[datensicherheit.de, 12.10.2012] Zum ersten Mal 2012 haben in der EU alle Mitgliedsstaaten der EU-Agentur für Internetsicherheit, enisa, und der Europäischen Kommission einen Bericht über Störungen in der Internetsicherheit geliefert:
Elf EU-Mitgliedsstaaten berichteten über 51 schwerwiegende Störfälle der elektronischen Kommunikationsnetzwerke oder -dienstleistungen. Die enisa veröffentlichte am 11. Oktober 2012 diesbezüglich den ersten Jahresbericht mit einer Analyse der Vorfälle im Jahr 2011.
Laut Artikel 13a der Telekom-Richtlinie (Directive 2009/140/EC) der EU sind EU-Mitgliedsstaaten verpflichtet, der enisa einen jährlichen Bericht über die größten Störfälle zukommen zu lassen. Der erste Störfall-Bericht für das Jahr 2011 wurde der enisa im Mai 2012 zugestellt. Es erstatteten insgesamt elf Länder Bericht – diese Zahl spiegelt die Tatsache wider, dass viele Länder nationale Regelungen zum Berichtswesen erst gegen Ende des Jahres 2011 umgesetzt haben. In diesem Jahr verfügten die Mitgliedsstaaten über ein besser entwickeltes nationales Berichtswesen – daher erwarteten sie einen Jahresbericht mit dem Zehnfachen an Störfällen, so die enisa-Experten Marnix Dekker and Christoffer Karsberg. Im Jahresbericht 2012 fasst die enisa die Berichte zusammen und analysiert die 51 beschriebenen Störfälle.
Ein Großteil der berichteten Störfälle betreffen demnach das mobile Telefonieren oder das mobile Internet (60 Prozent). Die Vorfälle bezüglich der Mobiltelefonie oder des mobilen Internets beträfen die meisten Nutzer (circa 300.000). Diese Zahl entspreche auch der hohen Zahl der Nutzer des mobilen Internets. Diese Vorfälle zeigten, dass Kommunikationsdienstleitungen (stationär oder mobil) in starker Abhängigkeit zur Energieversorgung stehen. Natürliche Wetterphänomene wie Sturm, Überschwemmungen und starker Schneefall hätten einen großen Einfluss auf die Energieversorgung der Dienstleiter. Die genannten Wetterbedingungen verursachten langanhaltende Störfälle, die im Durchschnitt 45 Stunden andauerten.
Der Jahresbericht liefert darüber hinaus eine Zusammenfassung des Artikels 13a und wie er von der enisa und den EU-Mitgliedsstaaten umgesetzt wurde. Die Störfälle werden näher in der „Artikel-13a-Arbeitsgruppe“ diskutiert, die sich aus allen Aufsichtsbehörden der elektronischen Kommunikation in den EU-Ländern sowie den technischen enisa-Experten zusammensetzt. Im Jahr 2013 werden die enisa und die Europäische Kommission die Berichte zu den Störfällen aus dem Jahr 2012 sammeln – der nächste Jahresbericht soll dann im Frühjahr 2013 veröffentlicht werden.
Sie verfügten zum ersten Mal über einen Überblick der schwerwiegendsten Internet-Störfälle in Europa. Dies sei ein entscheidender Moment in den Bemühungen der EU, die Auswirkungen von Störungen der Internetsicherheit besser zu verstehen, erläutert enisa-Geschäftsführer Professor Udo Helmbrecht. Allerdings beziehe sich dieser Überblick auf eine kleine Teilmenge der Störfälle der Internetsicherheit. Diese Art der Berichterstattung sollte auf eine größere Anzahl an Störfallen sowie mehrere Sektoren erweitert werden.

Weitere Informationen zum Thema:

enisa
Annual Incidents Report 2011

[datensicherheit.de, 28.08.2012] Nach aktuellen Angaben des Bundeskriminalamtes (BKA) setzt sich der bereits ab Ende des Jahres 2010 festgestellte Rückgang des Falschgeldaufkommens weiter fort:
Dies belegt jedenfalls das jetzt veröffentlichte „Bundeslagebild 2011“ des BKA. 2011 seien in Deutschland demnach 54.427 falsche Euro-Banknoten angehalten worden, was einem Rückgang von circa 40 Prozent im Vergleich zum Vorjahr (90.824 Euro-Falschnoten) entspreche. Hierunter befänden sich sowohl die bei Handel, Banken und Gewerbe festgestellten Falschnoten als auch die durch polizeiliche Maßnahmen sichergestellten Falsifikate. Der Nennwert habe bei 6,5 Millionen Euro gelegen, im Vergleich zu 6,8 Millionen Euro im Vorjahr. Die Anzahl der polizeilich registrierten Falschgelddelikte seim Jahr 2011 auf circa 34.000 (Vorjahr rund 39.000) gesunken.
BKA-Präsident Jörg Ziercke sieht in dem rückläufigen Trend des Falschgeldaufkommens einen „deutlichen Beleg für die erfolgreiche Arbeit der Strafverfolgungsbehörden und die gute Präventionsarbeit der Deutschen Bundesbank“. Der Euro werde für Fälscher aber weiterhin attraktiv bleiben, warnt Ziercke. Das BKA stehe in engem Austausch mit seinen europäischen Kooperationspartnern, um der international organisierten Herstellung und Verbreitung von Falschgeld durch gemeinsame Strafverfolgung entgegen zu treten.
Die Tendenz zur Fälschung mittlerer und kleinerer Nennwerte habe sich indes fortgesetzt. Ungefähr zwei Drittel der in Deutschland registrierten Euro-Fälschungen entfielen etwa zu gleichen Teilen auf die 20-Euro und die 50-Euro-Banknoten. Im Jahr 2010 sei die 50-Euro-Banknote die am häufigsten sichergestellte Fälschung gewesen. Die qualitativ hochwertigen Fälschungen stammten überwiegend aus Süd- und Osteuropa mit Schwerpunkt Italien.

Weitere Informationen zum Thema:

Bundeskriminalamt
Bundeslagebild Falschgeldkriminalität 2011

[datensicherheit.de, 02.07.2012] Experten der „G Data SecurityLabs“ warnen aktuell vor einer neuen Betrugsmasche – Cyber-Kriminelle versenden in einer auf Deutschland fokussierten Kampagne millionenfach vermeintliche Steuerbescheide mit offiziell wirkendem Erscheinungsbild (z.B. Schriftzug „Bundeszentralamt für Steuern“ und dem Bundesadler als Graphik).
Mögliche Opfer sind deutsche Steuerzahler, die auf ihren Einkommensteuerbescheid für 2011 und auf eine Steuererstattung warten.
Ziel der Täter sei es, an die Bankdaten der Empfänger zu gelangen, warnt G DATA. Die gewonnenen Informationen würden nach Einschätzung wohl für zukünftige Betrugsszenarien genutzt und zudem in Untergrundmärkten (E-Mail, Bankdaten, Anschrift und Kreditkarteninformationen) angeboten.
Nach Erkenntnissen von G DATA befindet sich der Server der Täter in Belgien. G DATA rät allen Empfängern, auf keinen Fall auf solche E-Mails zu antworten – hierdurch würden sie nämlich die Echtheit ihrer E-Mail-Adresse gegenüber den Betrügern bestätigen; sie sollten unbeantwortet direkt gelöscht werden.
Detaillierte Informationen zur aktuellen Attacke, wie Empfänger sich verhalten sollten und Bildmaterial der gefälschte Steuerbescheide stehen im „G Data Security-Blog“ online zur Verfügung.

Weitere Informationen zum Thema:

G DATA SecurityBlog, 29.06.2012
Tax evasion? Don’t need that! Spam email promises tax refund! / Fake German Federal Central Tax Office (FCTO) feedback wants to phish sensitive user data

[datensicherheit.de, 21.03.2012] Durch die Abschaltung großer Botnetze sei das Spam-Aufkommen im Jahr 2011 stark rückläufig, meldet KASPERSKY lab – doch die Bedrohung durch Spam sei dadurch nicht gebannt. Zwar gehe die Masse an versendeten Spam-Mails zurück; der Anteil von E-Mails mit schädlichen Anhängen oder Links steige aber. Außerdem professionalisierten die Angreifer ihre Phishing-Attacken zunehmend.
Der eiserne Kampf gegen Botnetze sei in jüngster Zeit durchaus erfolgreich gewesen – mit der Folge, dass der Anteil der Spam-Nachrichten im gesamten E-Mail-Traffic auf rund 80 Prozent zurückgegangen sei. Damit setze sich die Talfahrt seit 2009 steil fort. Auch der Anteil von Phishing-Mails sei stark zurückgegangen – bei KASPERSKY lab habe man im vergangenen Jahr noch 0,02 Prozent des gesamten E-Mail-Aufkommens als Phishing registriert, ein Rückgang um das 15-Fache. Doch das Thema Spam habe sich noch nicht erledigt, denn Spam-Mails würden gefährlicher. Immer mehr E-Mails enthielten demnach schädliche Dateianhänge oder Links; 2011 habe es dabei im Vergleich zum Vorjahr ein Plus von 70 Prozent gegeben. Spam-Mails mit schädlichen Anhängen oder Links seien für knapp vier Prozent (3,8%) des gesamten E-Mail-Traffics verantwortlich. Beiden gemeinsam sei, dass die Angreifer ihre potenziellen Opfer mit Tricks (sogenanntes „Social Engineering“) dazu kriegen wollen, den Dateianhang zu öffnen oder auf den angehängten Link zu klicken. Die Spammer hätten dafür im vergangenen Jahr auf bekannte Maschen wie die Tarnung als seriöse Quelle gesetzt, etwa eine offizielle Benachrichtigung von der Bank oder auf Sensationsmeldungen wie Bilder oder Videos vom Tod eines Prominenten.
Auch das Thema Phishing bleibe laut KASPERSKlab auf der Tagesordnung. Zwar sei die Zahl der Phishing-Mails stark zurückgegangen, die Sicherheitsexperten von KASPERSKY lab würden aber einen Trend zu gezielteren Phishing-Angriffen erkennen. Statt Massen-Mails zu versenden, konzentrierten sich professionelle Phishing-Angreifer auf kleine ausgewählte Gruppen. Dieses sogenannte „Spear-Phishing“ verfolge zwar die gleichen Ziele wie normales Phishing, werde aber in der Regel viel professioneller durchgeführt – beispielsweise durch originalgetreue Nachahmung von Registrierungsformularen oder Webauftritten bzw. sogar durch die Verwendung der korrekten Namen ihrer Opfer als Anrede.

Weitere Informationen zum Thema:

Viruslist.com, 01.03.2012
Kaspersky Security Bulletin 2011/2012. Entwicklung der IT-Bedrohungen im Jahr 2011 und Ausblick auf das Jahr 2012

Viruslist.com, 01.03.2012
Kaspersky Lab Security Bulletin 2011/2012. Spam im Jahr 2011

[datensicherheit.de, 06.02.2011] Die Anzahl der Beschwerden über rechtswidrige Internet-Inhalte geht nach Angaben des eco Verband der deutschen Internetwirtschaft e.V. zurück:
Im Jahr 2011 seien zwar mehr als 55.000 entsprechende Meldungen bei der Internet-Beschwerdestelle von eco eingegangen – doch 2010 seien es noch mehr als 70.000 Hinweise gewesen. Für die Bürger bleibe das häufigste Problem unerwünschte Werbung – so seien 94 Prozent der Kontakte Beschwerden über E-Mail-Spam oder vergleichbare Phänomene. Lediglich die verbleibenden sechs Prozent hätten das eigentliche Zuständigkeitsgebiet der Internet-Beschwerdestelle betroffen, nämlich rechtswidrige Inhalte wie Kinderpornographie, rassistisches Material oder Verstöße gegen Jugendschutz-Regelungen. Die Anzahl der Beschwerden über solche schwerwiegenden Rechtsverstöße sei ebenfalls zurückgegangen – um ein Viertel im Vergleich zu 2010. Zugleich aber sei ein größerer Anteil der Hinweise berechtigt – 2010 seien mehr als die Hälfte der Meldungen falscher Alarm gewesen, 2011 hätten sie aber bei vier von fünf Fällen einen Treffer gehabt, sagt Oliver Süme, Vorstand Recht und Regulierung beim eco – Verband der deutschen Internetwirtschaft. Die Bürger hätten ein Gespür dafür entwickelt, wann es richtig sei den eco einzuschalten. Sie seien sehr froh darüber, weil sie dann keine Zeit auf falsche Fährten verschwendeten. Stattdessen könnten sich die Mitarbeiter der Internet-Beschwerdestelle darauf konzentrieren, das rechtswidrige Material so schnell wie möglich aus dem Netz zu bekommen und die Strafverfolgung zu veranlassen. Insgesamt habe die Beschwerdestelle 610 Mal häufiger als im Vorjahr gegen solche rechtswidrige Inhalte vorgehen können.
Das Portal „internet-beschwerdestelle.de“ wird von den drei Beschwerdestellen von eco, FSM und jugendschutz.net gemeinsam betrieben, die im deutschen „Safer Internet Centre“ organisiert sind.

Weitere Informationen zum Thema:

eco Verband der deutschen Internetwirtschaft e.V.
Statistik / Q2/2011 bis Q4/2011

Von unserem Gastautor Klaus Schmeh

[datensicherheit.de, 14.01.2012] Die Auszeichnung „Professor des Jahres“ wird alljährlich von der Absolventenzeitschrift „UNICUM“ in Kooperation mit der Firma KPMG vergeben. Prämiert werden bundesweit Professoren, die sich in der beruflichen Qualifikation, der Orientierung der Studentinnen sowie Studenten und der Hilfestellung beim Berufseinstieg verdient gemacht haben. Während Wissenschaftler sonst vor allem nach ihren Leistungen in der Forschung beurteilt werden, steht in diesem Wettbewerb, der 2011 zum sechsten Mal stattfand, die Lehre im Vordergrund. Studenten, Kollegen und Arbeitgeber nominierten dieses Mal rund 450 Professoren, von denen eine Jury die Preisträger in vier Kategorien ermittelte.
Die Wahl in der Kategorie „Ingenieurswissenschaften/Informatik“ fiel schließlich auf Prof. Dr. Norbert Pohlmann, der an der Fachhochschule Gelsenkirchen das Institut für Internet-Sicherheit if(is) leitet.
Professor Pohlmann ist ein Urgestein der deutschen IT-Sicherheit. Vor seiner akademischen Karriere gründete er in Aachen die auf Kryptologie spezialisierte Firma KryptoKom. Nachdem diese 1999 von Utimaco übernommen wurde, stieg er in den Vorstand dieses Unternehmens auf. Bis heute verfügt Professor Pohlmann über gute Kontakte in die Industrie.

Quelle: FH Gelsenkirchen

„Professor des Jahres 2011“: Prof. Dr. Norbert Pohlmann lehrt Verteilte Systeme und Informationssicherheit an der FH Gelsenkirchen.

Professor Pohlmann überzeugte in den Augen der Jury vor allem mit innovativen Lehrmethoden und einem hohen Praxisbezug. „Für mich ist es wichtig, aktiv den Kontakt mit der Wirtschaft zu suchen und gemeinsam Forschungsprojekte zu gestalten“, so der Geehrte. Einen Nachteil hat Professor Pohlmanns Nähe zur Praxis jedoch, wie er berichtet: „Oft werben IT-Firmen meine Studierenden schon sehr früh während des Masterstudiengangs ab.“
Hinter ihm platzierten sich zwei Lehrkräfte, die nichts mit der Informationstechnologie zu tun haben: Udo Nackenhorst, Professor für Technische Mechanik an der Leibniz Universität Hannover, konnte sich über Platz 2 freuen, und auf Platz 3 landete Markus Schneider, der an der Hochschule Landshut eine Professur für Logistik, Material- und Fertigungswirtschaft innehat. Preisträger wurden auch in den Kategorien Wirtschaftswissenschaften/Jura, Geistes-, Gesellschafts- und Kulturwissenschaften sowie Naturwissenschaften/Medizin gekürt.

© Klaus Schmeh

Klaus Schmeh ist u.a. Autor des Buchs „Kryptografie – Verfahren, Protokolle, Infrastrukturen“.

Weitere Informationen zum Thema:

if(is)
Institut für Internet-Sicherheit / Fachhochschule Gelsenkirchen

PROFESSOR DES JAHRES 2011
DIE BESTEN FÜR UNSERE STUDENTEN

datensicherheit.de, 08.2.2011
Institut für Internet-Sicherheit: Aufruf zum Mitmachtag am 8. Februar 2011

Klaus Schmeh
Herzlich willkommen auf meiner Homepage!

[datensicherheit.de, 16.12.2011] Das „Xamit Datenschutzbarometer 2011“ zeige, dass datenschutzkonform handelnde Unternehmen einen Wettbewerbsnachteil von mehr als 7,5 Milliarden Euro gegenüber solchen hätten, die gegen deutsches Datenschutzrecht verstoßen. Die jährlich erscheinende Studie weise erneut einen Anstieg der Datenschutzverstöße im Internet nach:
Im Durchschnitt hätten die Datenschutzexperten der Xamit Bewertungsgesellschaft mbH in Düsseldorf 82 Verstöße gegen deutsches Recht oder weitere Fälle von Beanstandungen pro 100 deutsche Webpräsenzen festgestellt. Das sei eine Steigerung von zwölf Prozent gegenüber 2010. Untersucht worden seien u.a. die datenschutzkonforme Nutzung von Webstatistiken, die Einbindung von Werbung durch Dritte ohne Hinweis auf die daraus gewonnenen Nutzerdaten und die Verwendung des „Like-Buttons“ von facebook.
Der seit Jahren zu beobachtende Trend hin zu immer mehr Datenschutzverstößen sei weiter ungebrochen, sagt Dr. Niels Lepperhoff, Geschäftsführer der Xamit Bewertungsgesellschaft mbH. Zugenommen habe u.a. die Verwendung von facebooks datenschutzrechtlich bedenklichen „Like-Buttons“ von 0,6 Prozent im Jahr 2010 auf 6,6 Prozent 2011. Der Einsatz nicht datenschutzkonformer Webstatistiken sei um insgesamt zwölf Prozent gestiegen. Geschuldet sei dieser Anstieg hauptsächlich dem Webstatistikdienst von „Google Analytics“. Dieser werde auf nunmehr 22 Prozent der deutschen Webseiten in der nicht anonymisierenden Form eingesetzt und sei so nach deutschem Recht nicht datenschutzkonform.
Solange sich Datenschutzverstöße für Unternehmen finanziell lohnen, werde eine Umkehr hin zu mehr Datenschutz nach den Erfahrungen der letzten Jahre wohl nur durch harte Sanktionen erreicht werden, so Dr. Lepperhoff. Es liege nun in den Händen der Datenschutz-Aufsichtsbehörden, ihre gewonnene Unabhängigkeit zu nutzen, um die Grundrechte aller zu schützen und für faire Wettbewerbsbedingungen zu sorgen.

Abbildung: XAMIT Bewertungsgesellschaft mbH, Düsseldorf

Milliardengewinne für Unternehmen durch Datenschutzverstöße

Seit 2009 dokumentiert das „Xamit Datenschutzbarometer“ die Stellenausstattung der deutschen Datenschutzaufsicht. Dieses Jahr stehen den Aufsichtsbehörden demnach für den nicht-öffentlichen Bereich für die Kontrolle, Beratung und weitere Tätigkeiten bundesweit durchschnittlich 3,6 Vollzeitstellen pro 100.000 Unternehmen zur Verfügung – etwas mehr als 2010. Angesichts der steigenden Fallzahlen sei die Stellenausstattung der Datenschutz-Aufsichtsbehörden laut Dr. Lepperhoff immer noch nicht ausreichend. Hinzu komme, dass den Behörden teilweise sogar die Befugnis fehle, Datenschutzverstöße mit Bußgeldern zu ahnden. Da müssten sich die Politiker fragen lassen, wie ernst sie es mit dem Datenschutz der ihnen anvertrauten Bürger nehmen.
Das vollständige „Xamit Datenschutzbarometer 2011“ steht ab sofort zum kostenlosen Download bereit.

Weitere Informationen zum Thema:

Xamit Datenschutzbarometer 2011:
Milliardengewinne durch Datenschutzverstöße

[datensicherheit.de, 15.12.2011] Vom Blitzschlag bis zum tierischen Unfall, vom kleinen Klick an der falschen Stelle bis zur Verkettung unglücklicher Umstände reichten die Ursachen für die „Top 10“ der Datenverlustfälle 2011. Jedes Jahr wählen Kroll Ontracks Datenrettungs-Ingenieure für diese Hitliste die kuriosesten und dramatischsten Fälle aus den hauseigenen Laboren aus:
Die Fälle zeigten, dass sich der Verlust wichtiger Daten nicht immer vermeiden lasse – aber dass er zum Glück nicht immer endgültig sein müsse. In den meisten Fällen hätten die Ingenieure mit ihren mehr als 25 Jahren Erfahrung und spezialisierten Technologien für die Datenrettung die verlorenen Informationen komplett wiederherstellen können.
Ihre Erfahrung zeige immer wieder – wer wichtige oder wertvolle Daten verliert, sollte am besten sofort professionelle Hilfe in Anspruch nehmen, kommentiert Peter Böhret, „Managing Director“ bei Kroll Ontrack, die Hitliste der Datenverluste 2011. In ihren weltweiten Labors könnten sie zwar immer wieder Daten retten, die sogar andere Unternehmen als nicht wiederherstellbar eingestuft hätten. Allzu häufig sähen wir jedoch auch, dass zunächst versucht werde, Daten selbst zu retten oder nach der billigsten Lösung zu suchen. Das ende häufig damit, dass sich Daten nicht oder nur mit höherem Aufwand retten ließen.

Weitere Informationen zum Thema:

Ontrack Data Recovery
Top 10 Datenverluste 2011

[datensicherheit.de, 09.11.2011] Datensicherheit werde in deutschen Unternehmen laut einer Umfrage des Sicherheitsexperten Cyber-Ark auf der diesjährigen IT-Security-Messe „it-sa“ weiterhin nicht ernst genug genommen:
Besonders besorgniserregend sei, dass fast 50 Prozent der befragten Unternehmen es nicht einmal für nötig hielten, ihre Administratoren-Passwörter überhaupt oder zumindest regelmäßig zu ändern.
Cyber-Ark hat nach eigenen Angaben auf der „it-sa 2011“ unter den Ausstellern und Besuchern eine Umfrage zur Datensicherheit und zum Passwort-Management durchgeführt. Dabei seien IT-Experten aus 286 Unternehmen interviewt worden. Eine zentrale Frage der Untersuchung habe gelautet: „Wie oft werden bei Ihnen im Unternehmen die Passwörter von Administratoren geändert?“
38 Prozent der Interviewten hätten geantwortet, dass sie ihre Passwörter nur in unregelmäßigen Abständen änderten. Bei neuen Prozent der Befragten würden diese Passwörter überhaupt nicht geändert. Dieses Ergebnis sei erschreckend – ein zyklischer Wechsel von Administratoren-Passwörtern, beispielsweise jeden Monat, sollte heute eigentlich Standard sein, betont Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Schließlich könne man mit diesen Passwörtern auf alle vertraulichen Datenbestände ungehindert zugreifen. Wenn Unternehmen dazu keine adäquaten Security-Maßnahmen träfen, sei das in ihren Augen eindeutig fahrlässig.

Abbildung: Cyber-Ark Software Ltd., Heilbronn

Umfrage auf der „it-sa 2011“ zur Änderung der Passwörter: Erschreckendes Ergebnis…

Die Problematik, die sich durch ein fehlendes oder unzureichendes Management von Administratoren-Accounts für Unternehmen ergebe, zeige die Cyber-Ark-Untersuchung – so hätten 30 Prozent der Befragten angeführt, dass sie unter Umgehung der dort implementierten Sicherheitsmaßnahmen unbemerkt auf vertrauliche Daten zugreifen könnten. Dass dies nicht nur ein hypothetisches, sondern auch ein reales Sicherheitsrisiko sei, zeige eine weitere Zahl: Zwölf Prozent der befragten Unternehmen hätten bestätigt, dass sie bereits einmal Opfer von Insiderspionage beziehungsweise -sabotage geworden seien.
Es sei heute jedem klar, dass Gefahren für die IT-Sicherheit von Unternehmen nicht nur von außen, sondern auch von innen drohten, so Koehler. Dabei sollte man nicht zuletzt auch den Bereich der administrativen Benutzerkonten im Auge haben. Denn diese ermöglichten gerade einem Personenkreis uneingeschränkten Zugriff, der mit den Daten an sich nichts zu tun habe, sondern ausschließlich deren Verfügbarkeit gewährleisten müsse. Die Passwörter zu solchen privilegierten Accounts gehörten deshalb sicher verwaltet und ihre Nutzung protokolliert.
Nach wie vor machen sich laut Cyber-Ark viele Unternehmen die Verwaltung von Admin-Passwörtern unnötig schwer. So gebe es oftmals noch eine manuelle Änderung von Passwörtern. Bei der normalerweise großen Anzahl an Servern, Netzwerkgeräten und Applikationen sei dies allerdings extrem zeitaufwändig und fehlerbehaftet. Auch proprietäre Lösungsansätze zur Passwort-Verwaltung fänden sich. Ihr Nachteil sei, dass sie kaum die erforderliche Anzahl an unterschiedlichen Plattformen unterstützen könnten und sie erforderten zudem einen hohen Entwicklungs- und Wartungsaufwand. Darüber hinaus kämen auch Tools zum Einsatz, die zwar eine Speicherung der Passwörter, aber keine automatische Änderung ermöglichten. Bestätigt werde diese Cyber-Ark-Einschätzung auch durch das Umfrageergebnis auf der „it-sa“ – auf die Frage „Gibt es bei Ihnen im Unternehmen eine Lösung zur automatischen (nicht manuellen) Verwaltung von Administrator-Passwörtern?“ hätten 54 Prozent mit „nein“ geantwortet.
Gerade im Hinblick auf eine Erhöhung der Sicherheit und einen reduzierten Administrationsaufwand sollte laut Koehler jedes Unternehmen über die Implementierung zuverlässiger und vor allem einfach zu pflegender Passwort-Management-Applikationen nachdenken – entsprechende kostengünstige Lösungen für die automatische Verwaltung von privilegierten Administratoren-Accounts einschließlich vollständiger Zugriffskontrolle und Protokollierung der Nutzung seien heute auf dem Markt verfügbar.

[datensicherheit.de, 09.11.2011] Das Interesse an der Teilnahme an staatlichen Programmen zum Schutz kritischer Infrastrukturen sei in Unternehmen im Vergleich zu 2010 weltweit gesunken:
In Deutschland wüssten nur 34 Prozent der Firmen von derartigen Programmen – dies sei das Ergebnis der „Critical Infrastructure Protection (CIP) Survey 2011“, bei der Symantec bereits zum zweiten Mal Unternehmen aus Schlüsselindustrien wie Banken oder der Energieversorgung befragte.

Abbildung: Symantec (Deutschland) GmbH, München

Schutz kritischer Infrastrukturen: Wie relevant ist dieses Thema für Ihr Unternehmen?

Hinzu komme, dass Unternehmen weniger Ressourcen für die Sicherheit ihrer IT bereitstellten. Dies sei besonders beunruhigend, da ein Cyber-Angriff auf Unternehmen mit kritischen Infrastrukturen weitreichende Folgen für die nationale Sicherheit haben könne.

Weitere Informationen zum Thema:

Symantec, 08.11.2011
Symantec-Studie zeigt sinkendes Interesse an Cybergefahren bei Betreibern kritischer Infrastrukturen