„Sichere Nutzung von Large Language Models (LLM)“ am 12. März 2025

[datensicherheit.de, 03.03.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum „Awareness“-Seminar mit dem Titel „Sichere Nutzung von Large Language Models (LLM)“ ein. Es findet online am 12. März 2025, von 16 bis 17 Uhr, statt.

Abbildung: it’s.BB e.V.

LLM-Nutzung berührt verschiedene Aspekte der Datensicherheit

LLM-Nutzung in Unternehmen bietet zahlreiche Vorteile, wirft aber auch Fragen der Sicherheit auf

LLM finden demnach in Unternehmen mittlerweile vielfältige Anwendungen – von der Beantwortung von Kundenanfragen bis zum Wissensmanagement.

Dabei gebe es jedoch zahlreiche Risiken in Bezug auf Datenschutz und den Schutz vertraulicher Informationen. Das bevorstehende Web-Seminar soll aufzeigen, wie LLM sicher betrieben und genutzt werden können.

„Sichere Nutzung von Large Language Models (LLM)“

Web-Seminar am Mittwoch, dem 12. März 2025, 16.00 bis 17.00 Uhr
Das Seminar wird in Zusammenarbeit mit der IHK Berlin organisiert.
Teilnahme kostenlos, Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
– Alina Strybko, Netzwerkmanagerin it’s.BB e.V.
– Rudolf Schreiner, GF ObjectSecurity OSA GmbH
– Anna Borodenko, Referentin für Digitalisierung und Cyber-Sicherheit, IHK Berlin

16.10-16.45 Uhr

• „Risiken und Grenzen von Cloud basierten LLM (ChatGPT, DeepSeek)“
• „Lokales Hosting von LLM“
• „Optimierte Small Language Models (SLM)“
• „Einbindung eigener Dokumente mit Retrieval Augmented Generation (RAG)“
• „Zugriffskontrolle zum Schutz vertraulicher Informationen“

– Rudolf Schreiner, ObjectSecurity OSA GmbH

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Zur Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
Mittwoch, 12. März / Sichere Nutzung von Large Language Models (LLM)

Datenmodelle auf KI-Basis sollen Genauigkeit der Hochwasser-Vorhersage steigern

[datensicherheit.de, 01.03.2025] Hochwasser und Überflutungen infolge Starkregens gehören zu den größten Naturgefahren – mit gravierenden Auswirkungen auf Mensch, Natur und Infrastruktur insbesondere in kleinen Fluss-Einzugsgebieten. Im Rahmen des vom Karlsruher Institut für Technologie (KIT) koordinierten Projektes „KI-HopE-De“ („Kl-gestützte Hochwasserprognose für kleine Einzugsgebiete in Deutschland“) sollen nach KIT-Angaben Forscher, Wetterdienste und Hochwasserzentralen die Vorhersage solcher Gefahren in Deutschland mithilfe Methoden des Maschinellen Lernens (ML) maßgeblich verbessern. Das Bundesministerium für Bildung und Forschung (BMBF) fördere dieses kürzlich gestartete Projekt mit 1,8 Millionen Euro.

Foto: Gabriele Zachmann, KIT

Zur Verbesserung der bundesweiten Vorhersage von Hochwasser für kleine Flüsse erstellen KIT-Forscher mittels KI ein Hochwasser-Vorhersagemodell

Erstes nationales, probabilistische Hochwasser-Vorhersagemodell in der Entwicklung

Hochwasser-Ereignisse in kleinen Flusseinzugsgebieten – d.h. Flächen von etwa fünf bis 500 Quadratkilometern – träten bei extremen Wetterbedingungen schnell und lokal auf. Dies verkürze die Vorwarnzeiten und erhöhe die Unsicherheiten der meteorologischen und hydrologischen Vorhersagen. Die Bundesländer veröffentlichten deshalb für kleinere Flüsse meist nur regionale, einzugsgebiets- oder landkreisbezogene Warnstufen und keine detaillierten Vorhersagen.

„Unser Hauptziel ist es daher, das erste nationale, probabilistische Hochwasser-Vorhersagemodell zu entwickeln, das eine konsistente und zuverlässige Vorhersage für das gesamte Bundesgebiet ermöglicht“, erläutert Projektleiter Dr. Ralf Loritz vom „Institut für Wasser und Umwelt“ des KIT.

Um solche kurzfristigen Hochwasser-Vorhersagen von bis zu 48 Stunden für kleine Einzugsgebiete erstmals möglich zu machen und sie effizienter, robuster und flexibler zu gestalten, untersuchten und entwickelten Forscher im Verbundprojekt „KI-HopE-De“ KI-Methoden.

KI-Hochwasser-Vorhersage physikalisch basierten Modellen mindestens ebenbürtig und teilweise bereits überlegen

Dr. Loritz führt aus: „Wir wollen einen umfassenden hydro-meteorologischen Datensatz erstellen, der weltweit öffentlich zugänglich ist und sowohl Mess- als auch Vorhersagedaten enthält. Diese beziehen wir aus eigenen Quellen sowie vom Deutschen Wetterdienst und über verschiedene Landesumweltämter aus ganz Deutschland.“

Der Datensatz solle dann die Grundlage bilden, um künftig hydrologische Vorhersagemodelle zu trainieren und zu vergleichen. Dr. Loritz schätzt das Potenzial moderner ML-Methoden hierzu als „enorm“ ein – diese seien in der Lage, komplexe Zusammenhänge in hydrologischen Datensätzen zu erlernen und so robuste und recheneffiziente Simulationen auf Basis hydro-meteorologischer Messdaten und numerischer Wettervorhersagen zu generieren.

„Die Forschung zeigt, dass diese Modelle physikalisch basierten Modellen, wie sie aktuell in der Hochwasser-Vorhersage eingesetzt werden, mindestens ebenbürtig und teilweise bereits überlegen sind“, zeigt sich der KIT-Hydrologe überzeugt.

Prototypische Plattform angestrebt, welche von allen Hochwasser-Vorhersagezentren in Deutschland übernommen werden könnte

Das Projekt „KI-HopE-De“ sei interdisziplinär und institutionenübergreifend angelegt: „Es bündelt Expertise aus Hydrologie, Meteorologie sowie Maschinellem Lernen und verbindet Universitäten, nationale Großforschungseinrichtungen sowie Landes- und Bundesbehörden.“ Neben dem KIT seien der Deutsche Wetterdienst (DWD), das Landesamt für Umwelt Rheinland-Pfalz (LfU RP) und das Landesamt für Natur, Umwelt und Verbraucherschutz Nordrhein-Westfalen (LANUV NRW) Projektpartner.

„Wir erforschen und entwickeln die Modelle von Anfang an gemeinsam mit den späteren Anwendern – in diesem Fall den Landesbehörden“, so Dr. Loritz. Damit stellten sie eine anwendungsorientierte Prototypenentwicklung sowie den Kompetenzaufbau bei den späteren Nutzern sicher und erleichterten so den Praxistransfer.

Mit „KI-HopE-De“ möchten die Forscher wesentlich zur öffentlichen Sicherheit und zum Hochwasserschutz beitragen. Professor Peter Knippertz vom Institut für Meteorologie und Klimaforschung Troposphärenforschung des KIT, einer der Projektverantwortlichen, erklärt abschließend: „Wir schaffen eine innovative, prototypische Plattform, die potenziell von allen Hochwasser-Vorhersagezentren in Deutschland übernommen werden könnte.“

Weitere Informationen zum Thema:

KIT, Institut für Wasser und Umwelt – Hydrologie, Dr. Ralf Loritz
KI-HopE-De – KI-gestützte Hochwasserprognose für kleine Einzugsgebiete in Deutschland

[datensicherheit.de, 09.02.2025] Die Wirtschaft, Staaten und die KI forderten immer mehr Daten – von allem und jedem. „Unerheblich, welcher Initiator dahinter steckt, – sensible Daten müssen konsequent durch funktionserhaltende Verschlüsselung geschützt werden“, betont die Eperi GmbH in ihrer aktuellen Stellungnahme.

Ergebnisse groß angelegter Datenerhebung und -auswertung bei sinnvoller Zweckbindung sogar zu rechtfertigen

„Werden bald noch mehr persönliche Daten beispielsweise bei Behörden, Forschungseinrichtungen oder Krankenkassen gespeichert? Wenn es nach den jüngsten Ideen von Friedrich Merz geht, schon!“ Denn er schlägt demnach vor, dass die Krankenkassen ihren Mitgliedern einen Rabatt gewähren, wenn diese ihre Patientendaten elektronisch zur Verfügung stellen. Dies sei nur ein Beispiel von vielen; es gebe zahlreiche Bestrebungen dieser Art. Auch die Polizei und der Grenzschutz wünschten sich mehr Daten, um effizienter arbeiten zu können.

Ungeachtet der Diskussion über „richtig, falsch, ethisch oder fair“, würden sich der Staat und die Wirtschaft den Vorteilen einer gezielten und KI-unterstützen Datenerfassung und -auswertung nicht entziehen können, wollten sie mit anderen Regionen der Erde schritthalten. In vielen Fällen könne man das Ergebnis einer groß angelegten Datenerhebung und -auswertung sogar rechtfertigen – „vorausgesetzt, sie werden nicht beliebig oder mit bösen Absichten genutzt!“

Gezielte Datenverschlüsselung probates Mittel, um sensible Daten jeglicher schützen

„Der wichtigste Punkt an dieser Diskussion ist, über die Sicherheit der Daten zu sprechen. Es gilt jegliche persönlichen oder geheimen Daten vor denjenigen zu schützen, die unbefugt sind, diese zu lesen und zu verarbeiten oder die sogar cyber-kriminelle Taten im Sinn haben.“ Dieses Prinzip gelte für existierende Datenpools ebenso wie für künftige Datenerfassungen wie beispielsweise im Gesundheitswesen oder der Strafverfolgung.

„Helfen kann in diesem Zusammenhang nur eine gezielte Datenverschlüsselung. Sie ist das probate Mittel, um sensible Daten jeglicher Art und vor allem an jedem Ort und insbesondere in der ,Cloud’ zu schützen“, betont Eperi-Verschlüsselungsexperte Ömer Tekin.

Funktionserhaltende Datenverschlüsselung: Anwendungen für Datenbearbeitung oder -analyse erhalten nur auf ganz bestimmte Datenfelder Zugriff

„Dass eine simple Verschlüsselung nicht zielführend ist, ist Datenschutzexperten klar. Denn entweder können die Daten im verschlüsselten Zustand nicht verarbeitet werden oder die Daten müssten für die Verarbeitung entschlüsselt werden, womit der Datenschutz empfindlich unterbrochen wäre.“ Die sinnvolle Alternative sei eine funktionserhaltende Datenverschlüsselung. Damit hätten Anwendungen für die Datenbearbeitung oder -analyse nur auf ganz bestimmte Datenfelder Zugriff.

Tekin erläutert: „Und selbst dieser Datenzugriff unterliegt einer lückenlosen Tokenisierung, womit der Datenschutz selbst im Falle einer Cyber-Attacke mit dem Diebstahl der Daten durchgängig gewährleistet ist.“ Sein Fazit: Niemand werde sich auf lange Sicht der Datengier unserer Tage entziehen können und schon allein aus diesem Grund sollten die Verantwortlichen vorausschauend agieren und die nötigen Weichen stellen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.01.2025
Der Europäische Datenschutztag am 28. Januar soll Bürger sensibilisieren, die eigenen Daten besser zu schützen / 2025 steht die Rolle des Datenschutzes als Schutz der demokratischen Gesellschaft vor übermäßigen Eingriffen in die Privatsphäre der Bürger durch öffentliche oder private Akteure im Fokus

datensicherheit.de, 21.11.2024
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient / Elektronische Patientenakte (ePA) kommt nun 2025 – Risiken und Nebenwirkungen werden nicht thematisiert, weshalb Datenschützer empfehlen sich zu informieren und zu widersprechen

datensicherheit.de, 21.10.2021
Starke Verschlüsselung: Einmischung gefährdet Öffentlichkeit und Wirtschaft / Zivile Organisationen und Technologieunternehmen aus aller Welt haben sich am ersten Globalen Verschlüsselungstag zusammengeschlossen

In der Urlaubszeit nimmt die Nutzung mobiler Geräte zu – dies wissen auch Cyber-Kriminelle und nutzen die Gelegenheit

[datensicherheit.de, 21.08.2024] Marco Eggerling, „Global CISO“ bei Check Point, weist in seiner aktuellen Stellungnahme darauf hin, wie insbesondere Urlauber Cyber-Bedrohungen ausgesetzt sind und wie sie sich entsprechend schützen sollten: Insbesondere in der Ferienzeit (aber nicht nur dann) gilt es demnach trotz gefühlter Leichtigkeit und entspanntem Lebensgefühl, den Schutz vor Cyber-Kriminellen im Auge zu behalten – d.h. u.a. unsichere WIFI-Netzwerke zu meiden, 2FA zu aktivieren sowie die IT-Geräte kühl zu halten und regelmäßig zu aktualisieren.

Foto: Check Point Software

Marco Eggerling gibt Tipps zur Urlaubszeit: Wenn wir ein paar einfache Schutzmaßnahmen befolgen, können wir die meisten Cyber-Angriffe verhindern und unsere Daten schützen!

Verstärkte Nutzung von Smartphones im Urlaub lockt Cyber-Kriminelle an

In der Ferien- und Reisezeit nehme die Nutzung mobiler Geräte zu – dies wüssten auch Cyber-Kriminelle und deshalb warnt die Check Point® Software Technologies vor Hackern, welche aus der verstärkten Nutzung von Smartphones im Urlaub Kapital schlagen könnten. Eggerling erläutert: „Laut den neuesten Daten des ,Check Point Software Threat Intelligence Reports’ für Juli 2024 war jedes vierte Unternehmen von einem bösartigen Vorfall betroffen. 179 verschiedene betrügerische Anwendungen und 16.777 schadhafte Apps wurden identifiziert.“

„Joker“ z.B., eine „Android“-Spyware auf „Google Play“ stehle SMS-Nachrichten, Kontaktlisten und Geräteinformationen – „sie ist eine der am weitesten verbreiteten mobilen Malware“. Im „Threat Index“ der Forschungseinheit „Check Point Research“ gelte es außerdem vor „Anubis“ (ein für „Android“-Mobiltelefone entwickelter Banking-Trojaner) und „AhMyth“ (ein Trojaner für den Fernzugriff) auf der Hut zu sein.

Smartphone-Nutzer gehen Urlaubszeit – und dann auch oft das Thema Cyber-Sicherheit – etwas lockerer an

Hacker setzten darauf, dass Smartphone-Nutzer nicht nur die Urlaubszeit, sondern auch das Thema Cyber-Sicherheit etwas lockerer angingen. „Sie erstellen beispielsweise täuschend echte Phishing-Websites, die aussehen, wie die bekannter Banken und Finanzdienstleister, um persönliche Informationen zu stehlen, indem sie die Benutzer zur Eingabe ihrer Daten verleiten“, berichtet Eggerling.

Darüber hinaus könne die Verbindung mit öffentlichen Wi-Fi-Netzwerken in Hotels und Cafés gefährlich sein, da Cyber-Kriminelle die Kommunikation abfangen und verändern könnten, um an sensible Daten zu gelangen. Auch beim Herunterladen von Anwendungen aus inoffiziellen Quellen sei Vorsicht geboten: „Sie können Malware enthalten, die Informationen stiehlt oder darauf abzielt, das Gerät zu kontrollieren, ohne dass der Benutzer davon weiß.“

Smartphone-Besitzer sollten folgende Tipps beherzigen, um entspannt ihren Urlaub genießen zu können:

1. Ungeschützte Wi-Fi-Netzwerke vermeiden wie die Mittagssonne
„So wie es nicht ratsam ist, sich ohne Sonnenschutzmittel der gleißenden Mittagssonne auszusetzen, sollte man tunlichst vermeiden, sich mit offenen und ungeschützten Wi-Fi-Netzwerken zu verbinden.“ Cyber-Kriminelle nutzten öffentliche Netzwerke, z.B. in Cafés, Hotels und Flughäfen, um die persönlichen Daten der Nutzer abzufangen. Diese sollten nur Wi-Fi-Netzwerke verwenden, welche ein Passwort erfordern, und sicherzustellen, dass die Verbindung verschlüsselt ist. Außerdem sollten Nutzer immer daran denken, eine VPN-Verbindung (Virtuelles Privates Netzwerk) zu verwenden, um eine zusätzliche Schutzebene zu schaffen und die Daten vor neugierigen Blicken zu schützen.

2. Sichere Selfies am Strand
„Das Teilen von Fotos und Selfies am Strand gehört zum Urlaub dazu, aber Achtung: Nutzer sollten die Sicherheitseinstellungen der Apps studieren, die sie verwenden!“ Heutzutage sei es unerlässlich, in Sozialen Netzwerken die Zwei-Faktor-Authentifizierung (2FA) aktiviert zu haben. Diese Sicherheitsmaßnahme erfordere einen zweiten Verifizierungsschritt, „z.B. einen Code, der an das Mobiltelefon gesendet wird, zusätzlich zu dem üblichen Passwort“.

3. Geräte kühlen und schützen
„Extreme Hitze ist für elektronische Geräte so gefährlich wie für ihre Benutzer: Sie beschädigt diese und kann ihre Leistung und Lebensdauer verringern. Daher sollten Benutzer sie keinesfalls direkter Sonneneinstrahlung aussetzen, sondern einen kühlen und schattigen Ort wählen, um sie aufzubewahren.“ Ein weiterer wichtiger Punkt sei die Installation einer Sicherheitslösung, um Bedrohungen zu erkennen und zu beseitigen, bevor sie dem Gerät schaden. Regelmäßige Software- und Anwendungsupdates führten nicht nur neue Funktionen ein, „sondern beheben auch Schwachstellen, die von Cyber-Kriminellen ausgenutzt werden könnten“.

4. Vorsicht vor Phishing
Die Sorglosigkeit im Urlaub könne Nutzer anfällig machen für Phishing-Fallen. „Diese Angriffe erfolgen über E-Mails, Textnachrichten oder sogar Soziale Netzwerke und geben vor, von vertrauenswürdigen Quellen zu stammen. Auch im Sommer ist es wichtig, nicht unvorsichtig zu sein und niemals auf Links zu klicken oder Dateien von unbekannten Absendern herunterzuladen!“ Bei verdächtig anmutenden E-Mails sollte die Echtheit der Nachricht überprüft werden, bevor man auf diese antwortet. Hierzu sei es ratsam, die Original-Website des Absenders über eine Internet-Suchmaschine aufzusuchen, „um zu überprüfen, ob die erhaltenen Informationen echt sind“.

5. Endgeräte aktuell halten
„Einer der Schlüssel zur Sicherheit, den viele Menschen übersehen, ist die ständige Aktualisierung aller Geräte mit den neuesten Patches und Software-Updates.“ Jede Aktualisierung verbessere die Sicherheit, indem sie mögliche Fehler und Schwachstellen behebe, welche von Cyber-Kriminellen ausgenutzt werden könnten. Um dies zu erreichen, sei es ratsam, die Geräte so einzustellen, „dass sie automatisch aktualisiert werden, damit sie stets vor den neuesten Bedrohungen geschützt sind“. Diese einfache Maßnahme könne den entscheidenden Unterschied bei der Abwehr von Cyber-Angriffen ausmachen.

Entspannte Urlaubszeit genießen – und darum Wachsamkeit beibehalten!

„Der Sommer ist eine Zeit der Entspannung, aber wir dürfen unsere Wachsamkeit nicht vernachlässigen, wenn es um die Cyber-Sicherheit geht“, betont Eggerling.

Damit wir unseren Urlaub unbeschwert genießen können, müssten wir unsere Geräte schützen: „Wenn wir ein paar einfache Schutzmaßnahmen befolgen, können wir die meisten Cyber-Angriffe verhindern und unsere Daten schützen“, so Eggerlings Empfehlung (nicht nur für die Urlaubszeit).

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2024
Urlaub kommt so unerwartet wie Weihnachten: Aufmerksamkeitsdefizite bei der Cyber-Sicherheit drohen / Sophos gibt Tipps, um insbesondere die Ferienzeit ohne „Cyber-Frust“ genießen zu können

datensicherheit.de, 22.06.2024
Cyber-Gefahren im Urlaub: Vier von fünf Deutschen ignorieren Risiken öffentlicher WLAN-Netze / Genau hierbei lauern erhebliche Risiken wie das Mitlesen des Datenverkehrs durch Cyber-Kriminelle

datensicherheit.de, 11.06.2024
Check Point: Warnung vor Betrug bei der Urlaubsbuchung / Check Point Research gibt Tipps, wie sich Nutzer schützen können

datensicherheit.de, 22.04.2024
KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren / Bevorstehenden Pfingst- und Sommerferien sich auch wieder Hochsaison für Cyber-Kriminelle

datensicherheit.de, 10.08.2023
Urlaubszeit als Festsaison für Cyber-Kriminelle: Warnende Erkenntnisse von NordVPN / Adrianus Warmenhoven, Experte für Cyber-Sicherheit bei NordVPN, erläutert die Gefahren der Veröffentlichung von Urlaubsfotos im Internet

[datensicherheit.de, 23.02.2023] Laut einer aktuellen Meldung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist mit der Etablierung von „Cell Broadcast“ als weiteres Warnmittel „ein weiterer wichtiger Schritt zur Stärkung des Bevölkerungsschutzes erreicht“.

Cell Broadcast seit 23. Februar 2023 endgültig im Wirkbetrieb

Nach erfolgreichem Probebetrieb am „Warntag 2022“ sei „Cell Broadcast“ nun am 23. Februar 2023 endgültig in den Wirkbetrieb gegangen:

„Nun können auch alle Lagezentren der Bundesländer eine Warnung über ,Cell Broadcast’ zusätzlich zu den bereits existierenden Warnmitteln auslösen.“ Damit sei ein weiterer wichtiger Schritt zur Stärkung des Bevölkerungsschutzes erreicht worden.

Cell Broadcast als Erweiterung der in Deutschland verwendeten Warnmittel

„Cell Broadcast“ ist demnach eine Warnnachricht, welche direkt auf das Mobiltelefon geschickt wird. Über kein anderes Warnmittel könnten mehr Menschen erreicht werden.

„Cell Broadcast“ stelle somit eine wichtige Erweiterung der in Deutschland verwendeten Warnmittel wie z.B. Sirenen, Radio und Fernsehen, Warn-Apps oder digitale Stadtinformationstafeln dar.

Cell Broadcast: Warnungen nutzen Standardtechnologie des Mobilfunknetzes

Für „Cell Broadcast“-Warnungen werde eine Standardtechnologie des Mobilfunknetzes genutzt: „Handys und Smartphones registrieren sich automatisch in einer sogenannten Funkzelle, über die ein Netzempfang hergestellt wird.“

Der Vorteil dabei sei, dass so alle Personen anonym erreicht werden könnten. Der hierfür erforderliche Datenverkehr werde auch durch ein erhöhtes Aufkommen an Mobilfunk-Gesprächen nicht beeinflusst – „so funktioniert ,Cell Broadcast’ auch in stark ausgelasteten Netzen“.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
BBK / Cell Broadcast

datensicherheit.de, 08.12.2022
Warntag 2022: BBK meldet Erfolg / Warnsysteme haben ausgelöst – bundesweit erstmalige Erprobung von Cell Broadcast

[datensicherheit.de, 26.04.2022] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) unterstreicht in seiner aktuellen Stellungnahme, „dass auch nach drei Jahren Geltung des Geschäftsgeheimnisschutz-Gesetzes viele Unternehmen die Anforderungen an den Schutz nicht kennen oder nicht wirksam umsetzen“:

Schutz von Know-how, Betriebsgeheimnissen und internem Sonderwissen laut TeleTrusT europaweit auf neue Stufe gehoben

Vor genau drei Jahren sei das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten.

„Damit wurde der Schutz von Know-how, Betriebsgeheimnissen und internem Sonderwissen europaweit auf eine neue Stufe gehoben.“

Geschäftsgeheimnisse könnten mannigfache Informationen sein, z.B. aus den Bereichen Entwicklung, Fertigung, Vertrieb, Marketing, Forschung und nicht zuletzt IT und auch IT-Sicherheit.

TeleTrusT: Geheimnisse im Unternehmen auch tatsächlich schützen!

Inzwischen lägen die ersten Gerichtsurteile vor. RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender und Leiter der TeleTrusT-AG „Recht“ erläutert: „Es zeigt sich, dass der gesetzliche Schutz von Know-how Zähne hat. Während es nach dem alten Recht oft schwierig war, darzulegen und zu beweisen, dass ein Geheimnis rechtswidrig verwendet worden ist, erleichtert die neue gesetzliche Grundlage diesen Schritt erheblich.“

Viele Unternehmen unterschätzten jedoch zum einen den breiten Anwendungsbereich des Gesetzes und damit „die Vielfältigkeit der Informationen, die geschützt werden können“.

Zum anderen zeige sich eine Herausforderung auf anderer Ebene: „Der neue Schutz des Geschäftsgeheimnisses setzt voraus, dass die Geheimnisse im Unternehmen auch tatsächlich geschützt werden.“

TeleTrusT sieht Informations- und IT-Sicherheit einmal mehr im Blickpunkt jeder Geschäftsführung

Es seien also technische und organisatorische Maßnahmen, sogenannte angemessene Geheimhaltungsmaßnahmen, zu ergreifen und nachweisbar zu dokumentieren, wenn der Schutz gegenüber Dritten in Anspruch genommen werden soll.

„Gibt es diese Maßnahmen nicht im gesetzlichen Umfang oder können sie im Verfahren nicht nachgewiesen werden, wird der Prozess verloren“, stellt Bartels klar.

Damit rücke die Informations- und IT-Sicherheit einmal mehr in den Blickpunkt einer jeden Geschäftsführung. Ohne IT-Sicherheit lasse sich ein Geschäftsgeheimnis weder tatsächlich bewahren noch rechtlich schützen.

 „Cloud Security 2021“ kürzlich vorgestellt

[datensicherheit.de, 21.05.2021] Datenklassifizierung ist wie ein guter Vorsatz, den man zu Silvester für das neue Jahr fasst. Man weiß, dass es irgendwie sinnvoll ist, und doch schiebt man es immer wieder auf – schließlich ging es bisher ja auch ohne. Doch spätestens, wenn die Firmendaten in die Cloud wandern, sollte man sie zuvor umfassend kategorisiert haben.

Studie zeigt: Datenklassifizierung ist auf dem Radar

Die kürzlich vorgestellte IDG Studie „Cloud Security 2021“ [1] beschäftigt sich mit dem großen Thema der Datensicherheit in der Cloud und beleuchtet viele zentrale Aspekte, wie beispielsweise Verschlüsselung, Datendiebstahl oder das geplante Security-Budget der befragten Firmen. Auch das bisweilen stiefmütterlich behandelte Thema Datenkategorisierung wird unter die Lupe genommen. Die Ergebnisse zeigen deutlich, dass die Notwendigkeit für eine Klassifizierung der firmeneigenen Daten von den meisten Studienteilnehmern erkannt wurde. Immerhin antworten 53 Prozent der Entscheider auf die Frage „Erfolgt in Ihrem Unternehmen eine Kategorisierung, welche Art von Daten bzw. Dokumenten mit welchen Cloud-Diensten verarbeitet werden darf“ mit einem entscheidenden „JA“; wichtigstes Kriterium hierbei ist die Verwendung der Daten. Elf Prozent der befragten DACH-Unternehmen planen hingegen keine Kategorisierung vor der Datenübertragung in die Cloud.

Knapp ein Drittel der Entscheider will Daten zukünftig klassifizieren

Ganze 29 Prozent – und somit knapp ein Drittel aller Entscheider – haben zumindest vor, ihre Daten zukünftig einer Klassifizierung zu unterziehen, bevor sie diese in die Cloud übermitteln. Doch damit verschieben sie die nicht unerhebliche Entscheidung einer klaren Trennung ihrer Daten auf eine ungewisse Zukunft; vielleicht passiert dies noch vor der ins Auge gefassten Cloud-Migration – vielleicht aber auch erst Monate oder gar Jahre später. Dieses zögerliche Entscheidungsverhalten birgt große Risiken. Denn spätestens, wenn unternehmenskritische Daten aufgrund einer aufgeschobenen Klassifizierung in die falschen Hände gelangen, wird den Verantwortlichen das Gewicht ihrer Versäumnisse bewusst. Dies spielt besonders bei stark regulierten Branchen, die derzeit verstärkt in die Cloud drängen, eine entscheidende Rolle [2].

Karl Altmann, CEO uniscon, Bild: uniscon

„Ein Datenleck von personenbezogenen Daten kann schnell hohe DSGVO-Bußgeldzahlungen nach sich ziehen.“ warnt Karl Altmann, CEO des Münchner Business-Cloud-Anbieters uniscon.

Daher sei allen IT-Verantwortlichen angeraten, sich unbedingt vor der Cloud-Migration die nötigen Gedanken über eine Unterteilung ihres Datenbestandes gemäß ihrer Kritikalität zu machen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit

privacyblog
IDG Studie „Cloud Security 2021“: Datenklassifizierung in der Cloud

Fast jeder schon mal von E-Mail-Phishing betroffen

[datensicherheit.de, 29.03.2021] KnowBe4 hat nach eigenen Angaben die Schutzmaßnahmen und die Häufigkeit von verschiedenen Phishing-Arten untersucht. Diese Umfrage, an der demnach 180 Verbraucher aus Deutschland teilgenommen haben, zeige, „dass fast jeder schon mal von E-Mail-Phishing betroffen war und die wenigsten von ,Vishing‘, also Phishing per Anruf“ – dazu zähle zum Beispiel der sogenannte „Enkeltrick“. „Die Angriffe werden zudem immer raffinierter, Arbeitnehmer – gerade auch im Home-Office – sind folglich laufend komplexer werdenden Manipulationstechniken durch ,Social Engineering‘ ausgesetzt.“ Schulungen in diesem Bereich seien deshalb eine wichtige Maßnahme, um dieses Einfallstor zu schließen.

KnowBe4-Umfrage: Erfahrungen mit Phishing-Attacken

Vishing, Smishing, Social Media und Website Phishing

So gut wie jeder, der ein E-Mail-Account hat, habe bereits Erfahrung mit Phishing gemacht: Kaufangebote, die zum schnellen Klick verleiten, aber auch falsche E-Mails, die angeblich von der eigenen Bank stammen oder Geldtransfer-Aufforderungen seien häufig Thema dieser Masche. Viele Computerbesitzer wüssten jedoch nicht, dass Datendiebstahl per E-Mail nicht die einzige Form dieser Angriffstechnik ist.
Es gebe noch viele andere Versionen, beispielweise „Vishing“, („Voice Phishing“), „Smishing“ („SMS Phishing“), „Social Media Phishing“ und „Website Phishing“ (verseuchte „Adware“). Denn auch harmlos aussehende Anzeigen auf Webseiten könnten Fallen darstellen. „,Social Media Phishing‘ zeige sich in Form von ,Bots‘ und ,Fake Shops‘, die angeklickt werden können oder häufig Links anbieten“.

E-Mail-Phishing immer noch häufigste Art der versuchten Datenabgriffe

Die Ergebnisse dieser Umfrage machten deutlich, dass E-Mail-Phishing immer noch die häufigste Art der versuchten Datenabgriffe (fast 80%) sei, gefolgt an zweiter Stelle von „Social Media Phishing“ (43%); danach folge „Website Phishing“ (35 Prozent), „SMS Phishing“ (28%) und zuletzt „Voice Phishing“ mit 20 Prozent.
Ebenfalls untersucht worden sei, wie sich die Befragten dagegen schützen. „Dabei gab die Hälfte an, eine Firewall und ein Antivirus-Programm installiert zu haben und zusätzlich noch jeden Link händisch zu prüfen, der ihnen geschickt wurde. 45 Prozent meinten, dass sie niemals auf Links klicken würden, welche ihnen übermittelt werden.“ 40 Prozent hätten angegeben, dass sie für jedes Online-Konto ein anderes Passwort nutzen würden. Ungefähr ein Drittel der Befragten gäben in Online-Shops so wenig wie möglich persönliche Daten preis. 27 Prozent meinten, dass sie nach jeder unvorsichtigen Aktion alle ihre Passwörter ändern würden. Ein Viertel sage außerdem, sie würden die betreffende Einrichtung (Bank, Online-Shop) informieren, wenn ihnen ein Anruf verdächtig vorkommt. Allerdings gäben nur zwölf Prozent an, einen verdächtig aussehenden Link selbst in die URL-Zeile händisch einzugeben, um die Adresse zu überprüfen.

So gut wie kein Befragter von Phishing verschont geblieben

Darüber hinaus sei abgefragt worden, durch welche weiteren Schutzmaßnahmen sich die Befragten sonst noch absichern. Nur 62 Prozent der Teilnehmer seien sich sicher, „dass sich auf ihrem Laptop/Computer keine wichtigen Daten befinden, deshalb würde es einem Cyber-Kriminellen nichts bringen, zu diesem Zugriff zu haben“. Nur 38 Prozent fühlten sich in der Lage, sich im Home-Office gut schützen können, da sie durch ihre Arbeitgeber im Bereich „Security Awareness“ geschult worden seien. 15 Prozent seien sogar der Meinung, dass sie zuhause einen besseren Schutz hätten als ihr Arbeitgeber.
Zusammenfassend lasse sich festhalten, dass so gut wie kein Befragter von Phishing verschont bleibe und es immer noch zu wenig Verbraucher gebe, welche wüssten, wie man sich richtig schützt. Die Mehrheit der Cyber-Attacken begännen mit Phishing. Täglich seine mehr als drei Milliarden gefälschte E-Mails im Umlauf. Für Unternehmen sei es deshalb wichtig, die „Last line of defense“, den Mitarbeiter, zu schulen und ihn für solche Angriffstechniken zu sensibilisieren, da auch E-Mail-Filter bei weitem nicht alle dieser Mails erkennen würden.

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2021
Phishing bleibt Hackers Liebling: Einem der ältesten Hacker-Tricks endlich einen Riegel vorschieben / Wenn Cyberkriminelle Zugang zu legitimen Anmeldedaten erhalten, kann dies für Unternehmen verheerende Folgen haben

datensicherheit.de, 02.03.2021
Corona-Phishing: Der erhöhten Bedrohung begegnen / m2solutions gibt Tipps zum Erkennen und zur Abwehr von Phishing-Attacken

[datensicherheit.de, 06.01.2021] Diebstahl, Schadprogramme oder Spyware: Smartphones sind offenkundig ein beliebtes Ziel für Kriminelle. Deshalb ergriffen die allermeisten Nutzer zumindest grundlegende Schutzmaßnahmen gegen unerwünschte Zugriffe: Mit 96 Prozent hätten fast alle Smartphone-Nutzer eine Bildschirmsperre eingestellt, neun von zehn (90 Prozent) einen SIM-Karten-Schutz aktiviert. Dabei sperre sich das Handy, sobald die SIM-Karte entfernt wird. Schon deutlich weniger (61 Prozent) nutzten eine Lokalisierungsfunktion zum Aufspüren des Smartphones, wenn das Gerät verloren geht oder gestohlen wird. Dies seien Ergebnisse einer repräsentativen Umfrage von mehr als 1.000 Smartphone-Nutzern in Deutschland ab 16 Jahren im Auftrag des Digitalverbands bitkom durch Bitkom Research. Dazu seien 1.198 Personen in Deutschland, darunter 1.003 Smartphone-Nutzer, telefonisch befragt worden. Die Fragen lauteten: „Welche Sicherheitsprogramme oder -maßnahmen nutzen Sie auf Ihrem privaten Smartphone?“ und „Welche Sicherheitsverfahren nutzen Sie aktuell zum Entsperren Ihres privaten Smartphones?“

Auf Basis-Schutz sollte kein Smartphone-Nutzer verzichten!

„Auf einen Basis-Schutz sollte kein Smartphone-Nutzer verzichten“, rät Sebastian Artz, IT-Sicherheitsexperte beim bitkom. Um gegen Software-Sicherheitslücken gewappnet zu sein, reiche zumeist schon das regelmäßige Aktualisieren des Smartphone-Betriebssystems und der installierten Apps.
Mehr als jeder Zweite (55 Prozent) erstelle auch regelmäßig Backups seiner Smartphone-Daten – entweder in der Cloud (31 Prozent) oder auf externen Datenspeichern (27 Prozent). Virenschutzprogramme hätten 43 Prozent installiert. Jeder Sechste (16 Prozent) decke seine Smartphone-Kamera ab und 13 Prozent nutzten einen Passwort-Safe zur sicheren und zentralen Verwaltung von Passwörtern auf dem Smartphone.

Jeder Zweite entsperrt den Smartphone-Bildschirm per Fingerabdrucksensor

Bei der Bildschirmsperre gebe es verschiedene Verfahren, aus denen Nutzer wählen könnten. Am beliebtesten sei immer noch ein Code (oder eine PIN), der zum Entsperren eingegeben werden müsse. Knapp zwei Drittel der Smartphone-Nutzer (64 Prozent) vertrauten darauf. Per Fingerabdrucksensor schütze jeder Zweite (51 Prozent) seinen Bildschirm. Ähnlich viele (50 Prozent) setzten auf ein Muster. 15 Prozent nutzten eine Gesichtserkennung, um den Smartphone-Bildschirm zu entsperren.
Bislang kaum verbreitet seien Erkennungsverfahren per Stimme (4 Prozent) oder Iris-Scan (2 Prozent). „Wichtig ist, dass die Bildschirmsperre in jedem Fall aktiviert ist“, sagt Artz und rät: „Eine PIN sollte mindestens sechsstellig und keine naheliegenden Kombinationen sein wie das eigene Geburtsdatum.“

Weitere Informationen zum Thema:

bitkom
10 Tipps, wie Sie Ihr Smartphone sicher machen

datensicherheit.de, 06.01.2021
Malware macht mobil: Zunehmend Schadsoftware auf Smartphones / PSW GROUP warnt vor DDoS-Attacken über mobile Botnetze und Verteilung von Malware über offizielle App-Stores

Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

[datensicherheit.de, 09.08.2020] Phishing gehört offensichtlich zu den erfolgreichsten Cyber-Attacken. „Es ist schon länger bekannt, dass sich auch Cyber-Kriminelle an die aktuelle Situation angepasst haben und ihre Angriffe auf Unternehmen ständig verfeinern, um zu ihrem Ziel zu gelangen“, betont Tim Berghoff, „Security Evangelist“ bei G DATA, in seiner aktuellen Stellungnahme. Laut einer kürzlich veröffentlichten Meldung von Interpol sähen sich nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt. Diese basierten oft auf einem Mangel an Informationen und einem gesteigerten Informationsbedarf in Bezug auf Themen rund um die „Corona“-Thematik. Dem entgegen stehe das zu Beginn der Krise von einigen Hacker-Gruppen gegebene Versprechen, während der „Pandemie“ explizit keine Krankenhäuser anzugreifen.

Foto: G Data

Tim Berghoff: Viele Vorfälle, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangt…

Kritischen Infrastruktur im Visier: Opfer von Ransomware- und Phishing-Kampagnen

Angriffe dieser Art indes seien nicht neu: „Schon häufiger waren Organisationen, die zur Kritischen Infrastruktur gehören, Opfer von Ransomware- und Phishing-Kampagnen.“
So habe es Anfang 2016 der erfolgreiche Ransomware-Angriff auf das Lukas-Krankenhaus in Neuss zu großer medialer Aufmerksamkeit gebracht, in dessen Folge dessen Arbeitsabläufe in vielen Bereichen behindert worden seien. „Es dürften viele weitere Fälle dieser Art existieren, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangte“, so Berghoff.

Phishing und andere Cyber-Angriffe: Nur eine Frage der Zeit

Daher empfiehlt er: „IT-Verantwortliche im Health-Sektor sollten die derzeitige Bedrohungslage vor Augen haben und Gegenmaßnahmen ergreifen.“ Hierunter fällt demnach etwa eine effektive Antivirus-Software, die es zu jeder Zeit auf dem aktuellsten Stand zu halten gelte. „Auch Lösungen zum E-Mail-Schutz, die eingehende Mails auf verdächtige, beziehungsweise schädliche Anhänge und Links untersuchen, stellten sich bereits in der Vergangenheit als wichtige Komponente für die IT-Sicherheit dar.“
Zwar habe sich hierbei schon eine Menge getan, aber ein Aspekt, der oft genug vernachlässigt werde, sei, „dass die Frage nicht lautet, ob es einen erfolgreichen Angriff geben wird, sondern wann das passieren wird“. Oberstes Ziel sei nicht die Verhinderung von Angriffen mit aller Macht, sondern die Erhaltung der eigenen Handlungsfähigkeit im Falle eines erfolgreichen Angriffs, unterstreicht Berghoff.

Mitarbeiter über E-Mail-Anhänge und Phishing-Webseiten aufklären!

Der wichtigste Faktor allerdings, den es bei der Stärkung der IT-Sicherheit zu beachten gelte, sei der Mitarbeiter. Rein technische Lösungen hätten naturgemäß dort ihre Grenzen, „wo es um menschliche Verhaltensweisen des Mitarbeiters geht“:
Ist dieser ausreichend geschult und über die Gefahren schadhafter E-Mail-Anhänge und Phishing-Webseiten aufgeklärt, könnten viele Sicherheitsvorfälle schon im Ansatz verhindert werden. Es gelte, ein Bewusstsein für die potenziellen Folgen unbedachter Klicks oder Eingaben zu schaffen, ohne Mitarbeiter dabei einzuschüchtern.

Phishing rechtzeitig erkennen: Wissen um sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen!

Einen ersten Schritt könnten etwa Leitfäden darstellen, welche „die gängigsten Angriffsformate beschreiben und Tipps geben, wie man unseriöse Webseiten und Mails erkennt“. Den zweiten Schritt sollten „Security Awareness Trainings“ bilden, welche „das Wissen um den sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen“.
Darüber hinaus schulten einige Awareness-Anbieter Mitarbeiter in anderen wichtigen Praktiken, welche nicht nur die Sicherheit des Unternehmens gewährleisteten, sondern auch den reibungslosen Betrieb. Berghoff: „Hierunter fällt etwa die Durchführung regelmäßiger Backups, um bei Datenverlusten schnell wieder die Arbeit aufnehmen zu können.“

Ausführliche Schulung der Mitarbeiter senkt Gefahrenpotenzial von Phishing- und anderen Cyber-Angriffen

Der Aufbau einer „Security Awareness“ dürfe kein einmaliges Ereignis sein, vielmehr handele es sich um einen kontinuierlichen Prozess. Verantwortliche sollten sich deshalb für einen Anbieter entscheiden, „der nicht nur Tagesschulungen, sondern Online-Kurse mit Sofort-Feedback bereithält“.
Berghoffs Fazit: „Sind Mitarbeiter im Gesundheitswesen erst einmal ausführlich geschult, stellen auch immer raffiniertere Cyber-Angriffe eine geringere Gefahr dar und der Betrieb kann sich auch in schwierigen Zeiten seinem eigentlichen Ziel widmen – dem Wohl des Patienten.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2020
Cyber-Protection: Krankenhäuser müssen ihre IT schützen / Massive Sicherheitslücken dominieren die IT-Infrastruktur im Gesundheitssektor

datensicherheit.de, 16.04.2020
Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern / Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden

datensicherheit.de, 24.02.2020
BlueKeep: Schwachstelle bereitet Krankenhäusern Ungemach / Im Mai 2019 stellten Sicherheitsforscher fest, dass sie „aktiv ausgenutzt“ wird

datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser / Jochen Koehler kommentiert jüngsten Vorfall in Rheinland-Pfalz und im Saarland

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln / Ein Statement von Arved Graf von Stackelberg, Managing Director DRACOON

KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 09.03.2019
Sicherheitslücken: Ultraschallgeräte als Einfallstore in Krankenhäusern / Verlust und zur Weitergabe personenbezogener Daten drohen