Untersuchung von KnowBe4 zeigt, dass 76 Prozent der Mitarbeiter von Unternehmen ihr Passwort wiedeverwenden

[datensicherheit.de, 02.02.2021] Die Ergebnisse einer Untersuchung von KnowBe4 Research zeigen, dass nur 24 Prozent der Mitarbeiter ihre Passwörter speichern. Dies legt nahe, dass viele Mitarbeiter ihre Passwörter wiederverwenden. „Wer an mehreren Stellen das gleiche, einfache Passwort verwendet, macht sich zur leichten Beute für Hacker“, warnt Kai Roer, CEO von KnowBe4 Research (ehemals CLTRE).

Kai Roer, CEO von KnowBe4 Research, Bild: KnowBe4

Bewertung der Sicherheitskultur

KnowBe4 Research bewertet die Sicherheitskultur von Unternehmen und hat die Antworten von über 160.000 weltweit befragten Personen ausgewertet. Diese Zahlen zeigen, dass drei von vier Personen ihre Passwörter nicht aufschreiben. Gleichzeitig zeigen andere Umfragen, dass nur knapp 25 Prozent einen Passwortmanager zum Speichern ihrer Passwörter verwenden, während die Hälfte versucht, sich diese zu merken. Die Daten von KnowBe4 Research zeigen, dass mehr als vier von fünf Personen im Bank-, Beratungs- und Technologiesektor ihre Passwörter nicht aufschreiben oder speichern.

Es ist alarmierend und ein wenig überraschend, dass Bank-, Beratungs- und Technologieunternehmen den höchsten Anteil an Mitarbeitern haben, die ihre Passwörter nicht aufschreiben.

Foto: KnowBe4

„Die Bedeutung einer guten Passwort-Hygiene wird oft übersehen. Es stimmt zwar, dass viele verschiedene Passwörter schwer zu merken sind. Aber Passwörter werden überall verwendet und schützen sehr wertvolle Informationen über eine Person oder diejenigen, die dieser Person wichtig sind. Das ist etwas, das wir uns ins Gedächtnis rufen müssen. Mit so vielen einfach zu bedienenden Tools da draußen, die uns helfen, gibt es keinen wirklichen Grund, warum Sie nicht sorgfältiger mit Passwörtern umgehen sollten“, ergänzt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.

Widersprüchliche Ratschläge

Die Ratschläge zu Passwort-Routinen sind über die Jahre nicht besonders konsistent gewesen, während sich die Anzahl der Websites und Systeme, die ein Login-Passwort erfordern, exponentiell vervielfacht hat. Jahrelang rieten Unternehmen ihren Mitarbeitern, ihre Passwörter NICHT aufzuschreiben. Dann wurden sie gebeten, komplexe und einzigartige Passwörter zu erstellen. Komplexe Passwörter sind schwer zu merken, weshalb viele Mitarbeiter sich dazu entschließen, Passwörter wiederzuverwenden.

Der wichtigste Schritt ist, die Passwörter irgendwo zu speichern, wo niemand sonst Zugriff hat. Zum Beispiel auf einem Mobiltelefon oder einem guten, altmodischen Notizbuch. Sogenannte „Passwort-Manager“, Software, die sich die Passwörter merkt, sind ebenfalls eine sichere und empfehlenswerte Lösung.

Drei Tipps für gute Passwörter:

1. Erstellen Sie einzigartige, etwas längere Passwörter. Die sicherste Lösung ist, für jeden Dienst, den Sie nutzen, ein einzigartiges Passwort zu erstellen. Passwörter müssen nicht aus einem einzigen Wort bestehen, sondern können ein einfacher Satz oder eine zufällige Folge von Ziffern, Buchstaben und Sonderzeichen sein.
2. Schreiben Sie Ihr Passwort an einem Ort auf, zu dem niemand sonst Zugang hat. Bei vielen eindeutigen Passwörtern kann es schwierig sein, sich alle zu merken. Schreiben Sie sie auf, aber stellen Sie sicher, dass niemand sonst Zugriff auf die Liste hat.
3. Verwenden Sie einen Passwort-Manager. Dies ist ein sicherer Weg, um zu vermeiden, dass Sie sich komplexe, eindeutige Passwörter merken müssen. Es gibt viele gute Programme und Anwendungen. Wenden Sie sich an Ihre IT-Abteilung bei der Arbeit; dort wird man Sie beraten können.

Weitere Informationen zum Thema:

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur

KnowBe4
Measure to Improve – Security Culture Report 2020

Vectra erläutert aktuelle Schwierigkeiten der Securityprofis

[datensicherheit.de, 17.05.2020] Vectra AI, Anbieter einer KI-basierten Plattform für IT-Sicherheit, berichtet über eine aktuelle Untersuchung der ISACA (Information Systems Audit and Control Association). Diese ergab, dass nur 51 Prozent der Cybersicherheitsteams vorbereitet sind, den Anstieg der Cybersicherheitsangriffe, der mit der Verbreitung des neuartigen COVID-19-Virus einhergeht, zu erkennen und darauf zu reagieren. Zu viele Unternehmen mussten in der Corona-Krise oft (zu) schnell handeln und der Geschäftskontinuität Vorrang vor der Sicherheit einräumen. Dabei wurde häufig übersehen, dass selbst die Tools, welche die IT-Sicherheitsprofis nutzen um aus der Ferne ihrer Arbeit nachzukommen, in vielen Fällen ein Sicherheitsrisiko darstellen.

Andreas Müller, Director DACH bei Vectra AI, Foto: Vectra

Dazu erklärt Andreas Müller, Director DACH bei Vectra AI:

„Die Zunahme der Telearbeit hat zu Problemen mit RDP, VDI, VPN sowie bei SaaS-Anwendungsnutzung, beschleunigter Projekteinführung und Schatten-IT geführt. Dies alles hat zu einer erweiterten Angriffsfläche für Angriffe via Fernzugriff beigetragen. Der Fernzugriff muss daher geschützt und überwacht werden. Viele Unternehmen haben jedoch nur einen begrenzten Überblick, was in ihrer erweiterten Netzwerkumgebung vorgeht.

Ein kürzlich veröffentlichter Einblick in die IoT-Suchmaschine Shodan ergab zum Beispiel, dass es in Großbritannien über 100.000 RDP-Hosts gibt, die dem Internet ungeschützt ausgesetzt sind. Noch beunruhigender ist, dass zuletzt in Deutschland 5.499 RDP-Hosts gegen die BlueKeep-Schwachstelle für Remote-Ausführung nicht geschützt waren.

Wir werden auch nach der COVID-19-Pandemie weiterhin verstärkt aus der Ferne arbeiten. Daher besteht die Notwendigkeit, heute taktisch zu handeln, um die Sicherheitslage und den Einblick zu verbessern, wo immer dies möglich ist. Unternehmen, die jetzt Änderungen vornehmen, sollten diese Gelegenheit nutzen, um auch strategisch dorthin zu gelangen, wo sie in Zukunft in Sachen IT und Cybersicherheit stehen wollen.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 13.05.2020
Covid-19: Cyberangriffe auf kritische Dienste während der Pandemie

datensicherheit.de, 06.05.2020
Tenable: Diese Schwachstellen bedrohen mobiles Arbeiten derzeit besonders stark

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

Datenschutzverletzungen könnten für lediglich 11.122 Euro wahrscheinlich vermieden werden

[datensicherheit.de, 28.10.2019] Eine aktuelle Untersuchung vergleicht laut HackerOne die Höhe der anfallenden Kosten bei einer Datenschutzverletzung mit dem Preis für eine identifizierte Schwachstelle auf dem „Bug Bounty“-Markt – demnach hätten Investitionen von umgerechnet rund 11.122 Euro potenzielle Folgekosten und Strafen in Höhe von umgerechnet rund 307 Millionen Euro verhindern können.

Abbildung: HackerOne

Kosten Datenschutzverletzung vs. Schwachstellenaufdeckung

Schwerwiegende Datenschutzverletzungen der letzten Jahre hätten drastisch gesenkt werden können

Eine neue Untersuchung, nach eigenen Angaben initiiert „von der Bug-Bounty- und Pentesting-Plattform“ HackerOne, lege offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der letzten Jahre drastisch hätten gesenkt werden können:
Diese Datenschutzverletzungen hätten die betroffenen Unternehmen kumuliert rund 307 Millionen Euro gekostet, und wären mit Investitionen von insgesamt lediglich 11.122 Euro vermutlich verhindert worden.
Diese Schätzung basiere auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlicher Schwachstellen im Rahmen eines „Bug Bounty“-Programms. Als Teil solcher Initiativen würden Hacker für das Aufdecken von sich möglicherweise verheerend auswirkenden Schwachstellen honoriert. Die Unternehmen bekämen einen detaillierten Bericht zur jeweiligen Schwachstelle und dazu Hinweise, wie man sie beseitigen kann, – und das, bevor Angreifer sich die Lücken zunutze machen.

Finanzielle Schäden und Reputationsverluste

Datenschutzverletzungen verursachten jährlich Schäden in Millionenhöhe und zögen „empfindliche Strafen“ nach sich. Zudem erschütterten Verstöße das Vertrauen der Kunden, hätten Reputationsverluste zur Folge und belasteten die finanzielle Bilanz eines Unternehmens.
So habe das Information Commissioner’s Office (ICO) als unabhängige Datenschutz-Aufsichtsbehörde in Großbritannien erst kürzlich verlauten lassen, dass British Airways mit einer Buße in Höhe von umgerechnet 212 Millionen Euro für den Verlust einer halben Million Kundendaten im letzten Jahr belegt werden solle.
Vermutlich hätten sich die Angreifer über eine „JavaScript“-Schwachstelle bei einem Drittanbieter Zugang zu den Systemen bei British Airways verschafft. Auf einer „Bug Bounty“-Plattform liege der Wert einer derartigen Schwachstelle zwischen etwa 4.600 und 9.300 Euro.

Schwachstellen mittels „Bug Bounty“-Programms aufdecken und verantwortungsvoll offenlegen

Gegenstand der Untersuchung von HackerOne waren nach eigenen Angaben die Kosten, welche auf Klagen und Verfahren sowie die verhängten Bußen bei vier schwerwiegenden Datenschutzverletzungen der letzten Jahre zurückgingen. Die betroffenen Unternehmen seien British Airways (2018), TicketMaster (2018), Carphone Warehouse (2018) und TalkTalk (2015).
Im Rahmen dieser Untersuchung seien diese Kosten mit den „Bug Bounty“-Honoraren verglichen worden, die für jene diesen Datenschutzverletzungen zugrundeliegenden Schwachstellen gezahlt worden wären. Insgesamt hätten die Kosten für alle vier Unternehmen zusammen umgerechnet rund 307 Millionen Euro betragen.
Wenn die betreffenden Schwachstellen im Rahmen eines „Bug Bounty“-Programms aufgedeckt und verantwortlich offengelegt worden wären, hätte das die Unternehmen zusammen zwischen 11.122 und rund 37.000 Euro gekostet. Diese Schätzungen basierten auf den durchschnittlich für diese Art von Schwachstellen gezahlten „Bug Bounties“.

Schwachstellen vorausschauend identifizieren und patchen!

Die Angriffsflächen vergrößerten sich weiter. Es bleibe eine andauernde Herausforderung, Cyber-Kriminellen einen Schritt voraus zu sein. Prash Somaiya, „Security Engineer“ bei HackerOne: „Die am besten geschützten Unternehmen und Organisationen sind sich bewusst, dass es verschiedene Wege gibt, herauszufinden, wo die gefährlichsten Schwachstellen liegen. Mithilfe eines ,Bug Bounty_-Programms und der Unterstützung von Hackern haben unsere Kunden 120.000 Schwachstellen identifizieren und beseitigen können und das, bevor ein Datenschutzverstoß aufgetreten ist.“
Ihre Untersuchung sei eine grobe Schätzung hinsichtlich der potenziell gezahlten „Bug Bounties“ innerhalb ihrer laufenden Programme mit Kunden in vergleichbaren Branchen.
Trotzdem zeige schon dieser Vergleich, dass Unternehmen Millionen sparen und Risiken senken könnten, „wenn sie ihre Schwachstellen vorausschauend identifizieren und patchen“.

Datenschutzverletzungen: Kostenvergleich mit Honoraren für Schwachstellenaufdeckung

Weltweit profitierten Unternehmen in Sachen IT-Sicherheit von „Bug Bounty“-Programmen und der Expertise von Hackern.
Der jährliche, vor kurzem veröffentlichte „Hacker-Powered Security Report“ bestätige, dass es in 77 Prozent aller Fälle lediglich 24 Stunden dauere, bis Hacker im Rahmen eines neu initiierten „Bug Bounty“-Programms die erste valide Schwachstelle meldeten.
25 Prozent der gefundenen validen Schwachstellen fielen in die Kategorie „hohes“ bis „kritisches“ Sicherheitsrisiko.

Weitere Informationen zum Thema:

|1:blog, 11.06.2019
THE HACKERONE TOP 10 MOST IMPACTFUL AND REWARDED VULNERABILITY TYPES

datensicherheit.de, 28.04.2019
HackerOne-Jahresbericht: Hacker Community wächst um 100 %

[datensicherheit.de, 23.05.2019] Der finanzielle Höhenflug der Kryptowährung „Bitcoin“ im Jahr 2017 habe spätestens dazu geführt, dass auch außerhalb der Fachwelt über die Blockchain diskutiert worden sei. Diese Technologie zur verteilten Datenhaltung bietet laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Möglichkeit, durch eine dezentrale Struktur die Manipulation von Daten rein technisch zu verhindern, größtmögliche Transparenz zu bieten und Intermediäre in Geschäftsprozessen zu ersetzen.

Umfassende und tiefgehende Analyse der Blockchain-Technologie vorgelegt

Nachdem das BSI bereits im Februar 2018 in einem Eckpunktepapier grundsätzliche Fragestellungen im Zusammenhang mit der Blockchain untersucht hatte, legt die nationale Cyber-Sicherheitsbehörde nun eine umfassende und tiefgehende Analyse der Blockchain-Technologie vor:
Der Schwerpunkt der aktuellen Analyse des BSI habe auf den IT-Sicherheitseigenschaften der Blockchain gelegen. Betrachtet worden seien aber auch weitere Auswirkungen der technischen Grundkonzeption, etwa auf die Effizienz und die Erfüllbarkeit datenschutzrechtlicher Vorgaben. Zudem habe das BSI analysiert, in welchem Maße die Blockchain-Technologie die mit ihr verbundenen Sicherheitserwartungen erfüllen kann und wie sie sich im aktuellen Rechtsrahmen darstellt. Grundsätzlich schnitten Blockchains gegenüber klassischen zentralen Datenbanken in den Punkten Verfügbarkeit und Robustheit gegen Missbrauch gut ab. Dem stünden Nachteile im Bereich der Vertraulichkeit und der Effizienz gegenüber.

Bei Diskussion über die Blockchain den Bezug zu technischen Grundlagen wahren!

„Wie bei vielen Themen mit hoher medialer Aufmerksamkeit ist es wichtig, auch bei den Diskussionen um die Blockchain den Bezug zu den technischen Grundlagen zu wahren. Dies gilt insbesondere für den Aspekt der IT-Sicherheit, da durch die Nutzung von Blockchain häufig ein Sicherheitsgewinn erhofft wird“, so BSI-Präsident Arne Schönbohm. Die Nutzung der Blockchain-Technologie allein löse indes keine IT-Sicherheitsprobleme. Zahlreiche Sicherheitsvorfälle mit Schäden in Millionenhöhe zeigten, dass Maßnahmen zur Herstellung von IT-Sicherheit auch durch Nutzung der Blockchain nicht obsolet würden, betont Schönbohm.
Die aktuelle Analyse des BSI soll Entwickler und potenzielle Nutzer von Blockchain-Lösungen dabei unterstützen, Chancen und Risiken fundiert zu bewerten und IT-Sicherheit von Anfang an zu berücksichtigen. Die dynamische Weiterentwicklung der Blockchain-Technologie eröffne ebenso die Möglichkeit, die Ergebnisse der Analysen als Basis für zukünftige Diskussionen auf nationaler und internationaler Ebene zu verwenden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 02.02.2018
Blockchain sicher gestalten – Eckpunkte des BSI

Bundesamt für Sicherheit in der Informationstechnik, 23.05.2019
Kryptografie / Blockchain sicher gestalten – Konzepte, Anforderungen, Bewertungen

datensicherheit.de, 26.04.2019
Bitkom: Standortnachteile bremsen deutsche Rechenzentren aus

datensicherheit.de, 08.05.2018
Unsichere Rechenzentren: Zukunftsmodell Blockchain gerät ins Wanken

datensicherheit.de, 01.03.2017
Blockchain als Chance für die IT-Sicherheitsindustrie

[datensicherheit.de, 07.02.2019] Es gibt nach Expertenmeinung viele Gründe, warum Kryptowährungen für Hacker attraktiv sind – geringere Regulierung, weniger technische und administrative Schutzmaßnahmen sowie ein sehr schwieriges Rückgängigmachen von Transaktionen. Um langfristige Trends aufzudecken, hat F5 Labs nach eigenen Angaben die großen Kryptowährungs-Diebstähle der letzten sieben Jahre analysiert. Ralf Sydekum, „Technical Manager DACH“ bei F5 Networks, hat die wichtigsten Ergebnisse dieser aktuellen Untersuchung vorgestellt.

Steigende Attraktivität der Kryptowährungen zieht Cyber-Kriminelle an

Laut F5 Labs hat es „73 größere Vorfälle“ gegeben. Besonders bemerkenswert sei dabei folgender Zusammenhang: Im Jahr 2011 sei Bitcoin soviel wert gewesen wie der US-Dollar; heute liege der Wert trotz erheblicher Schwankungen bei etwa 3.500 US-Dollar.
Gleichzeitig sei eine fast zwölftausendfache Zunahme von Krypto-Diebstählen beobachtet worden. Der durchschnittliche Verlust habe bei rund 31 Millionen US-Dollar gelegen.

Digitale Devisenmärkte im Visier

Von den vielen technischen Dienstleistungen sind laut der Studie Kryptobörsen am häufigsten betroffen: 63 Prozent der Vorfälle). Diese Börsen sind das digitale Äquivalent zu den Devisenmärkten, auf denen Kunden verschiedene Kryptowährungen kaufen oder verkaufen können, wodurch Transaktionen mit hohem Wert entstehen.
Das Speichern von Kryptowährungen geschieht in sogenannten Wallets, von denen es zwei Arten gibt: Ein „Hot Wallet“ ist mit dem Internet verbunden und dient zur Speicherung von Kryptowährungen für den täglichen Zahlungsverkehr – im Prinzip einer realen Brieftasche entsprechend. „Hot Wallets“ können auf Kryptobörsen laufen, um den Handel zu erleichtern, oder als Client-Software auf einem Computer oder Mobilgerät ausgeführt werden, weshalb sie häufig von Cyber-Kriminellen gestohlen werden.

Verwendung von „Cold Wallets“ senkt Risiko

Sydekum: „Um dieses Risiko zu reduzieren, gibt es ,Cold Wallets‘ ohne Online-Verbindung. Ideal sind völlig abgetrennte Systeme wie USB-Sticks mit sicherem Passwort. In Kryptowährungs-Börsen existieren ,Cold Wallets‘ als separate, stark verschlüsselte Datenbanken, die vom Wallet-Besitzer mit einem privaten Schlüssel freigeschaltet werden.“
Gemäß der Studie seien „Hot Wallets“ dreimal häufiger geplündert worden als „Cold Wallets“. Auch Wallet-Software, die sich außerhalb einer Börse befindet, lässt sich demnach manipulieren. Diese Vorfälle stellten etwa ein Siebtel aller Kryptowährungs-Diebstähle dar.

Regierungen müssten weltweit Kryptowährungs-Branche regulieren

Eine weitere potenziell angreifbare Kryptowährungs-Technologie seien „Mining Services“. Allerdings würden diese nur relativ selten attackiert. Kryptowährungen basieren auf interagierenden Diensten in einer Vielzahl von Umgebungen, die durch Schnittstellen, Authentifizierungsdaten und Netzwerke miteinander verbunden sind. Dadurch bieten sie eine große Angriffsfläche und benötigen umfangreiche Sicherheitsmaßnahmen.
Entsprechend müssten Regierungen weltweit die Kryptowährungs-Branche regulieren. Einige Länder haben laut Sydekum bereits damit begonnen. So gelte etwa die koreanische Verordnung 5.5.7 (Regulierung der Überwachung Elektronischer Finanzen) in dieser Hinsicht als führend. Denn sie behandele Cyber-Sicherheitsmaßnahmen für Kryptowährungen so, wie es ein Finanzinstitut tun würde. „Hoffentlich werden auch andere Regierungen diesem Beispiel folgen“, folgert Sydekum.

Weitere Informationen zum Thema:

datensicherheit.de, 27.06.2018
Cyber-Kriminelle nutzen Hype um Kryptowährungen

datensicherheit.de, 25.03.2018
Digitale Taschendiebe: ComboJack-Malware stiehlt Kryptowährungen

Aktuelle Studie mit Informationen von über 850 Großunternehmen aus vier Kontinenten

[datensicherheit.de, 17.11.2017] Laut einer aktuellen Untersuchung sollen alle führenden Unternehmen bereits Opfer einer Attacke auf Mobilgeräte geworden sein wurden – Check Point bringt deshalb nach eigenen Angaben eine neue Sicherheitslösung – „SandBlast Mobile Solution“ – auf den Markt.

Sowohl „Android“- als auch „iOS“-Geräte im Fadenkreuz

Die Check Point® Software Technologies Ltd. hat am 17. November 2017 die Ergebnisse seiner ersten Studie über die Auswirkungen von Attacken auf Mobilgeräte bekanntgegeben. Hierzu seien Informationen von über 850 Großunternehmen aus vier Kontinenten gesammelt worden. Es wird demnach deutlich, dass sowohl „Android“ als auch „iOS“-Geräte im Fadenkreuz der Angreifer stehen.
Die Bedrohungslage habe sich verändert und die Daten auf Mobilgeräten seien nicht mehr sicher. Die Gefahr wirke sich auf alle Branchen aus – von Behörden bis hin zur Produktion.

Zentrale Erkenntnisse auf Basis der Studie:

• 100 Prozent aller Unternehmen hätten bereits Erfahrungen mit Angriffen auf Mobilgeräte.
• 54 Angriffe habe es im Durchschnitt auf jede Organisation gegeben.
• 89 Prozent aller Befragten bestätigten eine „Man-in-the-Middle“-Attacke über Wi-Fi.
• 75 Prozent habe mindestens 35 Geräte mit Jailbreaks oder ähnlichen Defekten im Netzwerk.

Foto: Check Point® Software Technologies Ltd.

Michael Shaulov warnt: Mobilgeräte die neue „Hintertür” für Cyber-Kriminelle!

Geldwert und Häufigkeit der Angriffe auf Mobilgeräte höher als bei PCs

Vor dem Hintergrund, dass Cyber-Kriminelle immer wieder neue Methoden entwickeln, mit denen sie Mobilgeräte kompromittieren können, hat Check Point nach eigenen Angaben seine Lösung „SandBlast Mobile“ verbessert. Die neue Lösung werde Unternehmen und Verbraucher vor den Bedrohungen durch folgende Fähigkeiten schützen:

• Erkennung künstlicher Intelligenz, um „Zero-Day“-Malware sofort zu blockieren.
• Blockierung zielgerichteter „SMiShing“-Angriffe auf „iOS“- und „Android“-Geräte.
• Eine neue App, mit der Endnutzer die Gerätesicherheit überwachen und steuern könnten.

„Der Geldwert und die Häufigkeit der Angriffe auf Mobilgeräte lag 2017 über dem von PCs, wodurch sich auch die Ergebnisse des Berichts erklären lassen“, erläutert Michael Shaulov, „Head of Products Mobile and Cloud Security“ bei Check Point Software. Mobilgeräte seien im Wesentlichen die neue „Hintertür” für Cyber-Kriminelle. Shaulov: „Wir freuen uns, diese verbesserte ,SandBlast Mobile‘-Lösung anbieten und Unternehmen und Privatpersonen oder Verbraucher damit proaktiv schützen zu können.“

Weitere Informationen zum Thema:

Check Point
Mobile Cyber Attacks Impact 100% of Businesses

[datensicherheit.de, 19.09.2017] Justin Bieber gilt aktuell als Deutschlands gefährlichster VIP des Jahres 2017. Wenn nämlich deutsche Internetnutzer nach diesem bekannten Sänger suchen, landeten sie mit über zwölfprozentiger Wahrscheinlichkeit auf einer mit Malware verseuchten Website. Gefährlichste Deutsche auf der Liste sei in diesem Sinne die Schauspielerin Diane Kruger. Diese Erkenntnisse beruhen nach eigenen Angaben auf der inzwischen bereits zum elften Mal von McAfee untersuchten Gefahr, dass sich Geräte bei der Suche nach Prominenten im Internet mit Malware infizieren.

Justin Bieber: Deutschlands „Most Dangerous Celebrity 2017“

Eine Internetsuche nach dem international bekannten Sänger ende oft auf einer mit Malware verseuchte Webseite.
Als „gefährlichste Deutsche“ in diesem Zusammenhang stehe Schauspielerin Diane Kruger auf der Liste – der Star der deutschen Oscar-Hoffnung „Aus dem Nichts“ von Regisseur Fatih Akin. Über neun Prozent der Internetsuchen landeten hierbei auf gefährlichen Seiten.

Aktuelle Ergebnisse der jährlichen McAfee-Studie

Laut McAfee sind dies die „Top 9 der gefährlichsten Promis“ im Jahr 2017:

1. „Justin Bieber“
2. „Katy Perry“
3. „Diane Kruger“
4. „Adele“
5. „Jennifer Lawrence“
6. „Caro Daur“
7. „Adel Tawil“
8. „Bushido“

Diese Ergebnisse zeigten besonders die Gefahr, im Internet nach Songs und Filmen zu suchen und diese illegal herunterzuladen. Cyber-Kriminelle wüssten, dass die Lieder von Stars wie Justin Bieber und Adel Tawil oder die Filme von US-Superstar Jennifer Lawrence gerne gesucht würden und nutzten diesen Umstand aus, um Verbraucher auf präparierte Seiten zu locken.

Teure Folgen der Suche nach kostenlosen Dateien

„Die Welt wird immer digitaler – da überrascht es nicht, dass viele immer sofort die neuesten Alben und Filme auf den eigenen Geräten haben wollen“, kommentiert Alexander Salvador, IT-Sicherheitsexperte bei McAfee.
„Viele vergessen dabei aber schnell die Sicherheit und klicken ohne Vorsicht auf verdächtige Links. Internetnutzer sollten immer aufpassen, welche Seiten sie öffnen und welche Inhalte sie herunterladen“, rät Salvador. Wichtig sei auch, eine Sicherheitssoftware zu verwenden, um eigene Geräte zu schützen.

Sicherheitstipps von McAfee:

Die Fans sollten laut McAfee

• misstrauisch sein: Hacker wollen Nutzer dazu verführen, getarnte Schadprogramme auf den Rechner zu laden. Downloads sollten Nutzer deshalb nur von ihnen bekannten, vertrauenswürdigen Seiten zulassen. Viele Suchen nach Promis finden in Verbindung mit Wörtern wie „Musik“ oder „Film“ statt – so kommt besonders schnell Malware auf das eigene Gerät.
• bei MP3-Dateien vorsichtig sein: Die Suche nach kostenlosen MP3-Dateien endet verhältnismäßig am häufigsten auf infizierten Seiten. Nutzer müssen deswegen gerade hier besonders vorsichtig sein.
• angebliche VIP-Mails hinterfragen: Promis werden von Hackern auch gerne für Phishing-Angriffe verwendet. E-Mails mit Hinweisen auf exklusive Storys, Bilder, Videos – die oft auch einen Login oder persönliche Daten abfragen – sind fast alle gefälscht.
• einen Gefahren-Scout nutzen: „McAfee WebAdvisor“ z.B. als kostenlose Software untersucht Webseiten auf Spyware, Spam sowie Online-Betrug und warnt auch Fans von Promis vor dem Klick auf verseuchte Seite, Bilder oder Videos.
• Software-Schutz für alle Geräte installieren: Immer mehr Geräte begleiten unseren Alltag – die alle geschützt werden müssen. Umfassende Sicherheitslösungen wie z.B. „McAfee Total Protection“ können dabei helfen, die eigenen Geräte bei Malware- und Phishing-Attacken abzusichern und auch im Falle von Verlust und Diebstahl geschützt zu bleiben.

[datensicherheit.de, 09.04.2016] Das Deutsche Institut für Vertrauen und Sicherheit im Internet (DIVSI) hat im März 2016 eine aktuelle Untersuchung mit dem Thema „Daten als Handelsware“ veröffentlicht. Im Kern belege ihre Publikation die Ineffektivität und Unkontrollierbarkeit der geltenden gesetzlichen Regelungen und Schutzmechanismen beim Handel mit Daten.
Bundespräsident a.D. und DIVSI-Schirmherr Prof. Dr. Roman Herzog habe die Relevanz dieser Studie mit den Worten bekräftigt: „Fakt ist, dass die prosperierenden Märkte, die sich durch die Kommerzialisierung von Daten und dem Handel mit Daten entwickelt haben, unser aktuelles Daten(schutz)recht vor immense Herausforderungen stellen …“. DIVSI plädiert daher für praxistauglichere Mechanismen.

Nutzer-Selbstbestimmung fördern

Es sei dringend an der Zeit, rechtliche und praktische Konzepte zu entwickeln, „die den faktischen Datenhandel vollständig erfassen und die Nutzer-Selbstbestimmung fördern“. Die gesetzlichen Schutzmechanismen des Bundesdatenschutzgesetzes (BDSG) seien bislang „in vielen Fällen ineffektiv“, könnten leicht umgangen werden oder ließen sich schlicht nicht kontrollieren, fasst Matthias Kammer, der Direktor des DIVSI, die Ergebnisse der aktuellen Untersuchung zusammen, die vom renommierten Lorenz-von-Stein-Institut für Verwaltungswissenschaften der Universität Kiel im Auftrag des DIVSI erstellt wurde und aus juristischer Sicht die Bedeutung von Daten als Handelsware beleuchtet.
Die Selbstbestimmung derjenigen, die ihre Daten zur Verfügung stellen, könnte gestärkt werden, indem Regeln und Gesetze zum Datenschutz an das Urheberrecht angelehnt würden.

Einräumung von Nutzungslizenzen vorgeschlagen

Zudem, so Kammer, müsse in Zukunft eindeutig rechtlich geregelt sein, wer Daten nutzen und verwerten darf. Durch Einräumung von Nutzungslizenzen ließe sich ein an den Interessen aller Beteiligter orientierter und besser kontrollierbarer Datenhandel realisieren.
Für ihn sei das Instrument der datenschutzrechtlichen Einwilligung, die nach allen Untersuchungen zumeist durch Anklicken binnen Zehntelsekunden erfolgt, gescheitert, so Kammer.

Viele Schutzmechanismen praxisuntauglich

Außerdem erweise sich auch das Datenschutzprinzip, wonach die Daten nur zu dem Zweck verwendet werden dürften, für den sie erhoben worden seien, in der Praxis als nicht erfolgreich. Diese Regelungen seien laut DIVSI-Studie in vielen Bereichen nicht geeignet, den veränderten Umgang mit personenbezogenen Daten rechtlich zu erfassen.
Insbesondere die diversen Schutzmechanismen hätten sich als wirkungslos herausgestellt – allen voran das Prinzip der Freiwilligkeit und Informiertheit bei Abgabe der datenschutzrechtlichen Einwilligung. Die Nutzer stimmten meist den Datenschutzrechtlinien zu, ohne diese überhaupt – und schon gar nicht im Detail – zu lesen. Meist gebe es zudem keinerlei Alternative zur Zustimmung und Freigabe der eigenen Daten, wenn man die entsprechenden Dienstleistungen nutzen möchte, erklärt Kammer.

Politik und Gesetzgeber hinken Entwicklung hinterher

Für die Autorin der Studie, Diplom-Juristin und wissenschaftliche Mitarbeiterin am Lorenz-von-Stein-Institut Johanna Jöns, liegt das Hauptproblem darin, dass im Bereich der digitalen Datenwirtschaft Politik und Gesetzgeber nicht angemessen auf seit langem bekannte Entwicklungen reagieren.
In Zeiten der Digitalisierung, in der Daten längst als „Rohstoffe des 21. Jahrhunderts“ gehandelt würden, müsse zukünftig folgender Spagat gelingen: Die individuellen Interessen jedes Einzelnen, wie der Schutz der freien Entfaltung der Persönlichkeit, seien zu berücksichtigen und effektiv zu schützen. Gleichzeitig aber dürfe nicht jede ökonomisch motivierte Datenverarbeitung als unerwünscht betrachtet werden, betont Jöns. Auch der wirtschaftliche Wert von Daten müsse im BDSG Berücksichtigung finden. Bisher habe das Datenschutzrecht auf diesen doppelten Anspruch keine Antwort.

Gleichgewicht zwischen allen Beteiligten herstellen

Die Studie soll eine Vielzahl neuer Fakten und Anregungen liefern sowie verdeutlichen, wie wichtig eine öffentliche Diskussion über die zunehmende Bedeutung von Daten als Handelsware und über eine Reform des Datenschutzrechts ist.
Letztlich gehe es darum, im Bereich des Datenhandels ein Gleichgewicht zwischen allen Beteiligten – Wirtschaft, Politik und Nutzer – herzustellen. Davon seien wir derzeit meilenweit entfernt, der Status quo weise stattdessen ein „hohes Maß an Intransparenz“ auf, resümiert Kammer.

Weitere Informationen zum Thema:

DIVSI, 17.03.2016
Daten als Handelsware

[datensicherheit.de, 15.08.2013] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat in einer Stellungnahme am 14. August 2013 darüber informiert, dass zum ersten Mal neunzehn Datenschutzaufsichtsbehörden aus aller Welt im Rahmen des „Global Privacy Enforcement Networks“ (GPEN) zusammengearbeitet und in ihren jeweiligen Ländern untersucht haben, ob Unternehmen und datenverarbeitende Stellen bei Internetseiten und mobilen Applikationen ein transparentes Verhalten gegenüber ihren Kunden zeigen. Den Anstoß dazu habe eine Initiative der Datenschutzbehörde Kanadas gegeben.
Insgesamt seien weltweit mehr als 2.200 Internetseiten und mobile Applikationen untersucht worden. Die Auswertung der weltweiten Ergebnisse habe indes erbracht, dass hiervon 23 Prozent überhaupt keine Information zur Verarbeitung personenbezogener Daten ihrer Kunden bereitstellen. Insgesamt hätten die Aufsichtsbehörden bei rund 50 Prozent aller untersuchten Internetseiten einen oder mehrere Mängel bezüglich Relevanz und Verständlichkeit der Information oder im Hinblick auf die Erreichbarkeit der verantwortlichen Stelle (Kontaktdaten) für mögliche Nachfragen oder Beschwerden durch deren Nutzer entdeckt. Frappierend sei allerdings gewesen, dass die Mängelrate bei mobilen Applikationen mit 90 Prozent erheblich höher gelegen habe als bei Internetseiten.
Die genauen Ergebnisse der koordinierten Untersuchung der neunzehn Datenschutzbehörden sollen im Rahmen der „35. Internationalen Konferenz der Datenschutzbeauftragten“ vom 23. bis 26. September 2013 in Warschau vorgestellt werden. Unter den neunzehn beteiligten Behörden sind sechs aus Deutschland. Für 2014 ist bereits eine weitere gemeinsame Aktion des GPEN zu einem anderen Aspekt des Datenschutzes geplant.

[datensicherheit.de, 03.11.2009] Im Rahmen der Leitmesse für IT-Security (it-sa 2009) in Nürnberg wurden vom IT-Sicherheitsunternehmen  Cyber-Ark 283 IT-Experten aus überwiegend größeren Unternehmen in Deutschland zum Thema Passwort-Management interviewt.
Zentrale Fragen der Untersuchung waren „Gibt es bei Ihnen im Unternehmen eine Lösung zur automatischen (nicht manuellen) Verwaltung von Administratoren-Passwörtern?“ und „Wie oft werden bei Ihnen Passwörter von Administratoren geändert?“.

Rund 65 Prozent der Interviewten antworteten, sie setzten keine Lösung zum automatischen Passwort-Management im Unternehmen ein.

© CyberArk

Fast 40 Prozent änderten zudem ihre Passwörter nur einmal im Jahr oder in unregelmäßigen Abständen, 15 Prozent sogar niemals.

© CyberArk

Es sei nicht erstaunlich, daß die Passwörter bei einer fehlenden „automatischen“ Lösung nur selten oder überhaupt nicht geändert würden, da dies dann nur mit einem erheblichen manuellen Aufwand erfolgen könne. Bemerkenswert sei ferner, dass bei über 30 Prozent der befragten Unternehmen keine Zugriffskontrolle bei der Verwendung von Passwörtern vorhanden sei.

Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, betont: „Auch wenn das Thema IT-Sicherheit heute in fast jedem Unternehmen eine wichtige Rolle spielt, zeigt die Studie deutlich, dass gerade bei den privilegierten Accounts noch vieles im Argen liegt. Nur mit umfassenden Security-Maßnahmen von der Zugangsbeschränkung bis zur Überwachung aller Aktivitäten kann das gerade in diesem Bereich hohe Risiko einer unerlaubten Nutzung vertraulicher Informationen oder auch des Datendiebstahls zuverlässig ausgeschlossen werden.“ Besonders kritisch ist es, dass annähernd 45 Prozent der befragten Unternehmen identische Passwörter für unterschiedliche IT-Systeme oder -Applikationen wie Server, Desktops, Datenbanken, Router oder Firewalls verwenden. „Das ermöglicht Berechtigten quasi einen universellen Zugriff auf alle unternehmenskritischen Daten und Systeme. Und eine Nachvollziehbarkeit, wer was gemacht hat, ist damit überhaupt nicht mehr möglich“, kommentiert Koehler.
Weitere Ergebnisse der Untersuchung zeigten, daß die mangelhafte Verwaltung der Administratoren-Accounts für die Unternehmen auch erhebliche Gefahren mit sich bringe. So hätten zum Beispiel über 30 Prozent der Befragten schon einmal unter Nutzung eines privilegierten Accounts auf vertrauliche Unternehmensinformationen zugegriffen. Und mehr als 35 Prozent erklärten, dass sie unter Umgehung der vorhandenen Sicherheitsmaßnahmen auch jederzeit unternehmenskritische Datenbestände einsehen könnten. Nicht zuletzt gaben über 20 Prozent zu, dass sie beim Verlassen des Unternehmens vertrauliche Informationen mitnehmen würden.
Cyber-Ark, nach eigenem Bekunden Marktführer im Bereich Privileged Identity Management, bietet mit dem Enterprise Password Vault eine Lösung an, die eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern ermöglicht. Darüber hinaus kann mit ihr durch eine vollständige Zugriffskontrolle und Protokollierung die Nutzung von privilegierten Accounts zu jeder Zeit überprüft werden.