Kategorien
Cybersecurity & IT-Sicherheit

Kritische Infrastrukturen: Wie Mitgliedstaaten Betreiber wesentlicher Dienste ermittelt haben

Die EU-Kommission hat einen Bericht veröffentlicht, in dem sie bewertet, wie die EU-Mitgliedstaaten öffentliche und private Organisationen identifiziert haben, die Cybersicherheitsmaßnahmen ergreifen und größere Cyberunfälle melden müssen. Diese Organisationen, die oft als “Betreiber wesentlicher Dienste” bezeichnet werden, sind in entscheidenden Bereichen der Wirtschaft und Gesellschaft tätig, wie Gesundheitsversorgung, Verkehr, Energie, Finanzinfrastruktur, Wasserversorgung und mehr, und müssen besonders widerstandsfähig gegen Cyberangriffe sein.

Der Bericht – den ich hier der Vollständigkeit halber aufgenommen habe – gibt somit einen (ersten) Überblick darüber, wie die Mitgliedstaaten die Betreiber wesentlicher Dienste ermittelt haben. Auf seiner Grundlage wird geprüft, ob die Methoden zur Identifizierung derartiger Betreiber in den Mitgliedstaaten einheitlich sind.

Kategorien
Cybersecurity & IT-Sicherheit Statistik

Cybersecurity: Lage der IT-Sicherheit 2019

Lage der Cybersecurity 2019: Gegen Ende des Jahres mehren sich üblicherweise die Berichte zum Thema Cybersicherheit (und Cybercrime), beginnend mit dem Bericht des BSI, der dieses Jahr am 17. Oktober vorgestellt wurde. Ich habe bewusst einige Wochen gewartet, um nun an dieser Stelle einen kurzen und weiterführenden Überblick zu geben.

Es lässt sich wenig überraschend festhalten, dass gerade mit zunehmender und beschleunigter Digitalisierung die IT-Sicherheit an Bedeutung gewinnt. Dabei mehrt sich jedenfalls bei mir der Eindruck, dass der Staat ebenso blindwütig wie mit erheblichen finanziellen Mitteln auf der einen Seite die Digitalisierung vorantreibt – auf der anderen Seite gleichwohl aber die Förderung der IT-Sicherheit im (praktischen) Alltag vernachlässigt. Die so entstehende Schere gefährdet Unternehmen genauso wi Behörden.

Kategorien
Cybercrime Glossar

Kommando Cyber- und Informationsraum

Das “Kommando Cyber- und Informationsraum ” – kurz Im KdoCIR – soll die Aufgaben Cyber, Informationstechnik, Strategische Aufklärung, Geoinformationswesen der Bundeswehr und Operative Kommunikation aus einer Hand truppendienstlich und fachlich führen. Aufgebaut wird es bis zum Jahr 2021. Bisherige dezentrale Strukturen und Kompetenzen wurden hier gebündelt. Das KdoCIR dient zudem in Fragen der Cybersicherheit als Schnittstelle „auf Augenhöhe“ für andere Ressorts des Bundes, für die Wirtschaft und für die internationalen Verbündeten. Der Bereich Cyber- und Informationsraum wurde der sechste militärische Organisationsbereich. So wurde die Bundeswehr der Bedeutung des Cyber- und Informationsraums als eigenständiger Dimension neben Land, Luft und See gerecht.
Kategorien
Behörden (Cybercrime & Cybersecurity) Cybercrime Glossar

Cyberagentur

In Deutschland wurde bereits im August 2018 die Gründung einer ressortübergreifenden “Cyberagentur” beschlossen. Auf dem Weg will die Regierung Forschungs- und Innovationsvorhaben im Bereich der Cybersicherheit anstoßen, fördern und finanzieren. Die Aufgabe der Agentur ist es laut den führenden Ministerien im Innern und der Verteidigung, “den gesamten Forschungsprozess von der Idee bis zum Produkt zu koordinieren. Es geht darum, deutliche Geschwindigkeitsvorteile gegenüber den bisherigen Beschaffungsverfahren zu erzielen”. Das Verteidigungsministerium führte hierzu aus:

Die Cyberagentur wird als Inhousegesellschaft, als GmbH gegründet. Sie ist eigenständig, um wissenschaftlich frei arbeiten zu können. Kurze Innovationszyklen, hohe Dynamik in der Technik-Entwicklung und wechselnde Cyber-Bedrohungen erfordern flexible Strukturen. Im Zeitraum von 2019 bis 2023 ist ein Budget von rund 200 Millionen „Startkapital“ vorgesehen. Ziel ist, dass 80 Prozent der Finanzmittel direkt in Forschungs- und Innovationsvorhaben fließen. Die Agentur wird mit allen Cyberstellen der Bundeswehr zusammenarbeiten: dem Kommando Cyber- und Informationsraum, dem Studiengang Cyber-Sicherheit an der Münchener Bundeswehruniversität und dem Cyber-Innovation Hub in Berlin. Originär orientiert sich die Agentur am Vorbild der DARPA, der Forschungsagentur des US-Verteidigungsministeriums.

Kategorien
Cybercrime allgemein

Bewerbungsmail mit Schadsoftware

Vorsicht beim Öffnen von Bewerbungen per Mail im Betrieb: Bereits im Jahr 2018 gab es diverse Warnungen vor Mails, die wie übliche Bewerbungs-Mails aussehen. Der Hintergrund ist der Versuch, Schadsoftware – vor allem Ransomware – bei dem Empfänger zu installieren.

Heute erhielt ich auf gleich mehreren Mailadressen eine gleichlautende Mail, mit der man sich für eine angebliche Stellenausschreibung bewirbt. Schon von den Mailadressen her passte es nicht, losgelöst davon, dass wir nichts ausgeschrieben haben in der Kanzlei

Angebliche Bewerbung per Mail
Kategorien
Cybersecurity & IT-Sicherheit

Was ist ein sicheres Passwort?

Aus meiner Sicht ist es sinnvoller, zu fragen, wie ein unsicheres Passwort aussieht, da ansonsten etwas utopisches avisiert wird: Absolute Sicherheit. Tatsächlich gibt es einige Faktoren, die unsichere Passwörter ausmachen bzw. Unsicherheitsfaktoren darstellen:

  • Passwortlänge: Je kürzer ein Passwort ist, umso unsicherer ist es schon alleine, weil Brute-Force-Angriffe umso leichter werden. Das BSI rät zu jedenfalls 8 Zeichen bei Internet-Passwörtern, während bei Geräten wie WLAN-Routern zu jedenfalls 20 Zeichen geraten wird.
  • Zeichen: Nutzen Sie jedenfalls Buchstaben sowohl gross- wie kleingeschrieben, wenigstens ein Sonderzeichen (Ausrufezeichen, Fragezeichen, Klammeraffe) und wenigstens eine Ziffer.
  • Keine allgemeinen Bezeichnungen: Verwenden Sie keine allgemeinen Begriffe die man in einem Duden findet, keine Zeichen- oder Zahlenketten die eingängig sind und auch keines der bekannten unsicheren Passwörter. Verwenden Sie all dies auch nicht “nur” als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Keine persönlichen Bezeichnungen: Vermeiden Sie persönliche Daten wie Geburtsdaten von Familienmitgliedern, Hochzeitsdatum, Vornamen, Nachnamen, Hausnummern, Postleitzahlen etc. Verwenden Sie all auch hier all dies nicht “nur” als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Passwort-Manager verwenden: Mit einer allgemeinen Empfehlung diesbezüglich tue ich mich schwer. Zentral in einem Passwortmanager alle Passwörter zu sichern ermöglicht hochkomplexe Passwörter, schafft aber eine zentrale Angriffsstelle. Hier kann man Kritik üben, man muss es aber nicht. Dabei sollte man auch wissen, dass die Stiftung Warentest im Jahr 2017 bei einem Test von Passwort-Managern ebenfalls teilweise Kritikpunkte gefunden hatte.
  • Kein unverschlüsseltes Speichern: Wenn Sie sich Passwörter notieren, tun Sie dies nicht unverschlüsselt. Also nicht am Schreibtisch unter der Auflage “versteckt”, nicht im Notizbuch, nicht in einer unverschlüsselten Text-Datei oder Cloud-Notiz.
  • Passwort regelmäßig ändern: Aus meiner Sicht vollkommen überholt ist der Ratschlag, das Passwort regelmäßig zwingend zu ändern. Berechtigt ist hier die Kritik dahin gehend, dass gerade der Zwang regelmässig ggfs. kurzfristig zu wechseln dazu führt, erst recht einfache Passwörter zu verwenden.

Dazu auch von mir: Vorsorge zur Vermeidung eines Hacker-Angriffs

Kategorien
Cybersecurity & IT-Sicherheit

Bitkom zum Thema Cybersicherheit 2018

Bei Bitkom finden sich einige Pressemeldungen zum Thema Cybersicherheit – und der Tatsache, dass gerade KMU dieses hochbrisante Thema (ebenso wie die Politik) verschlafen. So weist der Bitkom in einer Pressemitteilung auf die Häufigkeit von Angriffen hin:

Deutsche Industrieunternehmen sind beliebte Ziele für Sabotage, Datendiebstahl oder Wirtschaftsspionage. Vor allem die Chemie- und Pharmabranche trifft solche Attacken hart: Drei von vier Chemie- und Pharmaunternehmen (74 Prozent) wurden in den vergangenen zwei Jahren Opfer, weitere 22 Prozent waren vermutlich betroffen. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom (…) Aber auch der Maschinen- und Anlagenbau (67 Prozent) sowie die Hersteller von Kommunikations- und Elektrotechnik (63 Prozent) sahen sich in den Jahren 2016 und 2017 einer Vielzahl an Attacken ausgesetzt. (…) Insgesamt ist der Industrie durch Sabotage, Datendiebstahl oder Spionage in den vergangenen zwei Jahren ein Gesamtschaden von 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies zudem.

Bitkom Pressemitteilung vom 30.11.2018

Dabei wurde im Oktober 2018 die “Wirtschaftsschutzstudie 2018” vom Bitkom veröffentlicht, die frei zum Download steht. Zwar ist es für mich so, dass diese aus meiner Sicht einerseits Fortschritte zeigt, aber insgesamt doch nahe legt, dass gerade im breiten Bereich der KMU die Thematik untergeht. Während Großunternehmen sich zunehmend um die Problematik kümmern werden kleinere Unternehmen hier – so mein Eindruck – durchaus abgehängt.

Kategorien
Cybersecurity & IT-Sicherheit

LDI NRW: Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand

Die Landesdatenschutzbeauftragte NRW hat sich zur Frage geäußert, wie aus dortiger Sicht die Datenschutz-Grundverordnung (DS-GVO) in Bezug auf den unverschlüsselten Versand von E-Mails zu interpretieren ist.

Kategorien
Cybercrime allgemein

Cybercrime: Wie schütze ich mich vor einem Hackerangriff?

Bevor man sich damit beschäftigen muss, wie man mit einem Hack-Angriff umgeht, ist es sinnvoller über die Vorsorge nachzudenken – also zu verhindern, dass überhaupt ein erfolgreicher Angriff auftritt. Dies ist inzwischen sogar Pflicht, mit dem IT-Sicherheitsgesetz sind Sie verpflichtet, zumindest grundsätzliche Sicherheitsaufgaben zu erledigen. Das bedeutet in aller Kürze: Werksseitig vorhandene Passwörter müssen verändert werden, Softwareupdates zeitnah eingespielt werden und Zugangshürden zur Infrastruktur, die man selber einrichten kann, aktiviert werden.

Zum Thema Cyberangriff weitere Artikel von mir:

Kategorien
Cybersecurity & IT-Sicherheit

Cyberangriff: Was tun nach einem Hackerangriff?

Was tun nach einem Hackerangriff: Nach einem Hackerangriff oder Cyberangriff sind Unternehmen mit diversen Pflichten konfrontiert, dabei droht neben dem Ärger mit den Kunden auch noch ein empfindliches Bußgeld. Privatpersonen sind oft schlicht überfordert und wissen nicht wie man damit umgehen soll – Ich helfe kurzfristig bei einem Hackangriff und biete ein Notfallhandy.

Aus meiner Sicht gibt es einige allgemeine Hinweise zu grundsätzlichen Verhaltensweisen nach einem Hack-Angriff, die sich an der ersten Frage ob es um einen Verbraucher oder ein Unternehmen geht, orientieren – insbesondere bei der Frage gegen wen man vorgeht. Tatsächlich muss ich immer wieder beobachten, dass gerade in den ersten entscheidenden Momenten im Hinblick auf spätere Aufklärung gravierende Fehler gemacht werden. Dies ist mit der eingetretenen Schocksituation zu erklären, die aber durch saubere Vorbereitung zumindest in Unternehmen durchaus verhindert werden kann.

Dabei greifen heute für Unternehmen die von Cybercrime betroffen sind empfindliche Entwicklungen ineinander: Auf der einen Seite wurde mit der Datenschutzgrundverordnung die Rechtslage verschärft, das IT-Sicherheitsgesetz schaffte deutliche Anforderungen an die IT-Sicherheit. Auf der anderen Seite sind Unternehmen kaum und grossteils unzureichend auf die Thematik IT-Sicherheit vorbereitet – und es müssen Datenbrüche gemeldet werden wobei Betroffene Schadensersatzansprüche haben, mit der DGSVO auch hinsichtlich Schmerzensgeld, was ganz erhebliche Folgekosten verursachen kann.

Zum Thema Cyberangriff weitere Artikel von mir: