All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Alle Sicherheitsartikel aus dem Bereich Organisationssicherheit im Überblick. 

IT Sicherheitsnews um Compliance, Managed Services, Outsourcing, Risiko-Management, Business Continuity, Security Management, Rechenzentrum, Monitoring, Sicherheit im Unternehmen und mehr.

Neue Maßstäbe mit Software Defined Security

Die IFASEC GmbH präsentiert mit SCUDOS eine Software Defined Security (SDSec)-Plattform der nächsten Generation. Die Lösung visualisiert die komplette Netzwerkinfrastruktur, erkennt und katalogisiert sämtliche Geräte und deren Dienste, identifiziert Anomalien und leitet sofortige Gegenmaßnahmen ein – und das in nur wenigen Minuten. Unternehmen aller Größen können damit die Sicherheit ihrer Netzwerke auf eine neue Stufe stellen.
28.03.2017 | Security-Management, Studien

Gemalto veröffentlicht Ergebnisse des Breach Level Index 2016

Gemalto hat heute die Ergebnisse des Breach Level Index 2016 veröffentlicht. Der Auswertung zufolge führten 1.792 Datenangriffe im Jahr 2016 zur Kompromittierung von fast 1,4 Milliarden Datensätzen weltweit – 86 Prozent mehr als noch 2015. Identitätsdiebstahl stellte 2016 mit 59 Prozent aller Fälle die häufigste Art von Datenmissbrauch dar. Bei 52 Prozent der Datenpannen, die sich im Jahr 2016 ereigneten, wurde zum Zeitpunkt der Veröffentlichung nicht bekanntgegeben, wie viele Datensätze komprom

BSI aktualisiert Krypto-Richtlinien der Serie TR-02102

Erhöhtes Sicherheitsniveau von 120 Bit ab 2023 + Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat aktualisierte Versionen der Technischen Richtlinien der Serie TR-02102 in deutscher und englischer Sprache auf der BSI-Webseite veröffentlicht. Die vierteilige Richtlinie enthält allgemeine Empfehlungen zur Verwendung und Auswahl von kryptografischen Verfahren, Algorithmen und Schlüssellängen sowie konkrete Empfehlungen zum sicheren Einsatz der kryptografischen Protokolle TLS, IPsec
16.03.2017 | Mensch und Security

Volksverschlüsselung für kleine und mittlere Unternehmen

Das Fraunhofer-Institut für Sichere Informationstechnologie SIT bietet für kleine und mittlere Unternehmen jetzt eine kommerzielle Lösung der Volksverschlüsselung an. KMUs können sich jetzt unter www.volksverschluesselung.de/kmu für den Praxis-Test bewerben, bei dem Unternehmen die Volksverschlüsselung ein Jahr lang kostenfrei benutzen können – unabhängig von der Anzahl der Nutzer. Die notwendige individuelle Registrierung der ausgewählten Unternehmen erfolgt durch Ausweiskontrolle im Internet-V
15.03.2017 | Mensch und Security, Studien, (ISC)²

Frauen: In der Cybersicherheit unterrepräsentiert

Studie mit mehr als 19.000 Cybersicherheitsfachleute belegt, dass der dramatische Engpass bei weiblichen Beschäftigten den Fachkräftemangel in der europäischen Cybersicherheit verschlimmert + Anteil von Frauen in der Cybersicherheit ist in Europa verglichen mit dem Rest der Welt am kleinsten + Weibliche Cybersicherheitsfachkräfte in Europa verdienen durchschnittlich 15 Prozent weniger als die Männer, eine größere Ungleichheit als in anderen Teilen der Welt + Empfehlungen enthalten die Schaffung
14.03.2017 | Security-Management, Studien

33 von 457

Zweiter Digital Transformation Vendor Benchmark der Experton Group + Digital Transformation: Performance & Verständnis sind weiterhin Mangelware.+ Ausreichende Leistungen bieten nur 33 IT-Anbieter: Gerade mal 7% aller relevanten IT-Anbieter in Deutschland spielen für Kunden im Kontext ihrer aktuellen digitalen Transformation eine Rolle.+ Nur vier Unternehmen sind Full IT Business Transformation Anbieter 2017: Mit 1% Ausbeute gleicht der Anspruch „Alles aus einer Hand“ im Kontext digitaler Produk
10.03.2017 | Managed-Security-Services & Outsourcing

Check Point stellt Advanced Cloud Security für Google Cloud Platform bereit

Check Point stellt Check Point vSEC für die Google Cloud Platform vor. Fortschrittliche Sicherheit wird damit in die Google Cloud Plattform integriert. Mit dieser Lösung tritt Check Point dem Google Cloud Technology Partner Programm bei und unterstreicht seine führende Position in der Absicherung von Workloads in physikalischen, virtuellen und Cloud Umgebungen über alle Cloud Plattformen hinweg. Die Lösung vSEC für Google Cloud Platform bietet fortschrittliche Sicherheit, die für agile und skali
10.03.2017 | Security-Management

Welche neuen Schwachstellen entstehen in Business-Netzwerken durch IoT?

Chris Petersen, CTO und Co-Founder von LogRhythm informiert: Im gleichen Tempo, mit dem sich IoT-Devices im praktischen Einsatz durchsetzen – und zwar sowohl in öffentlichen Institutionen als auch im Bereich kritischer Infrastrukturen (Gesundheitswesen, Energie usw.) – steigt auch das Risiko, dass die Geräte für kriminelle Zwecke missbraucht werden. In den letzten Monaten des Jahres 2016 etwa kam es zu einer massiven DDoS-Attacke, bei denen Hacker Zehntausende von privaten Geräten wie etwa moder

Dem Mirai-Entwickler auf der Spur

Im letzten Security Journal beschäftigte sich der Artikel „Gefährdet IoT das Internet?“ insbesondere mit dem für einige massive DDoS-Angriffe genutzten Botnet Mirai. Dieses steht exemplarisch für eine neue Art von extrem gefährlichen Tools, die immens hohe Datenraten für ihre Angriffe nutzen. Hierzu werden abertausender von einfachsten IoT-(Internet-of-Things)-Geräten übernommen und zur Überflutung der ausgewählten Ziele ausgenutzt. Mirai wurde Ende September 2016 zum ersten Male wahrgenommen, a
24.02.2017 | Security-Management, Studien, (ISC)²

Studie: Weltweiter Fachkräftemangel im Cybersicherheitsbereich soll in fünf Jahren 1,8 Millionen-Marke knacken

Die bisher größte Befragung von über 19.000 Fachleuten aus der Cybersicherheit zeigt ein großes Qualifikationsdefizit in Deutschland aufgrund anhaltender Versäumnisse bei der Rekrutierung von Millennials + Die „Global Information Security Workforce Study 2015“ prognostizierte ein Fehlen von 1,5 Millionen Cybersicherheitsmitarbeitern bis 2020 + Anstieg von 20 Prozent bei der vorhergesehenen Qualifikationslücke und Warnung vor drohendem „Qualifikationsabgrund“, da die ältere Generation in den Ruhe

Endpunktschutz-Plattform „Traps“ von Palo Alto Networks in Gartners Magic Quadrant als visionäre Lösung eingestuft

Palo Alto Networks wird für seine Endpunkschutz-Lösung Traps im von Gartner veröffentlichten Magic Quadrant 2017 for Endpoint Protection Platforms (EPP)* als Visionär eingestuft. Dies ist zudem das erste Jahr, in dem Palo Alto Networks in den EPP-Report von Gartner aufgenommen wurde. Palo Alto Networks wertet dies als einen weiterer Beweis für die Anerkennung von Traps als innovativen Endpunktschutz durch unabhängige Experten.
23.02.2017 | Mensch und Security

Erpressung online

Die Erpressung von Lösegeld war im abgelaufenen Jahr weltweit das häufigste Motiv für Angriffe auf Netzwerke, Server und Anwendungen von Unternehmen und Organisationen. Das geht aus dem jetzt veröffentlichten Global Application and Network Security Report 2016-2017 von Radware hervor, in dem über 40 Prozent der knapp 600 befragten Unternehmen angaben, dass die Lösegelderpressung 2016 der häufigste Grund für Angriffe auf ihre Netzwerke gewesen sei. Speziell in Europa liegt dieser Wert mit 49 Proz

Cybersicherheit in Deutschland - Empfehlungen aus der Wissenschaft

Die Leiter der drei vom Bundesministerium für Bildung und Forschung geförderten Kompetenzzentren für IT-Sicherheitsforschung CISPA in Saarbrücken, CRISP in Darmstadt und KASTEL am Karlsruher Institut für Technologie übergaben heute auf der ersten Nationalen Konferenz zur IT-Sicherheitsforschung in Berlin der Bundesministerin für Bildung und Forschung Frau Prof. Dr. Johanna Wanka ein Positionspapier zur aktuellen Lage der Cybersicherheit.
14.02.2017 | Risiko- & Kontinuitätsmanagement, RSA Security Talk

Neue Sicherheits-Architektur von RSA macht Cyber-Abwehr effizienter

RSA, ein Unternehmen von Dell Technologies, hat die RSA Business Driven Security Architecture vorgestellt: Der neue Sicherheits-Ansatz hilft Unternehmen, Cyber-Risiken effizient zu bewältigen und ihre wichtigsten Geschäftsdaten zu schützen. Die neuen Business-Driven-Security-Lösungen von RSA richten sich an Kunden aller Größenordnungen und erlauben durch ihre Architektur sowie die integralen Lösungsangebote einen sehr effizienten Umgang mit Risiken. Sie ermöglichen die schnelle Erkennung und Rea
13.02.2017 | Managed-Security-Services & Outsourcing, ForeScout

ForeScout schützt jetzt auch in Amazon Web Services und dehnt die Funktionalitäten für Sichtbarkeit und Transparenz auf die Cloud aus

Die neue Lösung für Amazon Web Services (AWS) ermöglicht Sichtbarkeit und Transparenz für Cloud-Workflows in der meistverbreiteten Cloud-Plattform weltweit + Der agentenfreie Ansatz gewährleistet erweiterte Transparenz und Verwaltungsmöglichkeiten für die gesamte Netzwerkumgebung der Kunden – lokal und in der Cloud + Die Lösung ist auch über Multi-Cloud-Infrastrukturen hinweg einsetzbar und erlaubt damit eine einheitliche Durchsetzung von Richtlinien
13.02.2017 | Risiko- & Kontinuitätsmanagement, Studien

Widerstandskraft gegen Cyberbedrohungen

- der zweite Ponemon Cyber Resilient Enterprise-Report. Neue Erkenntnisse – 38 Prozent der befragten deutschen Organisationen berichten von einer Verletzung der Informationssicherheit, die in den vergangenen zwei Jahren stattfand und mehr als 1.000 Datensätze betroffen hat. 45 Prozent dieser Unternehmen verzeichneten mehr als einen Vorfall. 27 Prozent der Vorfälle erfordern eine öffentliche Bekanntmachung.

Einstieg in die Grundlagen: Die EU Datenschutz-Grundverordnung (DSGVO)

Der Stichtag für das Inkrafttreten der DSGVO im Mai 2018 rückt rasch näher. Angesichts der Größenordnung potentieller Bußgelder, neuer Rechte Einzelner auf Forderung von Schadenersatz und der Verbreitung und Effektivität der Cyberkriminalität, sollte ein Plan für den Fall eines Verstoßes gegen die DSGVO direkt in das Risikoregister eines jeden Unternehmens (und eines jeden Mitglieds des Konzernvorstands) eingehen.
20.01.2017 | Mensch und Security

DEVK schützt Versicherte vor Datenklau

Die DEVK-Rechtsschutzversicherung rüstet ihre Kunden gegen Onlinekriminalität. Seit Januar bietet der Premium-Schutz u.a. Identitätsschutz im Internet, in Darknets und sogar im Deep Web. Neu ist auch ein Datentresor in Kooperation mit dem Online-Portal freenet.de: Damit können Versicherte Dateien verschlüsselt und sicher in einer Cloud speichern.
20.01.2017 | Risiko- & Kontinuitätsmanagement, Studien

Studie deckt Missstände bei Cyber-Abwehrzentren auf

SOCs verzichten auf grundlegende Sicherheitsvorkehrungen, 82 Prozent aller Unternehmen verwundbar + Hewlett Packard Enterprise (HPE) hat den vierten jährlichen "State of Security Operations Report 2017" veröffentlicht (1). Der Report bietet eine tiefe Analyse der Effektivität von Cyber-Abwehrzentren (Security Operations Center, SOCs) und liefert Best Practices für die Risikominimierung in einer sich ständig ändernden Cybersecurity-Landschaft. Unter dem erhöhten Druck, Sicherheitsinitiativen stän
17.01.2017 | Security-Management

TU Darmstadt forscht an nächster Generation sicherer Verschlüsselung

Wissenschaftler der TU Darmstadt forschen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Chiphersteller Intel an Strategien für das Post-Quantum-Zeitalter. + An Quantencomputern wird weltweit intensiv geforscht. Experten schätzen, dass 2025 ein funktionierender Quanten-Computer gebaut werden könnte – dieser könnte bisher benutzte Public-Key-Verschlüsselungs- und Signaturverfahren brechen. Damit geschützte Daten wären offengelegt und entsprechende Signaturen wären fälschbar.
17.01.2017 | Mensch und Security, Studien

Studie: Konsumenten sehen Unternehmen beim Thema Datenmissbrauch in der Pflicht

Gemalto gibt die Ergebnisse seines 2016 Data Breaches and Customer Loyalty report bekannt. Die Ergebnisse der Studie zeigen, dass die Verantwortung für den Schutz personenbezogenen Daten von Verbraucherinnen und Verbraucher in erster Linie bei den jeweiligen Unternehmen gesehen wird - und nicht bei sich selbst. + Nur 30 Prozent der Konsumenten glauben, dass die Unternehmen den Schutz ihrer personenbezogenen Daten sehr ernst nehmen + 58 Prozent der Befragten fürchten, Opfer von Datenmissbrauch im

Connected Car: Autos werden immer anfälliger für Cyberattacken und das hat Gründe

Autos werden sich in naher Zukunft in rollende Internetbrowser verwandeln, die sich mit allem verbinden, was ihnen unterwegs begegnet. Dabei ist es gleich, ob es sich um das eigene Smart Home oder aber eine Ampel handelt. Sie werden automatisch mit Updates aus der Ferne zu Stau, Verkehrsbehinderungen und Verkehrsunfällen versorgt oder über sich ändernde Wetter-verhältnisse informiert. Updates und Upgrades wird es „over-the-air“ geben, ohne dass der Halter dafür in die Werkstatt müsste. Mit selbs
12.01.2017 | Security-Management, Studien

Allianz Risk Barometer 2017: Cyberrisiken als größte Gefahr für deutsche Unternehmen

Jährliche Umfrage zu den wichtigsten Unternehmensrisiken weltweit: Cyberrisiken an zweiter Stelle in den USA und Europa, in Deutschland und Großbritannien sogar erstmals auf dem Spitzenplatz + Wachsender Protektionismus und potenzielle Marktumbrüche bereiten Unternehmen Sorgen + Weltweit betrachtet, gelten Betriebsunterbrechungen weiterhin als größte Bedrohung für Unternehmen – in Deutschland belegen sie Platz 2 + Angst vor Terrorismus und Zerfall der Eurozone in Deutschland erstmals unter Top-1

Cyberattacken: Es geht vor allem ums Geld

Die Erpressung von Lösegeld war im abgelaufenen Jahr weltweit das häufigste Motiv für Angriffe auf Netzwerke, Server und Anwendungen von Unternehmen und Organisationen. Das geht aus dem jetzt veröffentlichten Global Application and Network Security Report 2016-2017 von Radware hervor. Den öffentlichkeitswirksamen und meist politisch motivierten Hacktivismus sahen die für diese Studie befragten Unternehmen quantitativ dagegen nur auf einer Stufe mit wesentlich weniger spektakulären Angriffen von

Software-Hardening macht IoT-Geräte sicherer

Jeder Hersteller von IoT- und Embedded-Geräten strebt nach sicheren Geräten. Trotz stabiler Entwicklungsprozesse ist es schwierig, absolute Sicherheit in fertigen – vor allem bestehenden - Produkten zu gewährleisten. Der wachsende IoT-Markt treibt auch die Sicherheit von Embedded Devices voran. Höhere Sicherheit ist aber nur mit besserer Technik realisierbar. Hier setzt GrammaTech mit seinen Hardware-Hardening Techniken an: Sie ergänzen das Know-how bei statischer Analyse, um die Stabilität von

Potenziale und Risiken digitaler Selbstvermessung

– und Handlungsfelder für Politik, Wissenschaft und Medizin + Geräte und Technologien zur Selbstvermessung wie Gesundheits-Apps oder Fitness-Armbänder gehören mittlerweile zum Alltag vieler Menschen. Dies bringt sowohl Potenziale als auch Risiken mit sich. Das Fraunhofer-Institut für System- und Innovationsforschung ISI hat deshalb im Rahmen des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Verbundprojekts "Wissenstransfer 2.0" eine explorative Folgenabschätzung durchgeführt
22.12.2016 | Managed-Security-Services & Outsourcing, White Paper, Palo Alto Networks

Drei Grundlagen für eine sichere Cloud-Nutzung

Palo Alto Networks stellt aktuellen Leitfaden vor + Unternehmen müssen ihren Fokus auf eine präventionsorientierte Sicherheitsarchitektur für die Cloud-Bereitstellung richten, um Bedrohungen über alle potenziellen Angriffsvektoren abzuwehren. Davon ist Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks, überzeugt. Zusammen mit BT-Security stellt das IT-Sicherheitsunternehmen heute dazu einen aktuellen Leitfaden vor und geht dabei auf zentrale Aufgabenstellungen ein.
22.12.2016 | Managed-Security-Services & Outsourcing

Datenmanagement in der Cloud als Sicherheitsrisiko –

Rubrik erwartet in 2017 wachsenden Nachfrage an Cloudsecurity + DACH-Region (Deutschland, Österreich, Schweiz) holt in Sachen Cloud im internationalen Vergleich auf – von der öffentlichen über die hybride bis zur privaten Cloud. Die standortübergreifende Vernetzung schreitet voran, und somit Immer mehr Daten sind „unterwegs“ oder liegen „irgendwo“.
15.12.2016 | Security-Management

Hase- und Igel-Spiel: IT-Sicherheit gegen Cyberkriminelle

Für viele Unternehmen ist die IT mittlerweile essenziell für den Geschäftsbetrieb. Bei Ausfällen kommt die gesamte Kommunikation zum Erliegen, im schlimmsten Fall steht die komplette Produktion still. Für Cyberkriminelle sind Unternehmensnetze deshalb lohnende Ziele. Sie denken sich immer wieder neue Angriffsmethoden aus, während Security-Experten zugleich versuchen, geeignete Abwehrmechanismen zu entwickeln. Aktuellen Gefahren wie Distributed Denial of Service-Attacken (DDOS) auf Onlineshops un

Mirai-Botnet mit 400.000 Bots zu mieten

In diesem Artikel wollen wir die aktuellen Entwicklungen beleuchten, die um die riesigen IoT-Botnetze herum (Mirai u.a.) zu beobachten sind. Es gab einiges an "Lessons learned" durch den Angriff auf Dyn, vor allem, das Best Practices in diesem Fall durchaus gereicht hätten, den Impact zu minimieren. Es geht garnicht so sehr um die vielfach erwähnten TTL-Settings oder Anycast, sondern ganz einfach 2 unabhängige DNS-Provider für ein extrem robustes, redundantes DNS-Setup.
13.12.2016 | Security-Management, Studien

PAC-Studie: Europäische Unternehmen treiben den Ausbau von IoT-Analytics voran

Nur zehn Prozent der großen europäischen Unternehmen bezeichnen sich selbst als fortgeschritten in der Umsetzung von Internet of Things (IoT)-Projekten. Gleichzeitig plant die überwiegende Mehrheit Investitionen in neue Analyse-Tools und -Plattformen, um ihre IoT-Strategien voranzutreiben. Dies sind Ergebnisse der aktuellen Studie „IoT and the Data Analytics Challenge“, die PAC im Auftrag von HPE und Telefónica umgesetzt hat.
13.12.2016 | Rechenzentrum

Ixia ermöglicht detaillierte Einblicke in virtuelle Rechenzentren

Ixia hat mit dem CloudLens Virtual Packet Broker eine Erweiterung seiner CloudLens-Plattform vorgestellt, einer integrierten Lösung für die Visibility in Cloud-Umgebungen. Der CloudLens Virtual Packet Broker (vPB) ist eine Softwarelösung, die detaillierte Einblicke in den Datenverkehr zwischen virtuellen Maschinen in privaten Cloud-Umgebungen ermöglicht.
13.12.2016 | Compliance & Recht

Neue Innovation in LightCyber Magna hilft Unternehmen, die Anforderungen von PCI DSS zu erfüllen

Magna-Plattform von LightCyber ab sofort nach PCI DSS-Anforderung 11.4 zertifiziert + LightCyber bestätigt das Bestehen einer Prüfung durch den Qualified Service Assessor (QSA) HALOCK Security Labs. Damit entspricht die LightCyber Magna-Plattform der Anforderung 11.4 des Payment Card Industry Data Security Standards (PCI DSS), welche den Einsatz von Intrusion-Detection-Maßnahmen vorschreibt.
06.12.2016 | Mensch und Security

Datenschutzaufsichtsbehörden prüften Wearables - Datenschutz-Mängel bei Fitness-Armbändern und Smart Watches

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein beteiligte sich an einer deutschlandweiten Prüfaktion und prüfte gemeinsam mit sechs weiteren Aufsichtsbehörden Wearables. Auf dem Prüfstand waren sowohl Fitness-Armbänder als auch Smart Watches mit Gesundheitsfunktionen. Außerdem wurden die Apps der Hersteller einer technischen Analyse unterzogen. Das Ergebnis war eindeutig: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Angriff auf Telekom Router – „Es gibt kein klares Fehlerbild“

„Es gibt kein klares Fehlerbild“ lautete die Aussage der Telekom, als am vergangenen Montagmorgen rund 900.000 deutsche Haushalte keinen Zugriff mehr auf das Internet hatten. Nun scheint klar: die Telekom hat es zum einen verpasst, ihre Router, die von taiwanischen Dienstleistern hergestellt wurden, intensiv auf Schwachstellen zu prüfen. Zum anderen haben Sie es versäumt festzustellen, dass veröffentlichte Schwachstellen für andere Routermodelle auch bei Telekom-Routern Probleme verursachen könn

Umfassen Penetration-Tests automatisch einen DDoS-Stresstest? Was ist ein DDoS-Stresstest?

Podcast mit mit Markus Manzke, CTO, 8ack GmbH
17.11.2016 | Mensch und Security, Studien

Über zwölf Millionen Deutsche waren im vergangenen Jahr Opfer von Cyberkriminalität

Gefährliche Kombination: Hacker entwickeln immer ausgefeiltere Methoden und machen sich die Nachlässigkeit von Anwendern zunutze + Norton by Symantec veröffentlicht die Ergebnisse des jährlichen Norton Cybersecurity Insights Report. Der Bericht belegt, dass 12,7 Millionen Deutsche im vergangenen Jahr Opfer von Cyberkriminellen wurden. Dabei nutzen Hacker vor allem die Nachlässigkeit von Verbrauchern aus. Der Bericht kommt zu dem Ergebnis, dass bei den Konsumenten ein Schaden von 1,5 Millionen US

Unscharfe Prozesskommunikation – Fuzz-Testing IEC 60870-5-104

Eine nicht protokollkonforme Prozesskommunikation führte im Jahr 2013 in Österreich zu gravierenden Störungen im Fernwirknetz der Stromversorgung. Derartige Fehlfunktionen in der Prozesskommunikation treten immer wieder auf, auch wenn die Auswirkungen unter normalen Umständen nicht dermaßen drastisch sind. Sie sind in der Regel auf einen zu großen Spielraum in der Auslegung von Kommunikationsstandards für die Leit- und Automatisierungstechnik sowie auf Programmierfehler in den Protokollimplement

Die Lage der IT-Sicherheit in Deutschland 2016

Der Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet thematisiert der Lagebericht Lösungsansätze zur Verbesserung der IT-Sicherheit in Deutschland.

Security Best Practices in Theorie und Praxis

Die Zahl der Sicherheitsbedrohungen gerade bei der Internetnutzung steigt ständig, es gibt auch durchaus gute Sicherheitsmaßnahmen, aber diese werden oft gar nicht oder unzureichend von den Nutzern eingesetzt. Empfehlungen von Sicherheitsexperten stehen allzu oft in dem Verdacht, für die tägliche Praxis zu abgehoben und unrealistisch zu sein. In einer interessanten Studie haben sich Forscher von Google dieses Themas angenommen und im Rahmen einer umfangreichen Befragung von „Experten“ und „Nicht

Nur ein Drittel deutscher Unternehmen ausreichend auf DDoS-Attacken vorbereitet

Im Rahmen der it-sa 2016 führte Link11 in Kooperation mit TeleTrusT eine Umfrage unter 250 IT-Entscheidern und -Beratern durch. Aktueller Hintergrund war die umfassende DDoS-Attacke auf den DNS-Service des Anbieters dyn, die u.a. zu Serviceausfällen bei Twitter, New York Times und Netflix führte. Während nur 60 % der Unternehmen selbst von einer steigenden Gefahr durch DDoS ausgehen, sind sich 76,5 % der Berater sicher, dass das Risiko in den kommenden 12 Monaten Opfer einer DDoS-Attacke zu werd
27.10.2016 | Security-Management, Studien, ForeScout

Studie zeigt: Gängige IoT-Geräte in weniger als drei Minuten gehackt

Die Analyse verdeutlicht die Gefahr, welche IoT-Geräte in Unternehmen mitbringen: Die meisten eröffnen leichten Zugriff in kritische Unternehmensnetze. ForeScout Technologies veröffentlicht heute seinen „IoT Enterprise Risk Report, an dem Samy Kamkar, einer der bekanntesten ethischen Hacker in den USA, maßgeblich beteiligt war. Die Studienergebnisse geben einen Einblick, wie gängige IoT-Geräte in Unternehmen grundlegende Risiken für die Sicherheit von Unternehmen aufwerfen.
21.10.2016 | Compliance & Recht, Studien

Vorgaben der Datenschutz-Grundverordnung (GDPR) werden verfehlt

CSI-Report: 44 Prozent der Unternehmen sind nicht in der Lage, Datenschutzverletzungen innerhalb von 72 Stunden zu erkennen und zu melden. Das ergab der aktuelle CSI-Report von Balabit, einem führenden Anbieter von Contextual-Security-Technologien. Diese Meldefrist tritt jedoch mit der neuen Datenschutz-Grundverordnung (General Data Protection Regulation) in Kraft und gilt für Mitgliedsstaaten der EU. Bei Verstoß riskieren sie Strafen in Höhe von bis zu vier Prozent ihres Jahresumsatzes.
17.10.2016 | Security-Management

IT-Audit: Herausforderung für den Mittelstand

Ein IT-Audit dient dazu, Schwachstellen in der IT-Struktur aufzudecken, um Schaden vorzubeugen. Selbst geplant, beauftragt und durchgeführt ist es eine Sicherheitsvorkehrung, die ein Unternehmen mit Zeit und Einsatzbereitschaft stemmen kann. Problematisch wird es, wenn etwa ein Auftraggeber ein Audit fordert und im Unternehmen Ressourcen, Zeit und Know-how fehlen, um die Prüfung entsprechend vorzubereiten. Betroffene Firmen können massiv unter Druck geraten, wenn sie ihre IT sicherheitstechnisch
17.10.2016 | Security-Management, Studien, ForeScout

65 Prozent der Organisationen können IoT-Geräte in ihren Netzwerken nicht ausreichend erkennen und verwalten

Klassische Sicherheitslösungen sind nicht in der Lage, die wachsende Vielfalt an Geräten im Internet der Dinge (IoT) richtig abzusichern – daher müssen Unternehmen ihre Strategien für IoT-Sicherheit überdenken + ForeScout Technologies veröffentlicht die Ergebnisse seiner neuen Studie „European Perceptions, Preparedness and Strategies for IoT Security“. Die Mehrzahl der befragten Teilnehmer sieht durch IoT bessere Chancen für Unternehmen, zeitgleich gestehen aber viele Befragten ein, dass sie nic
14.10.2016 | Security-Management, Studien

Unternehmen sind laut einer Umfrage von Dell schlecht auf die neue EU-Datenschutz-Grundverordnung vorbereitet

Dell hat eine internationale Studie zum Thema EU-Datenschutz-Grundverordnung (GDPR) (1) vorgestellt. Die wichtigsten Ergebnisse: Kleinen, mittleren und großen Unternehmen fehlt das Verständnis dafür, wie man sich auf die Anforderungen der GDPR vorbereitet und welche Strafen bei Nichteinhaltung drohen.

Der Aufstieg von Cloud-Sicherheitsexperten: Neues Sprachrohr in IT und Unternehmen

Cloud-Technologien sind für viele Aspekte von Unternehmen von zentraler Bedeutung und deren strategischer Einsatz erfordert eine klare, sachkundige Stimme. Angesichts der Beziehung zwischen der IT und der Vorstandsebene einerseits und Risikobewertung für die Unternehmensführung andererseits, benötigen Unternehmen einen Experten für diese Schlüsselrolle.
07.10.2016 | Security-Management, Studien

Studie: EU-Datenschutz-Grundverordnung verfehlt alle Ziele – Kasseler Juristen entwirren Rechtslage

Die jüngst in Kraft getretene Datenschutz-Grundverordnung der EU ist weitgehend wirkungslos. Das ist das Ergebnis einer rechtswissenschaftlichen Untersuchung der Universität Kassel. Viele aktuelle Herausforderungen, etwa durch Social Media oder Cloud Computing, würden ignoriert. Weil die Abgrenzung zu deutschem Recht unscharf ist, werde die Rechtslage in Deutschland unübersichtlicher und möglicherweise sogar schlechter. Für Juristen und Datenschützer bietet die Studie aber auch einen Wegweiser d
29.09.2016 | Security-Management, Studien

Unisys Studie: Führungskräfte sind von Digitalisierung überzeugt – trotz Sicherheitsbedenken und Herausforderungen bei der Umsetzung

72 Prozent sehen digitales Business als kritischen Erfolgsfaktor + 15 Prozent meinen, dass ihr Unternehmen reif genug für eine volle Digitalisierung ist + 55 Prozent der Apps sind bereits in der Cloud + 88 Prozent bezeichnen Cloud-Sicherheit als Top-Priorität, aber nur 32 Prozent sehen hier nennenswerte Fortschritte + 24 Prozent nennen Fortschritte bei der Schaffung skalierbarer IT für digitales Business

Connected Car Security: Müssen wir die Qualifikationslücke in der Cybersicherheit neu definieren?

Der Tesla-Hack zeigt, warum wir neu definieren müssen, was wir unter einer Qualifikationslücke in der Cybersicherheit verstehen, wenn wir die Verbreitung von Schwachstellen stoppen wollen. Die Nachricht letzte Woche, dass ein Tesla Model S aus einer Entfernung von 12 Meilen gehackt wurde[1], deutet darauf hin, dass das explosive Wachstum automotive getriebener Konnektivität die sogenannten Connected Car-Sicherheit schnell überholen könnte.
29.09.2016 | Mensch und Security

Hamburger FinTech-Startup führt verschlüsseltes P2P-Payment-System für alle Kreditinstitute ein

Tabbt stellt ab sofort Ende-zu-Ende verschlüsselte Transaktionen und Social-Feed-Funktionen zur Verfügung.+ Ab sofort können Tabbt-Nutzer kostenlos und mit ihrem bestehenden Bankkonto Geld senden und empfangen. Im Rahmen des globalen Relaunches seiner App hat Tabbt neue Funktionen in den App-Stores bereitgestellt. Das Hamburger Startup bietet bereits seit März 2015 mobile Shared-Payment-Lösungen an. Mit seinem Update garantiert Tabbt dank eines einzigartigen Sicherheitskonzepts – basierend auf d
22.09.2016 | Mensch und Security, Studien

Deutsche Krankenhäuser kommen beim Thema Digitalisierung nur langsam voran

Neue Studie auf dem 12. Gesundheitswirtschaftskongress in Hamburg vorgestellt + Nach wie vor verfügt erst jedes vierte Krankenhaus in Deutschland über eine Digital-Strategie. Immerhin: Der Anteil der Kliniken, die sich mit digitalen Einzelprojekten auf den Weg zur „Medizin 4.0“ gemacht haben, ist binnen eines Jahres auf 56 Prozent gestiegen (2015: 46 Prozent). Das sind Ergebnisse der bereits zum zweiten Mal durchgeführten Studie „Digitalisierung in der Gesundheitswirtschaft 2016“, für die im Auf

Symantec Research: Hausnetzwerke, Router, Modems, Videoüberwachungssystem und Industriesteueranlagen im Fadenkreuz von Cyber-Angriffen

IoT-Geräte werden zunehmend für DDoS-Attacken genutzt + Symantec veröffentlicht neue Forschungsergebnisse zur Sicherheitslage rund um das Internet der Dinge: Cyberkriminelle machen sich die laxen Sicherheitsvorkehrungen vieler vernetzter Geräte zunutze, um so über das Internet der Dinge (IoT) Schadsoftware zu verbreiten und sogenannte Zombie-Networks oder Botnets zu erstellen – ohne dass es die Besitzer der Geräte mitbekommen.
21.09.2016 | Security-Management

Neue HPE-Security-Lösung verarbeitet eine Million Events pro Sekunde

Auf der HPE Protect, der jährlichen Sicherheitskonferenz von Hewlett Packard Enterprise (HPE), hat das IT-Unternehmen neue Lösungen für Security Analytics, Anwendungs- und Datensicherheit angekündigt. Dazu gehören die HPE ArcSight Data Platform (ADP) 2.0, die Integration von HPE SecureData mit dem HPE Atalla Hardware Security Module (HSM) und das HPE Fortify Ecosystem.

Statische Analyse und die Sicherheit von IIot Geräten

Im Industrial Internet of Things (IIoT) sind Geräte, die industrielle Steuerungssysteme bilden, oft wegen Einschränkungen bei Design und Kapazität nicht sicher. Das gilt auch für die eingesetzten Protokolle, so dass das blinde Vertrauen in die physische Sicherheit ziemlich gewagt ist (z.B. Anschuss von Geräten an einem lokalen Netzwerk). Abhilfe schafft die Implementierung von Sicherheit auf Systemlevel, als Teil des sicheren Softwaredesigns und –entwicklung. Hier bieten statische Analysetools H

Messung der operativen Effektivität eines (integrierten) Management Systems

Die Entwicklung und Einführung eines (integrierten)-Management-Systems für die Steuerung und kontinuierliche Verbesserung von Telekommunikations- und Informationstechnologieunternehmen (Organisationseinheiten) erfordert einen vollumfänglichen und wirksamen Ansatz, um die betriebliche („operative“) Effizienz der angewandten organisatorischen und technischen Maßnahmen messen zu können. Nur Maßnahmen, die gemessen werden können, können auch wirksam gesteuert werden. Dieser Artikel schlägt einen sol

Botmaster-Flüsterer: Ein Come-Together inmitten einer DDoS-Attacke

Unter4Ohren über DDoS-Attacken und eine interessante Begegnung zwischen Angreifer und Verteidiger.

Sag mir, wie sicher die Daten sind

Datenschutz in der Cloud nach den Vorgaben der neuen Datenschutz-Grundverordnung + Die Cloud ist in Deutschland weiter auf dem Vormarsch. Immer mehr Unternehmen haben die Vorteile der stets verfügbaren, hochgradig skalierbaren und vor allem kostengünstigen Technologie erkannt. Bietet sie ihnen doch die Möglichkeit, schnell und einfach auf neue Rechner- und Datenspeicherressourcen zuzugreifen, ohne dafür eigene teure IT-Infrastruktur anzuschaffen.

Neues Signaturrecht seit 1.7.2016

Die neue EU-Verordnung über elektronische Identifizierungs- und Signaturdienste (EIDAS-Verordnung 2016/679 [1] ) ist zwar schon seit 2 Jahren in Kraft, aber erst durch das Inkrafttreten der dazu erlassenen Durchführungsrechtsakte am 1.7.2016 wurde die Verordnung in der EU wirksam.
05.09.2016 | Mensch und Security

Hacker-Angriffe: Jedes vierte Krankenhaus will zur Abwehr das IT-Personal aufstocken

Nach den Cyber-Attacken auf die IT mehrerer Krankenhäuser Anfang des Jahres haben acht von zehn Kliniken ihre IT-Sicherheit überprüft oder wollen dies kurzfristig tun. Gut jedes zweite Krankenhaus plant als erste Reaktion zudem Schulungen in diesem Bereich. Etwa jedes vierte ist bereits zu der Erkenntnis gekommen, dass dies allein aber nicht reichen wird und erwägt daher personelle Verstärkungen im IT-Bereich. Bei den großen Häusern mit mehr als 1.000 Betten steht dieser Schritt sogar schon bei
05.09.2016 | Security-Management

Studie zur Cybersicherheit: Die Hälfte der Attacken ist auf versteckte Malware in verschlüsseltem Datenverkehr zurückzuführen

Steigendes Vertrauen in die Verschlüsselungstechnologie erhöht Risiken für Finanzinstitute, Gesundheitsorganisationen und andere Branchen + Wichtige Erkenntnisse: 80 % der Unternehmen wurden im letzten Jahr Opfer von Cyberattacken + Bei nahezu der Hälfte der Attacken wurden Schadprogramme im verschlüsselten Datenverkehr versteckt, um unentdeckt zu bleiben + 75 % der befragten IT-Experten gaben zu, dass Malware Daten von Mitarbeitern in Netzwerken offenlegen kann

Cyberangriffe auf Banken verhindern

Tipps von Palo Alto Networks zum Schutz von Endpunkten im Finanzsektor + In den letzten Monaten sind mehrere Vorfälle bei SWIFT-Mitgliedsbanken (Society for Worldwide Interbank Financial Telecommunications) ans Tageslicht gekommen. Die Angreifer machten sich Sicherheitslücken zunutze, stahlen dann gültige Anmeldeinformationen und verwendeten diese, um betrügerische Transfers einzuleiten. Diese Angriffe tragen die Kennzeichen eines Account Takeover (ATO), bei dem sich Cyberkriminelle als rechtmäß
29.08.2016 | Mensch und Security

Im Sommerloch räumen Hacker deutsche Konten leer

Hacker machen offenbar keinen Sommerurlaub: Aktuell haben die IT-Sicherheitsexperten der IBM X-Force eine enorme Zunahme von Cyberattacken mit dem GozNym-Trojaner beobachtet. Mit rund 1.500 Angriffen im August 2016 stiegen diese seit Juli um 3.500 Prozent, allein in Europa.

Top 10-Bedrohungen für Industriesteuerungsanlagen

Systeme zur Fertigungs- und Prozessautomatisierung – zusammengefasst unter dem Begriff Industrial Control Systems (ICS) – werden in nahezu allen Infrastrukturen eingesetzt, die physische Prozesse abwickeln. Dies reicht von der Energieerzeugung und -verteilung über Gas- und Wasserversorgung bis hin zur Fabrikautomation, Verkehrsleittechnik und modernem Gebäudemanagement. In Anbetracht der Bedeutung dieser Systeme für einzelne Unternehmen und mitunter auch das Allgemeinwohl sind ICS-Komponenten at
23.08.2016 | Compliance & Recht

Kritische Stellungnahme zum IT-Sicherheitsgesetz

Bundesverband IT-Sicherheit (TeleTrusT) zum BSI-Diskussionspapier "Absicherung von Telemediendiensten nach dem Stand der Technik" + Am 05.07.2016 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Diskussionspapier zur Absicherung von Telemediendiensten nach dem Stand der Technik zur Auslegung des § 13 Abs. 7 Telemediengesetz (TMG) veröffentlicht und um kritische Kommentierung gebeten.

Neue EU-Richtlinie zur Netz- und Informationssicherheit (NIS) verabschiedet

Palo Alto Networks sieht umgehenden Handlungsbedarf in Unternehmen und zeigt sechs Maßnahmen auf + Am 19. Juli wurde die viel diskutierte und lang erwartete EU-Richtlinie zur Netz- und Informationssicherheit (NIS) im Amtsblatt der Europäischen Union veröffentlicht. Die Richtlinie wurde entwickelt, um das Vertrauen der Gesellschaft in die Technologie sicherzustellen, von der sie immer mehr abhängig ist. Am 8. August 2016 tritt die Richtlinie in Kraft, ist dann aber noch nicht unmittelbar anzuwend

Mit Netz und doppeltem Boden

Ganzheitliches IT-Sicherheitsmanagement + Die Bestandteile einer Industrie-4.0-Umgebung, die in der Regel geschäftskritische Systeme mit sehr hohen Verfügbarkeitsanforderungen umfassen, müssen sehr sorgfältig abgesichert werden. Denn wie eine Untersuchung der Marktforschungsgesellschaft IDC ergab, verzeichneten 54 Prozent der deutschen Fertigungsunternehmen zwischen Mitte 2014 und 2015 mindestens einen Sicherheitsvorfall, der durch einen Fremdzugriff verursacht wurde - resultierend in einen Prod

Risk-Management = Pflichtfach für Unternehmen

Die Informationstechnologie bietet bei der Digitalisierung von Geschäftsprozessen viele Vorteile. Bei den meisten Betrieben ist dieses Thema daher seit längerem fest in der Unternehmensstrategie verankert. Allerdings ist diese Entwicklung auch mit starken Abhängigkeiten verbunden. Neben firmeninternen und vertraglichen Regelungen gibt es zur Transparenz der IT-Compliance auch gesetzliche Vorgaben. So sind deutsche Firmen verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu

Cyberangriffe, Threat Intelligence, FireEye - Buchstabensuppe mit Wirkung!?

Ein Podcast mit FireEye + Worte sind mehr als eine Aneinanderreihung von Buchstaben. Sie lösen Hoffnung, Hoffnungslosigkeit, Zuversicht, Vertrauen aus. Bleiben unsere Gefühle auch bei Fremdwörtern unbeeinflusst?
26.07.2016 | Security-Management, Studien

Dell-Umfrage: Sicherheitsteams müssen frühzeitig in die Unternehmensplanung einbezogen werden

Dell hat die Ergebnisse der Digital Transformation Security Survey vorgestellt (1), einer weltweit durchgeführten Umfrage unter Entscheidungsträgern in der IT. Die Ergebnisse verdeutlichen, dass das Thema IT-Sicherheit oft als Barriere für die Digitale Transformation gesehen wird. Allerdings erkannten die Befragten, dass die Sicherheitsabteilung bei der Umsetzung digitaler Technologien eine unterstützende Rolle spielen kann, wenn sie frühzeitig in den Planungsprozess einbezogen wird.
19.07.2016 | Managed-Security-Services & Outsourcing

Schutz gegen Ransomware jetzt mit ISO27001 Sicherheitszertifizierung

Einen Erfolg meldet die international tätige BMD Systemhaus GmbH: Ab sofort verfügt das Unternehmen über die ISO27001 Sicherheitszertifizierung. „Für BMD ist es selbstverständlich, seinen Kunden größtmögliche Sicherheit zu bieten“, erklärt Andreas Hermann, Leitung Technik bei BMD. „Bis dato besitzen nur wenige österreichische Unternehmen eine Zertifizierung nach ISO27001. Insgesamt benötigte BMD für die aufwendige Sicherheitszertifizierung drei Jahre bzw. 2.000 Mitarbeiterstunden.“

Revisionssichere Digitalisierung, neue GoBD und EIDAS-Verordnung

Bereits am 1.Januar 2015 ist die GoBD in Kraft getreten, die Verwaltungsverordnung des Bundesfinanzministeriums über die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 14.11.2014. Danach werden die Anforderungen an die Revisionssicherheit nochmals verschärft, das reine Scannen und Speichern als PDF- oder Officedokument, das mit Hilfe einfacher PC-Software noch beliebig geändert werden kann, genü
13.07.2016 | Risiko- & Kontinuitätsmanagement, White Paper, RSA Security Talk

75 Prozent der Unternehmen sind erhöhten IT-Risiken ausgesetzt

Studie belegt: Sicherheitsstrategien der meisten Organisationen sind weiterhin lückenhaft + 45 Prozent sind nicht oder nur fallbezogen in der Lage, IT-Risiken zu bewerten, zu katalogisieren oder zu reduzieren + Öffentliche Einrichtungen und Betreiber kritischer Infrastrukturen oft besonders schlecht geschützt
13.07.2016 | Managed-Security-Services & Outsourcing

Österreichisches IT-Security Start-Up stellt den europäischen Datenschutz in den Mittelpunkt

Das Datenschutzniveau zwischen den USA und Europa ist unterschiedlich – das bestätigte der Europäische Gerichtshof. Wer personenbezogene Daten in die USA transferiert, muss mit Strafen rechnen. Europäische Unternehmen übertragen aber auch - und weiterhin legal - hochsensible Daten über ihre tagesaktuelle IT-Sicherheit an meist cloud-basierte Dienstleister in den USA. Die Datenschutz-Bedenken sind dabei immens. Eine sichere Alternative ist es, ein europäisches Unternehmen zu betrauen, das sich au

Konkretisierungen zum IT-Sicherheitsgesetz und zum IT-Sicherheitskatalog

Im Laufe der letzten zehn Monate wurden die Vorgaben durch die sog. Kritisverordnung, ein Zertifizierungsschema für EVUs und viele weitergehende Informationen ergänzt. Sowohl BSI als auch BNetzA haben sog. FAQs veröffentlicht, die Hinweise zur Ausführung und Interpretation der verschiedenen Gesetze bzw. Verordnungen enthalten. Dieser Artikel stellt die seit dem damaligen Zeitpunkt verabschiedeten gesetzlichen Neuerungen und Konkretisierungen aus Sicht der EVUs dar.

"Das haben wir von Cyber-Angriffen in EMEA gelernt"

Seit 2010 veröffentlicht Mandiant, ein Unternehmen von FireEye, regelmäßig Reports zu Trends, Statistiken und Fallstudien zu Cyber-Attacken professioneller Hacker. Im Rahmen zahlreicher globaler Untersuchungen im Jahr 2015 ging Mandiant auch auf eine Vielzahl von Cyber-Angriffen in Europa, dem Nahen Osten und Afrika (EMEA) ein.

IT-Service: Bitte präventiv!

Wenn das Kind im Brunnen liegt, ist es buchstäblich zu spät. Im übertragenen Sinne verhält es sich so auch mit der Unternehmens-IT. Bricht beispielsweise das Netzwerk der eigenen Organisation zusammen, ist das Chaos in der Regel perfekt. Dabei lässt sich im Vorfeld nur mutmaßen, welches Ausmaß die Katastrophe annimmt. Kein Zweifel besteht allerdings darüber, dass sie negative Auswirkungen auf das Tagesgeschäft hat. Geschäftsführer und IT-Verantwortliche sind also gut beraten, wenn sie dem lieber

Revisionssichere Digitalisierung, neue GoBD und EIDAS-Verordnung

Bereits am 1.Januar 2015 ist die GoBD in Kraft getreten, die Verwaltungsverordnung des Bundesfinanzministeriums über die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 14.11.2014. Danach werden die Anforderungen an die Revisionssicherheit nochmals verschärft, das reine Scannen und Speichern als PDF- oder Officedokument, das mit Hilfe einfacher PC-Software noch beliebig geändert werden kann, genü

Bedrohte Sicherheit bei verteilten ICS/SCADA-Umgebungen

Mit dem Aufkommen des Industriellen Internets der Dinge (IIoT) im Zuge von Industrie 4.0 kommen immer mehr Systeme für den großräumigen Datentransfer in ICS/SCADA-Umgebungen zum Einsatz. Diese bieten mehr Bandbreite und Flexibilität. Hierbei handelt es sich um Systeme wie iNets, nicht lizenzierte und lizenzierte Mikrowellenkommunikation, Satellitenkommunikation, AMI (Advanced Metering Infrastructure)-Zähler und andere Formen von kommunikationsfähigen Geräten.

EU-Datenschutz-Grundverordnung

Neue Regelungen stellen Unternehmen vor die Herausforderung, europäische Daten standardmäßig zu anonymisieren & Delphix warnt vor hohen Bußgeldern bei Verstößen gegen die EU-Datenschutz-Grundverordnung (EU-DSGVO). Die verhängte Strafe kann bis zu vier Prozent des weltweiten Umsatzes ausmachen. Um den neuen Anforderungen zu entsprechen, sollten Firmen deshalb ihre Prozesse neu aufsetzen und ihre Daten besonders schützen.

Europa im Abseits

Cyber-Angriffe werden später entdeckt, Behörden hilflos und die Jäger sind schlecht gerüstet & Die Region schneidet schlecht ab: 469 Tage brauchten Firmen in EMEA im Durchschnitt, um das Eindringen von Hackern zu bemerken – der weltweite Durchschnitt liegt bei 146 Tagen. Dies ist eines der Ergebnisse des aktuellen M-Trends Report für EMEA von Mandiant, einem Unternehmen von FireEye. 88 Prozent der Firmen verlassen sich nur auf ihre internen Abwehrressourcen. Von offizieller Stelle ist noch wenig

Risiken in der IT-Sicherheit richtig bewerten

Viele Unternehmen glauben immer noch nicht, dass gerade sie Opfer eines Cyberangriffs werden könnten. Zwar erkennt man, dass es vermehrt zu Attacken kommt, glaubt aber nicht, dass die eigenen Sicherheitsmechanismen ausgehebelt werden können. Dabei warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland: „Statt einer reinen Abwehr gegen Angriffe gehört es zum Risikomanagement einer Organisation, sich darauf einzuste
14.06.2016 | Risiko- & Kontinuitätsmanagement, Studien

Risikoversicherung in einer digital vernetzten Welt

Wie bewerten Unternehmen die Risiken der digitalen Vernetzung und wie bereiten sie sich darauf vor? Was können Unternehmen tun, um diese Gefahren zu bekämpfen und wie können Versicherungen dabei helfen? IBM befragte hierzu rund 800 Versicherungsexperten und 1000 Führungskräfte von Unternehmen auf internationaler Ebene.

Leaks bei Twitter und LinkedIn: Woher weiß man, dass Mitarbeiter und Kunden nach einem Sicherheitsvorfall die richtigen Maßnahmen treffen?

Durch einen Cyber-Angriff auf das Business-Netzwerk LinkedIn sind mehr als 100 Millionen Passwörter kompromittiert worden. Die Nutzer wurden gebeten, ihre Passwörter zu ändern und ihre Konten zu überprüfen. Ereignet hat sich dieser Angriff schon vor vier Jahren, doch jetzt werden die E-Mail-Adressen für fünf Bitcoins (ca. 2.000 Euro) online angeboten. Zusätzlich kursieren die Nutzerdaten von 33 Milliarden Twitter-Accounts im Internet, diese sollen durch Hacker von den Usern direkt abgegriffen wo

Web-Security-Suite mit ausgezeichnetem DDoS-Frühwarnsystem

8ack integriert „DDoS-Radar“ in „8ackProtect“ & Das DDoS-Alarmsystem „DDoS-Radar“ wurde vor wenigen Wochen auf der renommierten Rechenzentrumsveranstaltung „future thinking“ mit dem deutschen Rechenzentrumspreis (DRZP) ausgezeichnet. Nun integriert 8ack aufgrund der positiven Resonanz das innovative cloudbasierte DDoS-Alarmsystem in ihre Web-Security-Suite „8ackProtect“.
06.06.2016 | Palo Alto Networks, Managed-Security-Services & Outsourcing

Software as a Service, aber sicher -

Palo Alto Networks nennt 6 Herausforderungen der sicheren SaaS-Nutzung. Software-as-a-Service (SaaS) liegt wie andere „As-a-Service“-Angebote bei vielen Unternehmen im Trend. SaaS-Anwendungen sind zu einem wichtigen Werkzeug im Unternehmen avanciert um Kosten zu sparen, Flexibilität zu steigern und eigene Ressourcen zu schonen. Mit Cloud-Storage-Anwendungen wie Box eigene Dateien verfügbar zu machen oder mit Collaboration-Tools wie Microsoft Office 365 Dokumente zu erstellen, gehört zur tägliche

IT-Sicherheitsgesetz: Was ist "Stand der Technik"?

TeleTrusT - Bundesverband IT-Sicherheit e.V. legt Handreichung vor + Zur Erhöhung der Cyber-Sicherheit hat der Gesetzgeber Unternehmen durch das IT-Sicherheitsgesetz verpflichtet, bei Auswahl, Implementierung und Betrieb von IT-Sicherheitsmaßnahmen den Stand der Technik zu berücksichtigen. Das gilt für Betreiber kritischer Infrastrukturen wie für jedes Nicht-KRITIS-Unternehmen, das eine Internetseite oder einen anderen Telemediendienst betreibt. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) h
13.05.2016 | Mensch und Security, Studien

FireEye-Studie: Ich zeig´ dich an!

88 Prozent der Befragten sehen Banken unter den Top 3-Branchen, bei denen sie die meisten Sorgen vor einem Datenklau haben, gefolgt von E-Mail-Anbietern (37 Prozent), Organisationen im Gesundheitswesen (30 Prozent) und Versicherungen (28 Prozent) + 71 Prozent würden nach einem Hackerangriff auf ein Unternehmen weniger persönliche Daten preisgeben + Großes Vertrauen herrscht in soziale Netzwerke und die Webseiten von Behörden – nur eine Minderheit ist um die eigenen Daten auf Regierungswebseiten

Datenschutz bleibt weitgehend Aufgabe der Mitgliedsstaaten

Am 4. Mai 2016 wurde die neue Europäische Datenschutz-Grundverordnung vorgestellt, die den Datenschutz in der EU stärken soll. Das vom Fraunhofer-Institut für System- und Innovationsforschung ISI koordinierte Forum Privatheit veröffentlicht zu diesem Anlass ein neues Policy Paper, das sich mit der Ausgestaltung der Grundverordnung befasst. Darin geben die Autoren eine Einschätzung ab, ob die zentralen Ziele einer Harmonisierung und Modernisierung des europäischen Datenschutzrechts sowie eine Wet

Finale Fassung des Testkonzepts für Breitband-Router

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die finale Fassung des Testkonzepts für Breitband-Router veröffentlicht. Das Testkonzept ermöglicht die Überprüfung relevanter Sicherheitseigenschaften von Routern. Dabei betrachtet das BSI grundlegende sicherheitsrelevante Funktionen sowie die Unterstützung und Einhaltung etablierter Sicherheitsstandards. Darüber hinaus behandelt das Testkonzept exemplarisch bekannte Sicherheitsrisiken und Angriffsszenarien. Ziel ist es, die Sich

Doppelt so viele Cyberattacken in Deutschland – starker Anstieg bei Ransomware

Angriffe richten sich gegen die Fertigungsindustrie, aber auch die Finanzindustrie und Versicherungen sind stark betroffen
04.05.2016 | Risiko- & Kontinuitätsmanagement, Studien

Studie: Sicherheitslücken in der Smart Factory

Die zunehmende Vernetzung von Maschinen untereinander hat der produzierenden Industrie einen Innovationsschub verschafft. Gleichzeitig schafft die autonome Gerätekommunikation neue Sicherheitslücken für Hacker und andere Cyber-Kriminelle. Zu diesem Ergebnis kommt die im Auftrag des Bundeswirtschaftsministeriums entwickelte Studie „IT-Sicherheit für Industrie 4.0“.

Gesundheitsdaten ziehen Kriminelle besonders an

IBM Security veröffentlicht neuen Cyber Security Intelligence Index 2016: Gesundheitsbranche das weltweit attraktivste Angriffsziel für Cyberkriminelle + Gefahren durch Insider in Organisationen steigen weiter an + IBM entdeckt fast zwei Drittel mehr schwere Sicherheitsvorfälle als noch 2014

Ohne IT-Sicherheit kein Internet der Dinge

Das Internet der Dinge hat einen radikalen Wandel der Wirtschaft angestoßen. Für Unternehmen birgt diese Entwicklung zahlreiche Chancen, aber auch neue Herausforderungen – besonders in puncto Sicherheit. Ein Whitepaper der Deutschen Telekom zeigt, wo die Risiken liegen und wie Unternehmen sich dagegen wappnen können.
25.04.2016 | Mensch und Security, Studien

Mangel an Support und fehlende Soft Skills

Das SANS Institut, Aus- und Weiterbildungsorganisation, hat seinen „Securing Human Security Awareness Report 2016“ veröffentlicht. Der Bericht bewertet den aktuellen Status von Sicherheitsprogrammen in aller Welt und basiert auf einer globalen Befragung von 369 Security Awareness-Experten zu ihren größten Herausforderungen, Zielen und Funktionen. 70 Prozent der Befragten kamen aus den Vereinigten Staaten, 30 Prozent aus Ländern außerhalb der USA.
22.04.2016 | Compliance & Recht

Die Haftung des betrieblichen Datenschutzbeauftragten

- und die Chancen eines Haftungs-Outsourcings auf externe Datenschutzmandatsträger* + Nach dem Aufsehen erregenden Urteil des Bundesgerichtshofs aus dem Jahre 2009 zur Strafbarkeit des Compliance-Beauftragten als Unterlassungsgarant für die Verhinderung von Rechtsverstößen Urteil vom 17.07.2009, 5 StR 394/08) wird zwischenzeitlich auch eine entsprechende Anwendung der dortigen Urteilserwägungen auf den betrieblichen Datenschutzbeauftragten diskutiert.
14.04.2016 | Rechenzentrum

Platzsparende und ausfallsichere IT-Kühlung für Serverschränke

Das neue Rittal IT-Kühlgerät LCU DX (Liquid Cooling Unit Direct Expansion) bietet als Split-Kühlgerät eine kältemittelbasierende und geräuscharme Schrankkühlung. In den Leistungsklassen 3 kW und 6,5 kW lieferbar, eignet sich das Kühlgerät ideal für kleine IT-Anwendungen. Die Lösung wurde zum Einbau in TS IT-Racks oder in das Micro Data Center von Rittal entwickelt und ist ab sofort lieferbar.
13.04.2016 | Security-Management, Studien, RSA Security Talk

Entscheider-Umfrage mit überraschenden Resultaten

Großangelegte Befragung zeigt: CIOs rechnen mit einer Überforderung der Unternehmens-IT durch die Digitalisierung + IT-Organisationen verlieren bereits an Einfluss: In 39 Prozent der Unternehmen entscheiden bereits andere Bereiche über die IT-Strategie + Gut die Hälfte der IT-Verantwortlichen erwartet, dass ihre IT-Organisation bis 2019 verschwunden sein könnte
13.04.2016 | Compliance & Recht

Kabinett beschließt erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Betreiber kritischer Anlagen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die beim BSI eingehenden Meldungen werden bewertet und dann schne

Die Haftung des CIO und des IT-Sicherheitsbeauftragten

Mehr noch als die Sonderbeauftragten für Compliance und Datenschutz, deren Haftung wir bereits erörtert hatten, steht der Technikvorstand in besonderem Maße in der Gefahr einer persönlichen haftungsrechtlichen Inanspruchnahme. Aber auch unterhalb der Managementebene kann der IT-Sicherheitsbeauftragte als schlichter Arbeitnehmer in die – dann freilich zumeist mildere – Haftungsfalle geraten. Schon im Eigeninteresse sollte der CIO daher auf eine eindeutige, klar abgegrenzte Aufgabenzuweisung dring
31.03.2016 | Mensch und Security, Studien

Daten gegen Geld

Verbraucher wünschen sich Geld oder Rabatt-Deals als Gegenleistung für Nutzungsdaten ++ Nutzer erhoffen sich weniger Ausgaben für Strom und Heizung ++ Mehrheit sieht Grund zur Sorge bei der Sicherheit von Smart Homes ++ Passwörter sorgen für Frustration

Auto-Mobiles Internet

Türe auf, aussteigen, Türe zu, klack. „Hallo, Ihr Fahrzeug wurde gesperrt und Sie können es aktuell nicht mehr öffnen. Um den Öffnungscode zu erhalten, überweisen Sie per „Eastern Onion“ 100 € auf folgendes Konto….“. Mist, schon wieder ein Ransomware-Car-Trojaner. Ist ein solches Szenario Zukunftsmusik und gehört es in den Hollywood-Studios zur Kategorie Science-Fiction? Wie realistisch ist ein solches Szenario? Wie nah ist die Zukunft, die solche „Funktionen“ bringt? Der anhaltende Trend zu noc
30.03.2016 | Mensch und Security

Aufbruch in eine neue Ära der IT-Sicherheit – Fokus auf den Faktor Mensch

Die CeBIT 2016 hat sich als „Innovationsmesse“ neu positioniert, doch niemand ist wirklich überrascht, dass IT-Sicherheit und der Mensch in der digitalen Welt auf der einstigen Computermesse ganz große Themen waren. In Hannover demonstrierten Hacker live, wie sie die virtuelle Kontrolle über Sexspielzeug übernehmen können, und zeigten damit, auf welch intime Bereiche Cyber-Kriminelle Zugriff erlangen könnten [1].

Neue Security-Härtetests von FireEye

Die Mandiant Red Team Operations und Penetrationstests für Menschen, Prozesse und Technologien imitieren die ausgefeiltesten Angriffe auf Netzwerke, IoT Geräte und ICS
24.03.2016 | Compliance & Recht

Balabit erweitert Blindspotter um biometrische Sicherheitsverfahren

Balabit hat auf der RSA-Konferenz in San Francisco die Version 2016.03 von Blindspotter angekündigt. Die neue Ausgabe der Lösung für die Analyse der Aktionen von IT-Nutzern (User Behavior Analytics, UBA) verfügt über eine Reihe neuer, einzigartiger Algorithmen aus dem Bereich maschinelles Lernen. Sie unterstützen IT-Sicherheitsfachleute dabei, Benutzerkonten zu identifizieren, die von Hackern übernommen wurden. Außerdem erkennt Blindspotter, ob Accounts unzulässigerweise von mehreren Usern verwe

Das entgeht den Analyse-Tools

Code Security in Open Source Software ++ Fällt das Thema Sicherheit in Open Source Software (OSS), glauben sich viele Unternehmen auf der sicheren Seite. Statische und dynamische Analyse-Tools haben sich in den letzten Jahren als Standardinstrumente durchgesetzt. Finden sie also nicht auch Schwachstellen in Open Source? Die ernüchternde Antwort darauf ist ein klares “Nein”.
18.03.2016 | Mensch und Security

Buchtipp: INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

Praxisorientierte Prinzipien für ein profitables und effizientes Security-Management und -Controlling für Unternehmen + In der Lektüre "INFORMATIONSSICHERHEIT - kompakt, effizient und unter Kontrolle" sind alle wesentlichen Aspekte der Standardliteratur extrahiert, zusammengefasst und leicht verständlich formuliert. Unnötiger Overhead an Inhalten wird vermieden.

White Paper: Datenschutz-Folgenabschätzung

Große Ereignisse werfen ihre Schatten voraus: Die Europäische Datenschutz-Grundverordnung kommt – und mit ihr das Instrument der „Datenschutz-Folgenabschätzung“. Für Datenverarbeitungen, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bergen, sollen künftig laut Artikel 33 der Grundverordnung vorab die Folgen der vorgesehenen Verarbeitungsvorgänge abgeschätzt werden. Dies gilt insbesondere für die Verwendung neuer Technologien. Ziel ist eine gute D
17.03.2016 | Security-Management, Studien

Neue Studie zur Datensicherheit

Dell hat die Ergebnisse seiner ersten Data-Security-Studie vorgestellt. Die zentralen Erkenntnisse der Untersuchung: Obwohl Vorständen und Geschäftsführern die große Bedeutung der Datensicherheit bewusst ist, stellen sie oft nicht die nötigen Ressourcen zur Verfügung. Sicherheitsbedenken hemmen außerdem den Einsatz von Mobilgeräten und Public-Cloud-Diensten in den Unternehmen.

16.081 und 2.500 = ?

Schwachstellen und Anwendungen. Flexera Software hat den Vulnerability Review 2016 veröffentlicht. Der Jahresreport legt weltweite Zahlen zu den häufigsten Schwachstellen, der Verfügbarkeit von Patches und zu Sicherheitsrisiken innerhalb von IT-Infrastrukturen vor. Darüber hinaus wurden Sicherheitslücken der 50 am weitesten verbreiteten Anwendungen auf privaten PCs untersucht.
08.03.2016 | Security-Management

Sicherheitsbewertung für Industrial Control Systems (ICS)

Die industriellen Steuerungssysteme wurden im vergangenen Jahr zunehmend von Cyber-Attacken bedroht. Mit dem neuen Mandiant ICS HealthCheck Service bietet FireEye eine minimal-invasive Cyber-Sicherheitseinschätzung für die Betreiber dieser unternehmenskritischen Industrial Control Systeme (ICS). Der ICS HealthCheck Service ist ab sofort verfügbar und ist ein wichtiger Bestandteil für den Schutz kritischer Infrastrukturen.

TÜV Süd & IT Sicherheit

Die Entwicklungen der digitalen Welt bringen neue Herausforderungen hinsichtlich der IT-Sicherheit mit sich. Daher sollte es für Unternehmen klar sein, wie essentiell es ist, eine umfassende und effektive IT-Sicherheitsstrategie zu entwickeln und aktuell zu halten. Häufige Fehler sind, dass nur die Stellen geschützt werden, an denen die Wahrscheinlichkeit für einen Cyberangriff am größten ist – wie etwa das Online-Bezahlsystem – oder es nur Lösungen für bereits erfolgte Bedrohungen gibt, nicht a
08.03.2016 | Security-Management, RSA Security Talk

Unternehmen geben sich selbst schlechte Noten

80 Prozent der untersuchten Firmen bezeichnen die Erkennungs- und Ermittlungsfähigkeiten der eigenen IT als unzureichend. + 90 Prozent meinen, Bedrohungen nicht schnell genug zu entdecken; 88 Prozent geben an, entdeckte Angriffe nicht zügig untersuchen zu können. + Nicht einmal die Hälfte der Firmen sammelt die Systemdaten, die für den Schutz von modernen IT-Infrastrukturen am wichtigsten sind (z.B. aus Identity Management, Endpunkt-Kontrollen oder der Analyse von Datenpaketen). + Die meisten Un
08.03.2016 | Managed-Security-Services & Outsourcing

Cyber-Security made in Germany

Aktiv auf Bedrohungen zu reagieren, verspricht „8ackProtect“, die Next-Level-Security-Suite vom deutschen Sicherheitsspezialisten 8ack. 8ackProtect schützt jegliche Art von Online-Präsenzen kleiner und großer Unternehmen bis hin zu Providern und Rechenzentren mittels Threat-Intelligence gegen DDoS-Attacken und weitere mannigfaltige Angriffe aus dem Cyber-Space – und dies mit einem extrem attraktiven Preis-Leistungsverhältnis.
07.03.2016 | Mensch und Security, Studien

Studie: Wahrnehmung und Bedenken von IT-Sicherheitsverantwortlichen

Der neue Cyberthreat Defense-Bericht von CyberEdge gibt interessante Einblicke in die IT-Sicherheitsstrategien von Unternehmen sowie die Wahrnehmung und Bedenken von IT-Sicherheitsverantwortlichen. Unternehmen begreifen zunehmend, dass Bedrohungen aus dem Internet kein zeitlich limitiertes Problem sind, das sich eines Tages endgültig besiegen lässt. Und dass sie daher gut daran tun, in leistungsfähige Technologien und Strategien zu investieren. Rund 35 Prozent der befragten Firmen planen demnach
03.03.2016 | Mensch und Security, Studien

Red Hat zu IT-Sicherheit 2016

Alle Unternehmen haben IT-Sicherheit im Visier, zumindest dann, wenn sie direkt danach gefragt werden. Folgen dem aber auch Taten? Und konzentrieren sich die Unternehmen dann auch auf die richtigen Aktivitäten? Dies waren einige Fragen, auf die Red Hat Antworten suchte – mit einer Umfrage unter 426 IT-Entscheidern weltweit, die TechValidate durchgeführt hat.

Bug-Hunting beim HP Data Protector

Der HP Data Protector ist eine verbreitete Backup/Restore-Lösung aus dem Hause Hewlett-Packard, die der Sicherung und Wiederherstellung von Informationen dient, die auf ganz verschiedene Speicherorte, Anwendungen, Speicherplattformen, Betriebssysteme und Hypervisoren verteilt sein können. Im Rahmen eines Kunden-Audits dieser Lösung konnten wir wieder einmal Erfahrungen sammeln, welche Tücken auch bereits lange eingeführte Software beherbergen kann und wie der Hersteller mit Meldungen hierzu umge
25.02.2016 | Managed-Security-Services & Outsourcing

EU-US Privacy Shield

Hostinganbieter setzt auf Rechtssicherheit durch Datenspeicherung auf deutschen und europäischen Servern unter Einhaltung der jeweiligen restriktiven Datenschutzregeln
18.02.2016 | Security-Management, Studien

Chefetage wiegt sich häufig in falscher IT-Sicherheit

Intensivere Abstimmung zwischen C-Suite und CISOs zur Bedrohungslage bei Unternehmen erforderlich + Mehr als 700 Führungskräfte aus 28 Ländern in 18 Branchen hat IBM für ihre aktuelle C-Suite-Studie zum Thema Cybersicherheit befragt – die meisten behaupten, ihre IT sei sicher - wirklich nachweisen können das die wenigsten

FireEye: mehr Marktpräsenz mit zwei neuen Produkten

Neue Features im Enterprise-Angebot und ein Einsteigerprodukt in den Advanced Security Markt erweitern das Portfolio + Die Bedrohungen ändern sich, kleinere Organisationen und weitere Branchen sind ins Visier geraten. FireEye hat entsprechend sein Produktportfolio erweitert: Richtete sich traditionellerweise die Technologie von FireEye vor allem an Kunden mit extrem wertvollen Assets, so wurde jetzt die Global Threat Management Platform ergänzt. Die neuen Versionen „FireEye Power“ und „FireEye E
11.02.2016 | Security-Management, Studien

Studie: Zwei Drittel aller Führungskräfte sehen ihr Unternehmen als künftiges Opfer einer Sicherheitsverletzung

Die aktuelle Risk:Value-Studie von NTT Com Security, Teil der NTT Group, hat ergeben, dass zwei Drittel aller befragten Entscheidungsträger eine Verletzung der Datensicherheit in ihrem Unternehmen erwarten. Die Kosten für die Behebung der Schäden beziffern sie im Schnitt auf über 800.000 Euro. Die Untersuchung basiert auf einer globalen Umfrage unter 1.000 Führungskräften in Deutschland, Frankreich, Großbritannien, Norwegen, Schweden, der Schweiz und den USA, die vom Marktforschungsunternehmen V