+43 (1) 812 32 30-0 office@purple-tec.at
Zukunftstrends der IT Sicherheit – Teil 1

Zukunftstrends der IT Sicherheit – Teil 1

Das Future Today Institut gibt einen Einblick, was in Sachen IT Sicherheit zukünftig zu erwarten ist

Das Future Today Institut – eine Organisation, die Voraussagen darüber trifft, wie aufstrebende Technologien das Geschäftsleben und die Arbeitswelt zerrütten – hat einige Prognosen abgegeben und erklärt, wie sich die Dinge bezüglich IT Sicherheit so entwickeln werden.

Über die letzten Neuigkeiten aus dem Tech Trend Report 2018 werden sich die Verantwortlichen im Bereich Cyber-Security nicht gerade freuen. Laut dem Institut können bald noch ausgeklügeltere Datenverletzungen, um einiges ausgefeiltere Hacker-Methoden und noch gezieltere Ransomware-Angriffe auf Geschäfts- und Heimgeräte erwartet werden…

Die Top 10 Prognosen in Sachen IT Security:

1. Der historische Konflikt zwischen Sicherheit und privaten Domains wird zu weiteren Herausforderungen führen

Die Menschen stellen jeden Tag mehr Daten zur Verfügung und die Tatsache, das immer mehr vernetzte Geräte auf den Markt kommen, wird die Menge an Daten noch weiter erhöhen. Das Problem: Die Hersteller selbst (die ja auch Konsumenten-Daten sammeln) berücksichtigen keine zukünftigen Szenarien, und man kann davon ausgehen, dass es auch keine handelsüblichen, leicht zugänglichen Regelungs-Checklisten geben wird. Es bleibt an den Geschäftsführern und Managern hängen, die Sicherheitsbestimmungen transparent zu machen. Davon sind die meisten jedoch noch weit entfernt. Die meisten investieren nicht mal genug Budget in die Sicherung ihrer Daten und Geräte….

2. Distributed Denial-of-Service (DDoS)-Angriffe nehmen zu

Bei dieser Form von Angriff wird ein Internetdienst – meist infolge einer absichtlich initiierten Überlastung des Datennetzes – lahmgelegt. 

Ransomware Emails GanCrab

Solche konzentrierten Angriffe auf Server und sonstige Komponenten eines Netzwerks werden von Cyber-Kriminellen mit immer besseren Techniken durchgeführt. Die Konsequenz: Die Angriffe werden in Zukunft nicht nur umfangreicher, sondern auch um einiges folgenreicher sein.

3. Mit der Zunahme an Kryptowährungen, werden Ransomware-Angriffe steigen

Bitcoin Kryptowährung

Bereits 2017 sorgten die Attacken WannaCry, Petya, and NotPetya für Unruhe. In England hat WannaCry Systeme in zahlreichen Kliniken lahmgelegt, was dazu geführt hat, dass zahlreiche Ambulanzen durch Fehlalarme ausgesendet wurden. Das Ganze endete mit 20.000 abgebrochenen Einsätzen. Weil Cash- und Bankentransaktionen leicht zu verfolgen sind, wird die Währung Bitcoin natürlich zum Ziel für Ransomware. Bitcoin wandert durch ein verschlüsseltes System und kann somit nicht zurückverfolgt werden. Die Kombi aus Blockchains (Reihe von Datenblöcken, die miteinander verkettet sind) und Kryptowährungen, haben Ransomware zu einem durchaus lukrativen Geschäft gemacht. Ein gutes Beispiel, bei dem sichtbar wird, dass es manchmal nicht reicht Daten „einfach nur zu backupen“.

Another factor feeding the ransomware boom? “Cryptocurrencies,” says Josh Mayfield, director at FireMon. “Government-issued currencies are out of the question for ransomware — it’s too easy to get caught. However, if you require payment with a cryptocurrency, you get higher probability of success.”

Das, was die Bedrohung durch Ransomware am meisten gefördert hat, ist die Möglichkeit, die Entwicklung von maßgeschneiderter Ransomware outzusourcen.“Ransomware-as-a-service“ heißt der neue Trend, mit dem sich kreative Hacker was dazu verdienen können. Es wird noch mehr Leute geben, die selbst nicht zu den technischen Genies zählen, aber sehr wohl solche Ransomware-Entwickler engagieren. Die Aussicht auf eine Gewinnbeteiligung ist der Grund, weshalb die meisten Entwickler umsonst an Bord kommen. Somit brauchen Kriminelle mittlerweile weder Fähigkeiten, noch Geld um bösartige Attacken in Umlauf zu bringen…

4. Russland wird weiterhin die große Quelle von Hacker-Angriffen bleiben

Das Land beherbergt die weltweit talentiertesten und auch erfolgreichsten Hacker, die sowohl durch begrenzte wirtschaftliche Möglichkeiten, als auch durch eine schwache Justiz motiviert sind. Die  letzten 2 Jahre haben gezeigt, dass das russische Militär, als auch der russische Geheimdienst großes Interesse daran haben, Organisationen wie das Demokratische Nationalkomittee und die europäische Wahlkommission zu infiltrieren.

Im 2. Teil über die zukünftigen Szenarios in der IT Sicherheit, stellen wir euch weitere Prognosen vor. Also unbedingt reinschauen ;)

Facebook nutzt Sicherheitslücke auf iPhones

Facebook nutzt Sicherheitslücke auf iPhones

Facebook greift wegen fehlender Whatsapp-Verschlüsselung auf Datenbank zu

Ein Entwickler von Mac-Tools zur Verwaltung von iPhone-Daten hat bestätigt, dass Facebook durch ein technisches Schlupfloch verschlüsselte Daten von Whatsapp auslesen kann. Da Facebook und Whatsapp zum gleichen Anbieter gehören, können diese Daten einfach untereinander austauschen.

Prinzipiell sei es laut des Entwicklers kein Problem die lokal entschlüsselt vorliegende Whatsapp-Datenbank an Facebook weiterzugeben. Auch wenn der Entwickler nicht behauptet, dass dies tatsächlich geschieht – sicher sein kann man da nicht. Feststeht auf alle Fälle, dass Facebook und Whatsapp trotz iO-Sandbox Daten austauschen können, sobald beide Apps auf einem iPhone installiert sind.

Whatsapp Verschlüsselung

Auch wenn iOS-Apps normalerweise durch die Sandbox vom System, als auch voneinander abgeschottet sind, macht Apple wohl eine Ausnahme für Apps, die von demselben Entwickler stammen. Wenn Programme zur gleichen „App Group“ gehören, teilen sich diese ein gemeinsames Verzeichnis („group.com.facebook.family“). Also ist WhatsApp nach dem Abkauf durch Facebook zur App-Gruppe des sozialen Netzwerks hinzugefügt worden und darf nun auch Daten austauschen.

Obwohl per Whatsapp versendete Nachrichten per End-to-End-Verschlüsselung verschlüsselt sind, ändert das nichts an dem Zustand, dass wichtige Daten dennoch ausgelesen werden. Auf einem entsperrten iPhone lässt sich die komplette Datenbank der App erfassen – und das wortwörtlich im Klartext!

Einer der Gründe: Whatsapp selbst könnte die Nachrichten sonst nicht verarbeiten…

In der frei zugänglichen Datenbank sind dann theoretisch alle notwendigen Informationen enthalten, um die gesamte Chat-Historie zu rekonstruieren. Das betrifft sensible Daten, wie Namen, Telefonnummern, Zeitmarkierungen, die Inhalte der Nachrichten inklusive Verweise auf Anhänge. Bereits im Jahr 2015 hat heise Security bereits die Umsetzung der Whatsapp-Verschlüsselung geprüft und festgestellt, dass diese im Alltag de facto unwirksam ist. Laut des Mac-Entwicklers, benutze Facebook die Ausrede der End-to-End-Verschlüsselung, um die Nutzer in falscher Sicherheit zu wiegen. Die Behauptung Mark Zuckerbergs, dass der Konzern keine Whatsapp-Inhalte sehen und diese somit auch nicht zu Werbe- oder sonstigen Zwecken analysieren könne, ist laut des Mac-Entwicklers einfach nicht richtig.

Grad richtig zum Faschingsbeginn: 11 Tipps zum Datenschutz

In Anlehnung an die Artikel des „rheinischen Grundgesetzes“ möchte Ihnen Hans Tuenessen (Managing Director bei Symbit GmbH)  am 11.11.2015 einige nützliche Tipps und Handlungsempfehlungen zum Schutz ihrer „vertraulichen und sensiblen Daten“ mit auf den Weg geben.

Tipp 1 :
Sehen Sie den Tatsachen ins Auge.

Artikel 1:
Et es wie et es. („Es ist wie es ist.“)
Die Welt ist schlecht und böse Admins, mit uneingeschränkten Rechten ausgestattet, treiben überall ihr Unwesen. Mobile Endgeräte, ein schnelles Internet und die Verfügbarkeit von Daten zu jeder Zeit an nahezu jedem Ort, machen die Lage auch für Ihr Unternehmen unbeherrschbar.

Tipp 2:
Fügen Sie sich Ihrem Schicksal.

Artikel 2:
Et kütt wie et kütt. („Es kommt wie es kommt.“
Da Sie eh nichts gegen Hacker, die NSA und/oder unzufriedene Mitarbeiter ausrichten können, ist eine gute Portion Fatalismus durchaus angebracht. Nach den Gesetzen der Wahrscheinlichkeit wird zwar auch Ihr Unternehmen früher oder später von einem Datenleck heimgesucht, aber das muss ja nicht gleich morgen sein.

Tipp 3:
Vertrauen Sie auf Ihre langjährige Erfahrung und Ihr sprichwörtliches Glück.

Artikel 3:
Et hät noch immer joot jejange („Es ist immer noch gut gegangen.“)
Was gestern gut gegangen ist, wird bestimmt auch morgen gut gehen. Glauben Sie uns, es trifft immer die anderen. Das war so und wird auch so bleiben.

Tipp4:
Trauern Sie einem Datenverlust nicht nach, denn er ist gar keiner.

Artikel 4:
Wat fott es, es fott („Was fort ist, ist fort.“).
Hier irrt das „rheinische Grundgesetz“, denn elektronische Daten sind selten „fott“: Sie haben Ihre elektronischen Dokumente ja schließlich noch. Lediglich die Kopien werden von Fremden mitbenutzt. Und versehentlich falsch adressierte Mails kann man nicht zurückrufen wie Autos oder verliehene Geräte. Oder versuchen Sie mal, Zahnpasta wieder in eine Tube zu bekommen.

Tipp 5:
Lehnen Sie sich entspannt zurück, denn Daten altern schnell heutzutage.

Artikel 5:
Et bliev nix wie et wor („Es bleibt nichts wie es war.“)
Auch wenn Ihrem Wettbewerber Ihre Kalkulationen und Einkaufskonditionen jetzt vorliegen oder  vertrauliche Kundendaten im Umlauf sind, die Welt von heute ist schnelllebig und früher oder später sind die Daten sowieso veraltet.

 

Tipp 6:
Investieren Sie keine Zeit in unnütze Dinge.

Artikel 6:
Kenne mer nit, bruche mer nit, fott domet. („Kennen wir nicht, brauchen wir nicht, fort damit.“)
Stellen Sie sich vor, Sie müssten sich jetzt auch noch um die Informationssicherheit kümmern, dann kämen Sie ja zu überhaupt nichts mehr. Ihr Kerngeschäft hat Vorrang und es gibt noch jede Menge andere Dinge mit einer höheren Priorität.

Tipp 7:
Verfolgen Sie eine klare Strategie.

Artikel 7:
Wat wells de maache? („Was willst du machen?“)
Beantworten Sie diese provokante Frage mit einem unmissverständlichen „Nix“. Klarheit und Transparenz ist angesagt. Alles andere würde nur zu langatmigen Diskussionen führen.

Tipp8:
Wenn Sie doch was machen, dann bitte nur das Allernötigste.

Artikel 8:
Maach et joot, ävver nit zo off. („Mach es gut, aber nicht zu oft.“)
Machen Sie nur das Notwendigste und das gut. Schonen Sie Ihre Kräfte und Nerven und verzichten Sie auf prophylaktische Maßnahmen, die zwar Schaden abwenden und sogar Kosten sparen mögen, jedoch eine kontinuierliche Beschäftigung mit der Materie nach sich ziehen. Und das will nun wirklich keiner.

Tipp 9:
Stellen Sie sich der Grundsatzfrage

Artikel 9:
Wat soll dä Quatsch? („Was soll der Quatsch?“)
Datenklau, Bundesdatenschutzgesetz, Sarbannes Oxley, Basel II und III, ISO27001, Grundschutzhandbuch, Wikileaks, Schutz vertraulicher Daten, Industriespionage, Informationssicherheit, Datenschutzbeauftragter, Risikomanagement, mobile Endgeräte, Zusammenarbeit mit externen Partnern, Cloud Computing. Also bitte, das hat doch nichts mit Ihrem Unternehmen zu tun.

 Tipp 10:
Pflegen Sie Kontakte und Freundschaften.

Artikel 10:
Drenkste eene met? („Trinkst Du einen mit?“)
Dies ist keine Aufforderung zum Trinken, sondern eine Geste der Gastfreundschaft. Laden Sie Ihren Datenschutzbeauftragen, Sicherheitsauditor oder Wirtschaftsprüfer auf ein leckeres Tröpfchen ein. Sie werden sehen, er wird im Auditbericht den Sicherheitsvorfall freundschaftlich übersehen.

Tipp 11:
Bitte nehmen Sie unsere Tipps nicht für bare Münze. Auch wenn das Thema sehr ernst ist, hoffen wir, dass Sie Ihren Humor nicht verlieren und am Ende mit uns einstimmen können

Artikel 11:
Do laachs de disch kapott („Da lachst du dich kaputt.“)

denn schließlich gibt es für alle Fälle auch ein Notstandsgesetz und das lautet:

Et hätt noch schlimmer kumme künne. („Es hätte noch schlimmer kommen können?“)

Quelle: Linkedin Pulse –11 „nützliche“ Tipps zum vertraulicher Daten

1