Sicherheitsrisiko USB-Schnittstelle
Anhand der Sicherheitsproblemen durch die Nutzung und Datenübertragung mittels USB-Massenspeichern ist der Einsatz von mobilen Datenträgern in vielen Unternehmen auf spezielle Anwendungsgebiete beschränkt oder ganz verboten worden. Wechseldatenträger wie externe Festplatten, Speicher-Sticks oder Universal Bus (USB)-Geräte wie Drucker, Tastatur, Digitalkameras, MP3-Player, usw. – alle diese Technik läuft über die USB-Schnittstelle. Sicherheitsforscher haben schwere Schwachstellen bei Benutzung der USB-Schnittstellen aufgedeckt, die Gefahr ist viel größer als bislang bekannt. Alles was einen USB-Stecker hat, kann zur Cyber-Waffe werden, deren Abwehr praktisch unmöglich ist, so die Warnung der Sicherheitsforscher Virenscanner könnten dieses umfassende Angriffskonzept nicht auffinden und selbst eine Neuinstallation aller Software auf den betroffenen Systemen würde nicht helfen, da der Schadcode nicht im Speicher sondern in der Firmware des jeweiligen USB-Gerätes abgelegt wird. Ob Drucker im Büro oder USB-Tastaturen - jedes USB-Gerät könnte somit betroffen sein – eine Horrorvorstellung für jeden IT-Sicherheits-Experten, weil es keine Möglichkeit zur Prüfung gibt, ob sich die Original-Firmware auf dem USB-Gerät befindet oder nicht. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind solche Manipulationen schwer in den Griff zu bekommen. Behörden, Unternehmen, Krankenhäuser, einfach alle Anwender, die mit hochsensiblen Daten arbeiten, können externen Geräten die über USB angeschlossen werden nicht mehr vertrauen. Eine Möglichkeit zum Tausch von sensiblen Dateien wäre die Benutzung von SD-Karten, aber nur dann, wenn die Computer über integrierte Kartenleser verfügen und nicht über USB angeschlossen werden, so der Rat von den Sicherheitsforschern.
-ck-

Sicherheit für kritische Infrastrukturen
Kritische Infrastrukturen (KRITIS) sind Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen - die Bevölkerung. Darunter zählen Unternehmen in den Bereichen Gefahrenstoffe, Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheitsversorgung, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Bei Ausfall oder Beeinträchtigung von kritischen Infrastrukturen kann es im Extremfall zu erheblichen Störungen wie zum Beispiel zu Versorgungsengpässen, Zusammenbruch der öffentlichen Sicherheit und Ordnung, sowie andere dramatische Auswirkungen kommen.
Vom 21. bis 22. Juni 2017 findet in Leipzig zum zweiten Mal die Konferenz und Fachausstellung Protekt, zum Schutz kritischer Infrastrukturen, statt. Bedrohungsszenarien und Lösungsansätzen im Bereich IT- und physischer Sicherheit gehören mit zum hochkarätigen Konferenzprogramm.
-ck-

Qualitätsmerkmal Datenschutz im Unternehmen
Wie die fast täglichen Schlagzeilen berichten, sind die Zahlen der Datenpannen und – Diebstähle in jüngster Zeit deutlich angestiegen. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann, wie die aktuelle Medienberichterstattung zeigt, erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Nicht nur durch die aktuellen Datenschutzmeldungen sensibilisiert fragen sich die Kunden immer häufiger, wie ein Unternehmen mit Ihren Daten umgeht. Ob Daten aus elektronischer Kommunikation mit dem Unternehmen, ihren Adressdaten, Bestellvorgängen oder auch mit Daten vom Kundenverhalten allgemein. Vielen Konsumenten wird bewusst, dass die gesammelten Daten über sie anderweitig genutzt werden können und oft auch werden. Im Wettbewerb um Kunden ist es umso wichtiger, konsequent den Datenschutz einzuhalten und dies auch zu kommunizieren. Für Unternehmen heißt dieses: Die gesetzlichen Vorgaben erfüllen und zusätzlich durch geschickte Vermarktung des gelebten Datenschutzes Imagegewinne und Wettbewerbsvorteile erzielen. Daher lohnt es sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen dass das eigene Unternehmen vom bekannt werden möglicher Datenschutzpannen verschont bleibt, Datenschutzmaßnahmen zu integrieren. Somit wird gelebter Datenschutz zu einem Wettbewerbsfaktor und die Kommunikation der Datenschutzmaßnahmen zu einem Marketinginstrument.
-ck-

Im Internet kursieren immer mehr falsche und betrügerische Job-Angebote. Die Dunkelziffer ist hoch, da die Betrugsversuche nur selten angezeigt werden und falls doch, sind die Cyber-Täter so gut wie nicht zu greifen da die Kriminellen im Ausland sitzen. Um an die personenbezogenen Daten und das Geld der Arbeits-Suchenden ranzukommen, werden mithilfe von gefälschten Stellenanzeigen in Internet-Börsen oder per E-Mail-Versand Arbeit angeboten. Solche Fake-Anzeigen werden neuerdings mit Adressen von internationalen Unternehmen versehen, so wie es auch bei der Wiesbadener Kion Group geschehen war. Die Kriminellen hatten im Namen des Gabelstapler-Herstellers gefälschte Stellenanzeigen auf Online-Portale eingestellt. Der Betrug fiel dem Unternehmen auf, nachdem sich Bewerber telefonisch nach den Stellen erkundigt hatten. Mittlerweile sind solche Fake-Anzeigen von Kriminellen die den Namen des Konzerns benutzen, nicht nur in Deutschland sondern auch aus den USA und Brasilien bekannt geworden. Der Konzern warnt auf seiner Homepage vor dieser Betrugsmasche.
-ck-

Schwachstelle Mensch und die Datensicherheit im Unternehmen 
Durch die Verbreitung der Digitalisierung werden im Unternehmen die meisten Daten in digitaler Form gespeichert. Allerdings hat diese Speicherform nicht nur Vorteile, wie folgende Beispiele zeigen:
Die Medien berichteten vor kurzem über einen Tippfehler eines Amazon-Technikers, welcher zu folgeschweren Kettenreaktionen in einem bei Amazons Cloudspeicher-Angebot AWS - S3 führte. Viele bekannte Websites und Internetdienste wie zum Beispiel Apples iCloud Adobes Creative Cloud, Citrix, Expedia, Jstor, Razer und zahlreiche Onlineshops sowie Fire-TV oder die Software Alexa waren durch diesen simplen Tippfehler lahmgelegt. Das Portal "The Register" berichtete, das durch diesen fehlerhaft eingegebenen Befehl ein Schaden von ca. 150 Millionen US-Dollar entstanden ist. 
Anfang des Monats berichteten die Medien schon über einen Tippfehler eines IT-Mitarbeiters, der Kriminelle auf der Seite der IT-Firma Gitlab abwehren wollte. Auf der Suche nach dem Auslöser für den Seitenabsturz entdeckte der Administrator, dass ein Datenbank-Nutzer gleichzeitig auf 47.000 IP-Adressen in der leeren Datenbank db2 zugegriffen hatte. Also gab er einen Löschbefehl in seine Kommandozeile ein – nur mit einem folgenschweren Tippfehler. Anstatt "db2" gab er "db1" ein, das Hauptverzeichnis, auf dem die Kunden des Unternehmens ihre Zwischenstände speichern. Aber da war es schon zu spät. Von den 300 Gigabyte Kundendaten hatte er mit einem Klick nur noch 4,5 Gigabyte übriggelassen. Weil die Datenbanken bis vor kurzem nur einmal pro Tag als Back-Up zwischengespeichert wurden, war keine Sicherungskopie angelegt. Unwiederbringlich waren so ca. sechs Stunden Daten der Kunden des IT- Unternehmens gelöscht.
Daten zählen als der wichtigste Vermögenswert eines Unternehmens, ohne Daten-Backup können große wirtschaftliche Probleme bis hin zum Ruin eines Unternehmens führen.
Gefahren drohen ohne bewussten Missbrauch - Beispiel: Wenn Mitarbeiter unbeabsichtigt oder durch Unachtsamkeit zu schnell und unüberlegt Daten freigeben, noch schnell einen Empfänger in eine E-Mail hinzufügen oder ohne Prüfung einen E-Mail-Anhang öffnen. Ein Klick und schon ist die Datenpanne passiert, oder noch schlimmer, das Computersystem des gesamten Unternehmens mit Schadsoftware verseucht oder wie die Beispiele zeigten, still gelegt.
-ck-

Cloud Sicherheitsstatus
Das Computer Emergency Response Team des BSI hat schon vor längerer Zeit deutsche Netzbetreiber auf die Gefahren von veralteten Versionen der Software-Produkte wie ownCloud und Nextcloud hingewiesen. Allein in Deutschland verwenden laut dem BSI mehr als 20.000 Clouds diese mit kritischen Sicherheitslücken behaftete alte Software-Version. Das BSI rät Cloud-Betreibern, den Versionsstand der von ihnen eingesetzten Cloud-Software regelmäßig zu überprüfen und bereitgestellte Updates schnellstmöglich zu installieren. Denn die Risiken weiter überalterte Software in Betrieb zu nehmen sind immens. Hacker können die komplette Kontrolle übernehmen und sämtliche Inhalte auslesen oder schlimmstenfalls den Zugang zum ganzen Netzwerk ausspionieren.
-ck-

Mehr Datenschutz für intelligente Fahrzeuge gefordert
Die Computertechnik im Auto ist so fortgeschritten, das über GPS und Internet Fahrzeugdaten übertragen und ausgewertet werden können, der Autofahrer wird immer und überall überwacht und somit steigt auch das Gefahrenpotenzial des Datenmissbrauchs. Durch zunehmende Vernetzung der Fahrzeuge steigen auch die Gefahren durch die verwendete Technik. Sicherheitslücken ermöglichen Hacker Zugang zu sicherheitsrelevanten Fahrzeugsystemen oder – Funktionen wie zum Beispiel: Lenkung, Türschlösser, Zündung und Bremsen um Autos zu manipulieren. Das auch Bremsen aus der Ferne per SMS ferngesteuert werden können, hatten IT-Experten schon offengelegt. Erschreckend, das durch solche Angriffe Leib und Leben der Fahrzeuginsassen gefährdet werden können.
Ein Sicherheitsspezialist von F-Secure zeigte auf der CeBIT in einem Video, wie simpel sich das Elektrofahrzeug Tesla erfolgreich entwenden lässt, wenn die Hersteller-App manipuliert wurde. Tom Lysmore Hansen von der Universität Oslo demonstrierte, das ein kostenloses WLAN und einer mit Schädling verseuchten App sowie das Vertrauen der Nutzer in die Technik schon ausreicht um einen Auto-Besitzer zum Fußgänger werden zu lassen. Doch nicht nur das Auto ist dann entwendet, sondern sämtliche Wertsachen, Papiere alles, was sich in diesem befand. In einem Firmenwagen werden meistens von den Mitarbeitern Laptop oder Unterlagen mitgeführt, in so einer Situation wären bei KFZ - Diebstahl auch die sensiblen Unternehmensdaten in Gefahr….
-ck-

Effektiver Schutz für die IT-Sicherheit
Das seit dem 25. Juli 2015 in Kraft getretene IT –Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist nicht nur für Betreiber von Kritischen Infrastrukturen (KRITIS) die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören von hoher Bedeutung, sondern auch für Betreiber von Webseiten. Mit Inkrafttreten des IT-Sicherheitsgesetzes bewirkt eine Änderung des Telemediengesetzes § 13 Abs. 7 TMG, das alle Dienstanbieter die Telemedien geschäftsmäßig anbieten, in den Anwendungsbereich dieses Gesetzes fallen. Betreiber von Webangeboten wie Online-Shops und mitunter auch Blogs mit geschäftsmäßiger Werbung, müssen eine Verschärfung der technischen und organisatorischen Schutzmaßnahmen vornehmen, um die von ihnen genutzten IT-Systeme und Kundendaten besser zu schützen.
-ck-

Einheitlicher Datenschutz
Ende Mai 2018 tritt, für alle EU-Mitgliedsstaaten wirksam, die EU-Datenschutz-Grundverordnung (DSGVO) mit einheitlichen Regelungen für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten endgültig in Kraft. Die europäische Datenschutz-Grundverordnung soll die Datenschutz-Regelung zur Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der Europäischen Union vereinheitlichen. Eine Zielsetzung ist auch, dass innerhalb der Europäischen Union der Schutz von personenbezogenen Daten sowie der freie Datenverkehr innerhalb des Europäischen Binnenmarktes sichergestellt werden kann. Für Unternehmen ist unter anderem eine verschärfte Meldepflicht bei Datenpannen, so wie eine Verschärfung der Bußgeldvorschriften bei Datenschutzverstößen vorgesehen. Der Höchstbetrag der neuen Bußgeldsummen in der EU-DS-GVO wird auf 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens, je nachdem, welcher Wert der höhere ist, festgesetzt. Organisations-Verstöße wie auch schwere materielle Datenschutzverstöße können mit den gleichen Bußgeldbeträgen belegt werden. Zukünftig erfordert die Datenschutz-Grundverordnung zudem eine Benennung eines betrieblichen Datenschutzbeauftragten sowie die Mitteilung an die Aufsichtsbehörden, sofern eine „Benennungspflicht“ (Art. 35 Abs. 1 DSGVO) besteht.
Darüber hinaus kann jedes Unternehmen für die umfangreichen Aufgaben der neuen EU-Datenschutzrichtlinien einen externen Datenschutzbeauftragten freiwillig bestellen. Damit es im kommenden Jahr kein böses Erwachen gibt, sollten Unternehmen sich rechtzeitig auf die komplexen Richtlinien vorbereiten.
–ck-

Datenverlust gleich Imageverlust
Immer wieder gelangen hochsensible Daten in falsche Hände, wie wir fast täglich in einschlägigen Nachrichtendiensten lesen können. Als Beispiel: Fehlerquelle Mensch, welcher nicht mehr benötigte Festplatten mit hochsensiblen Daten nicht richtig oder gar nicht löscht – formatiert. Wird die Festplatte danach für den Eigengebrauch weiterverwendet, spricht auch nichts dagegen, doch sobald diese verkauft oder vernichtet werden soll, sieht es anders aus. Auf bereits formatierten Festplatten können mit spezieller Software erstaunliche Funde ans Tageslicht gebracht werden Auch bietet die moderne Bürowelt anhand des mobilen Internetzugangs Mitarbeitern und Management gleichermaßen die Möglichkeit, das Büro überall aufzuschlagen. Egal ob im Zug, Restaurant und vielen anderen Orten, dank des mobilen Arbeitseinsatzes sind kaum Grenzen gesetzt. Doch durch die zunehmende Mobilität sind auch die unternehmenssensiblen Daten nicht mehr hinter abgesperrten Türen – eine meist unterschätzte Gefahr, nicht nur wenn die Laptops verloren gehen.
Auch Einbrecher haben es auf kleinere Elektrogeräte abgesehen: Handys, MP3-Player, Tablets, Laptops. Ein jüngst publik gewordene Datenschutzskandal zeigt, wie schnell Millionen Daten aus verschlossenen Räumen entwendet werden können.
-ck-

Risiko Cyberware
Internet – Kriminalität "Cybercrime" - eine Bedrohung für jedes Unternehmen. Angriffe gegen Computersysteme haben in den letzten Jahren drastisch zugenommen. Themen wie Basisschutz der Hard- und Software stehen somit auch in kleineren Unternehmen an der Tagesordnung um Firmengeheimnisse vor fremden Zugriff oder sensible Kundendaten zu schützen. Oft benötigen Firmen nach einem heftigen Angriff wesentlich länger als einen ganzen Arbeitstag um die IT-Systeme wieder herzustellen. Zudem können deftige Umsatzeinbußen, sowie der Verlust des Kundenvertrauens Unternehmen in eine Krise stürzen. Der beste Schutz vor einem Angriff besteht darin, bei den Mitarbeitern ein entsprechendes Sicherheits-Bewusstsein zu wecken und mit qualifizierten IT-Fachkräften und Datenschutzberatern zusammenzuarbeiten.
-ck-