deutlich. „Mit unserem Cyber-Allianz-Zentrum haben wir aber ein konkretes Unterstützungsangebot.“

Herrmann appellierte auch an die Selbstverantwortung eines jeden einzelnen Internetnutzers: „Je sensibler wir mit unseren eigenen Daten umgehen, desto weniger Chancen haben Cyberkriminelle. Was Schlösser und Riegel an Türen und Fenstern, sind Firewall und Zugangskennung für den Computer.“ Gerade zu einfache oder immer die gleichen Passwörter können laut Herrmann oftmals das Einfallstor für Kriminelle sein. „Hier sind leider viele Menschen noch viel zu leichtsinnig“, betonte der Innenminister.

Mit Blick auf die Kriminalstatistik hat Herrmann keine Zweifel, dass die Internetkriminalität weiter auf dem Vormarsch ist. So sind die Fallzahlen der mit dem ‚Tatmittel Internet‘ begangenen Straftaten bayernweit in den letzten Jahren deutlich gestiegen (2015: 23.966 Fälle, +12,7 Prozent; 2016: 24.871 Fälle, +3,8 Prozent). Der 2016 in Bayern dadurch verursachte Schaden lag bei rund 17,5 Millionen Euro (2015: 16,1 Millionen Euro). Auch bundesweit gab es 2016 eine ähnliche Entwicklung mit deutschlandweit knapp 253.290 Fällen (+3,6 Prozent). „Das liegt vor allem an der vermeintlichen Anonymität im Netz sowie an den zahlreichen Tatgelegenheiten“, sagte dazu der Minister. „An nahezu jedem Ort der Erde können sich Cyber-Kriminelle auf die Lauer legen.“ Darüber hinaus rechnet Herrmann mit einer großen Dunkelziffer. Unter anderem werden Auslandstraftaten bislang in der bundesweiten Kriminalstatistik nicht erfasst. Herrmann: „Auf mein Drängen hin haben sich Bund und Länder inzwischen endlich verständigt, auch Auslandsstraftaten der Cyberkriminalität künftig in der Polizeilichen Kriminalstatistik zu erfassen.“

Quelle: www.stmi.bayern.de