Sie sind hier: Home » IT SecCity-Archiv » IT Security-Telegramm » Jahrgang 2015

01.09.15 - IT Security-Telegramm

Beim Thema Informationssicherheit herrscht in vielen Unternehmen Unsicherheit: Welche gesetzlichen Vorgaben gibt es? Was muss gemacht werden, um den Schutz von sensiblen Informationen sicherzustellen?
Als Teil der laufenden Hewelett-Packard (HP)-Studie zur Sicherheit des Internets der Dinge (Internet of Things, IoT) hat HP jetzt die Ergebnisse ihrer Smartwatch-Untersuchung veröffentlicht

01.09.15 - Kostenlose TÜV Süd Webinar-Serie zu Informationssicherheit
Beim Thema Informationssicherheit herrscht in vielen Unternehmen Unsicherheit. Welche gesetzlichen Vorgaben gibt es? Was muss gemacht werden, um den Schutz von sensiblen Informationen sicherzustellen? Da es sich dabei um ein existenzielles Thema für Firmen handelt, sollte es auch Chefsache sein. Die TÜV Süd Akademie bietet daher die kostenlose Webinar-Reihe "Managementwissen Informationssicherheit" an, die speziell für Entscheider auf C-Level konzipiert ist.

01.09.15 - Energienetzbetreiber müssen IT-Sicherheitskatalog bis 2018 umsetzen
Am 12. August 2015 wurde der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) veröffentlicht. Im Vergleich zum bisherigen Entwurf fällt auf, dass die finale Fassung stärker an internationale Standards ausgerichtet wurde, insbesondere an die aktuelle Norm ISO/IEC 27001:2013. Entsprechend entfiel die Schutzbedarfsfeststellung und die Auswahl konkreter Maßnahmen. Infolgedessen konnte der IT-Sicherheitskatalog im Vergleich zur ursprünglichen Version gekürzt werden. Auch der Aufbau des IT-Sicherheitskatalogs orientiert sich nun an der aktuellen ISO-Norm. Zudem beträgt die Umsetzungspflicht statt einem Jahr nun gut zwei Jahre. Bis zum 30. November 2015 müssen Energienetzbetreiber der BNetzA außerdem einen Ansprechpartner IT-Sicherheit inklusive Kontaktdaten mitteilen.

01.09.15 - Studie: Smartwatches sind vor Cyber-Attacken nicht sicher
Als Teil der laufenden Hewelett-Packard (HP)-Studie zur Sicherheit des Internets der Dinge (Internet of Things, IoT) hat HP jetzt die Ergebnisse ihrer Smartwatch-Untersuchung veröffentlicht. Diese bestätigen, dass Smartwatches mit Netzwerk- und Kommunikationsfunktionen eine neue Angriffsfläche für Cyberattacken darstellen. Die HP-Fortify-Studie zeigt, dass 100 Prozent der getesteten Smartwatches signifikante Schwachstellen aufweisen, darunter unzureichende Authentifizierung sowie fehlende Verschlüsselung und Datenschutzprobleme. In ihrem Bericht formuliert HP Empfehlungen zur sicheren Entwicklung und Verwendung von Smartwatches, zu Hause und am Arbeitsplatz. Mit dem Wachstum des IoT-Marktes werden auch Smartwatches immer beliebter. Je häufiger sie eingesetzt werden, desto mehr sensible Informationen werden auf diesen Uhren gespeichert. Durch den Zugriff auf mobile Apps könnten zudem schon bald auch physische Zugriffsfunktionen möglich sein, wie das Öffnen einer Haus- oder Autotür.

01.09.15 - "State of the Internet Security Report" für das zweite Quartal 2015: Zahl der DDoS-Angriffe hat sich im Vergleich zum zweiten Quartal 2014 mehr als verdoppelt; die Mega-Attacken nehmen weiter zu
Akamai Technologies präsentierte ihren "Q2 2015 State of the Internet – Security Report". Der Quartalsbericht enthält eine ausführliche Analyse und umfangreiche Einblicke in die weltweite Cloud-Security-Bedrohungslandschaft. In den letzten drei Quartalen hat sich die Zahl der Distributed-Denial-of-Service (DDoS)-Attacken im Vergleich zu den jeweiligen Vorjahreszeiträumen jeweils verdoppelt. Während die Angreifer im zweiten Quartal 2015 weniger starke, dafür aber längere Attacken bevorzugten, steigt die Zahl der gefährlichen Mega-Angriffe weiter an. Im zweiten Quartal 2015 gab es zwölf Attacken mit mehr als 100 Gbit/s und fünf mit mehr als 50 Millionen Paketen pro Sekunde. Nur wenige Organisationen verfügen über genügend Kapazitäten, um solche Angriffe mit eigenen Mitteln abzuwehren.

01.09.15 - Welchen Einfluss Benutzer und IT-Profis auf sichere Infrastrukturen haben
Sicherheitsbedrohungen entwickeln sich in Art und Umfang in alarmierendem Maße – und Unternehmen aller Größen sind davon betroffen. Dieses Problem ist bekannt, wird allerdings oft nur im Hinblick auf externe Bedrohungen wahrgenommen. Cyberkriminelle und andere externe Bedrohungen verdienen tatsächlich die meiste Aufmerksamkeit, doch Unternehmen dürfen nicht übersehen, dass auch in ihren eigenen Netzwerken Gefahren lauern – die Benutzer. Egal, ob sie nichts Böses im Sinn haben oder eben doch, ihr Status als potenzielles Sicherheitsrisiko ist noch nicht richtig bei den IT-Verantwortlichen angekommen. Gleichzeitig sind es diese Experten, die unabsichtlich ebenfalls zu einer Schwachstelle werden können – auch wenn sie für den unermüdlichen Einsatz gegen unzählige Bedrohungen und für die Fortführung des Betriebs eigentlich eine Auszeichnung verdient hätten.

####################

Bestellen Sie hier Ihren persönlichen Newsletter!

Sie wollen täglich informiert sein, haben aber keine Zeit, jeden Morgen durchs Internet zu surfen?

Dann lassen Sie sich durch unseren kostenlosen E-Mail-Service aktuelle News aus der IT-Securit, Safety- und High Availability-Branche nahebringen.

Das Redaktionsteam von IT SecCity.de hat die wichtigsten tagesaktuellen Meldungen für Sie zusammengetragen - ein Klick auf die entsprechenden Links und Sie befinden sich an den gewünschten Plätzen auf IT SecCity.de und den Schwester-Magazinen SaaS-Magazin.de und Compliance-Magazin.de - einfacher geht's wirklich nicht!

Klicken Sie hier, um den kostenlosen Newsletter-Service zu abonnieren.

Sie erhalten dann in wenigen Minuten eine E-Mail vom System. Bitte klicken Sie auf den Link in der E-Mail und schicken Sie uns eine Bestätigung Ihrer Bestellung.

Der Newsletter wird im html-Format versendet.
Bitte denken Sie daran, den Newsletter bei Ihrem IT-Administrator auf die White-List setzen zu lassen.

####################

Meldungen vom Vortag

31.08.15 - Umfassender unternehmensweiter Schutz für mobile Endgeräte

31.08.15 - Die Media Transfer AG (MTG) wurde für ihre Verschlüsselungssoftware "CryptoController" ausgezeichnet

31.08.15 - Hemmen Befürchtungen in Bezug auf Geräteeinschränkungen die IoT-Sicherheit?

31.08.15 - "Stagefright Detector": Lookouts App stellt, ob Android-Gerät verwundbar ist

31.08.15 - IANS-Bericht zeigt: Unternehmen setzen zunehmend auf leistungsfähige Verschlüsselungstechniken zum Schutz ihrer Daten in unterschiedlichen IT-Umgebungen

02.09.15 - IT Security-Telegramm 31.08.15 - IT Security-Telegramm

Fachartikel

Big Data bringt neue Herausforderungen mit sich
Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.
Bösartige E-Mail- und Social-Engineering-Angriffe
Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.