Sie befinden sich hier: FachbereicheInformatikECSM

Kurzlink zu dieser Seite

Kontakt

Oktober ist der European CyberSecMonth (ECSM)

Der ECSM 2016 ist beendet, aber viele Angebote zum Thema Informationssicherheit stehen auch weiterhin zur Verfügung. Außerdem läuft unser Quiz über die Geschichte der IT-Sicherheit noch bis zum 7.11. - viel Spaß bei der Teilnahme!

ECSM ist die jährliche Advocacy-Kampagne der EU, die im Oktober stattfindet und darauf abzielt, das Bewusstsein der Bürgerinnen und Bürger für Cyber-Sicherheitsbedrohungen zu erhöhen, Cyber-Sicherheit zu fördern und die neuesten Sicherheitsinformationen, durch Bildung und Austausch bewährter Praktiken (Good Practice) aber auch Wettbewerbe zur Verfügung zu stellen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dokumentiert gemeinsam mit der europäischen IT-Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security) Aktionen diverser Partner und bündelt diese, um eine große öffentliche Wirkung zu erzielen. Das BSI übernimmt in diesem Kontext die Aufgaben einer Koordinierungsstelle für deutsche Partner.

Der Fachbereich Informatik der Fachhochschule Dortmund beteiligt sich mit der Aufklärung einiger Sicherheitsirrtümer und einigen praktischen Sicherheitstipps auf dieser speziellen Aktionswebsite, die im Laufe des Oktober sukzessive mit Inhalten gefüllt wird.

nach obennach unten

31.10.: Zitat "Sichere Schritte"

Wer sichere Schritte tun will, muß langsam gehen.

Johann Wolfgang von Goethe (1749-1832), dt. Dichter

nach obennach unten

30.10.: Sicherheits-Irrtümer: „Ein einziges komplexes, sicheres Passwort reicht aus für alle Dienste und Webseiten!“

Dieser Gedanke ist ein Trugschluß. Natürlich sollte ein Passwort „sicher“, also schwer zu „knacken“ sein – hier sei auf die Passwort-Tipps des BSI hingewiesen.

Aber auch ein „starkes“ Passwort kann verloren gehen, ausgespäht werden oder eben doch „geknackt“ werden. Und wenn man dann nur eins hat, dann sind gleich alle Dienste und Webseiten für den Angreifer offen. Zumindest für jeden sensiblen Dienst sollte ein eigenes, „starkes“ Passwort verwendet werden.

Passwort-Safe Software wie KeePass (oder ähnliche) hilft bei der Verwaltung und Erzeugung solcher Passwörter. Siehe auch: Irrtum 3: "Ein einziges langes Buchstaben- und Zeichen-Passwort reicht für meine Online-Dienste vollkommen aus.".

Wie „sicher“ ihr Passwort ist, können sie beispielsweise hier https://password.kaspersky.com/de/ oder hier https://howsecureismypassword.net/ überprüfen (verwenden Sie niemals wirklich genutzte Passwörter dafür!).

Weitere Tipps für „sichere“ Passwörter gibt es hier http://www.heise.de/security/artikel/Passwort-Schutz-fuer-jeden-1792413.html.

Quelle: Gauß IT-Zentrum TU Braunchweig

nach obennach unten

29.10.: Initiative botfrei des eco-Verbands

botfrei.de ist ein kostenloser Service des eco – Verband der Internetwirtschaft e.V. mit freundlicher Unterstützung seiner Mitgliedsunternehmen. botfrei.de hat zum Ziel, die Zahl der infizierten Computer, Tablets und Smartphones zu verringern und Anwendern dabei zu helfen, ihre Internetgeräte von Schadprogrammen zu säubern. Wir möchten mit botfrei.de als Verband der Internetwirtschaft dazu beitragen das Internet nachhaltig sicherer zu machen und so auch den Wirtschaftsstandort Deutschland zu stärken.

Dort finden Sie eine Vielzahl von Sicherheitschecks, die Ihnen dabei helfen Ihren Computer zu schützen oder weiter abzusichern.

In der Ransomware-Galerie finden Sie eine Übersicht mit verschiedenen Arten von Ransomware mit detaillierten Informationen zur Bedrohung und ob die verschlüsselten Dateien durch einen Decrypter wieder entschlüsselbar sind oder vorerst noch keine Lösung verfügbar ist.

nach obennach unten

26.10.: Quiz zur IT-Sicherheitshistorie

Nehmen Sie an unserem Quiz über die Geschichte der IT-Sicherheit teil. Die zehn Fragen reichen von den ersten Hackern in den 70er Jahren bis zum aktuellen Verschlüsselungs-Trojaner Locky.

Mit den Zutaten Wissen, Recherche und Kombinationsgabe ist das Lösungswort mit ein wenig Aufwand aber sicherlich auch einigem Spaß zu ermitteln. Als Hauptpreis winkt ein Buch über Software Pioniere.

nach obennach unten

25.10.: Zitat "Sichere Systeme"

"Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein."

- Gene Spafford -Sicherheitsexperte

nach obennach unten

21.10.: Sicherheits-Irrtümer: Computer-Sicherheit

Das Gauß-IT-Zentrums der TU Braunschweig hat eine Sammlung von Sicherheits-Irrtümern zusammengestellt und diese mit praktischen Tipps und hilfreichen Links versehen.

Hier ein Beispiel aus dem Bereich Computer-Sicherheit:

Irrtum 1: "Wenn sich mein Rechner infiziert hat, denn merke ich das." Nicht jeder Schädling macht sich auch bemerkbar. Es gibt verschiedenste Arten von Schadsoftware.

Wenn das Ziel des Angriffs z.B. der Identitätsdiebstahl (Ihre Nutzerkennungen + Passwörter), die Fernsteuerung Ihres Rechners für weitere Angriffe (Ihr Rechner wird Teil einer Distributed Denial of Service-Attacke (DDoS) oder eines Botnetzes) oder das massenhafte Versenden von SPAM ist, dann wird der Angreifer natürlich alles tun, damit sie den Angriff bzw. die Infektion eben nicht bemerken – und das gelingt auch.

Eine 100%ige Sicherheit vor Infektionen gibt es nicht. Wenn Sie aber Ihre Virensoftware aktuell halten und auch alle anderen Softwarepakete auf dem neuesten Stand halten, vorsichtig sind beim Anklicken von Links und dem Öffnen von E-Mails und Software nur von bekannten, vertrauenswürdigen Quellen herunter laden, sind sie schon ein ganzes Stück weiter.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hier https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Checklisten/Massnahmen_gegen_Internetangriffe.html?nn=7904670 weitere Tipps. Siehe auch https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Sicherheitsirrtuemer.html?nn=7904670&cms_pos=3

Weitere Infos unter: Veranstaltungen des Gauß-IT-Zentrums im Rahmen des European Cyber Security Month 2016

nach obennach unten

20.10.: 3-Sekunden-Sicherheits-Check für E-Mails

Mit einem 3-Sekunden-Sicherheits-Check können E-Mail-Risiken bereits stark gemindert werden.

Absender, Betreff und Anhang sind hierbei drei kritische Punkte, die vor dem Öffnen jeder E-Mail geprüft und hinterfragt werden sollten.

  1. Ist mir der Absender bekannt?
  2. Ist der Betreff sinnvoll?
  3. Wird ein Anhang von diesem Absender erwartet?

Die Beantwortung aller drei Fragen bietet einen guten Anhaltspunkt, um zu entscheiden, ob die E-Mail als vertrauenswürdig einzustufen ist oder ob sie direkt gelöscht werden sollte. Im Zweifelsfall sollten Sie vor dem Öffnen persönlich beim Absender nachfragen, ob er eine E-Mail geschickt hat.

Quelle: BSI

nach obennach unten

19.10.: Risiko Internet of Things

In den letzten Monaten sind vielfältige Pressemeldungen erschienen, die die Gefahren des Internet of Things (IoT) offenbaren.

Erst Anfang Oktober berichten verschiedene Medien, dass sich Insulinpumpen des US-Pharmakonzerns Johnson&Johnson über kürzere Entfernungen zum Patienten hinweg manipulieren lassen. Eine dadurch möglicherweise herbeigeführte Über- oder Unterzuckerung kann zum Tod führen.

Entdeckt hat die Sicherheitslücke ein an Diabetes leidender IT-Experte, der aus Neugier seine eigene Pumpe untersucht hat. Dabei deckte er auf, dass das Signal der Fernsteuerung für seine Insulinpumpe unverschlüsselt ist. Es handelt sich um eine Pumpe der Marke „OneTouch Ping“ der Johnson&Johnson-Tochter Animas.

Die Fernsteuerung der Pumpen lässt sich zwar deaktivieren und es kann auch zur Sicherheit eine Höchstdosis eingestellt werden, aber ist sich ein Nutzer dieser Gefahren nicht bewusst, so ist eine gefährliche Manipulation möglich.

Bereits vor einiger Zeit erregte die Meldung "Herzschrittmacher gehackt" Aufsehen. Auch diese Gefahr existiert.

Generell lässt sich sagen, dass das Internet of Things neben vielen Vorteilen und Lebenserleichterungen eben auch neue Gefahren birgt, derer man sich bewusst sein sollte, um sie zu vermeiden oder zu vermindern.

nach obennach unten

18.10.: Zitat "Passwörter sind wie Unterwäsche"

"Passwords are like underwear: you don’t let people see it, you should change it very often, and you shouldn’t share it with strangers."

– Chris Pirillo (*1973) ist der Gründer und CEO von LockerGnome, Inc., ein Netzwerk von Blogs, Web-Foren, Mailing-Listen und Online-Communities

nach obennach unten

17.10.: Gartners Top 10 Sicherheitsvorhersagen für 2016

Gartner macht für 2016 und die kommenden zwei bis vier Jahre folgende Sicherheitsvorhersagen:

  1. Bis 2020 sind 99% der Schwachstellen, die ausgenutzt werden, der Sicherheit und IT-Profis seit mindestens einem Jahr bekannt.
  2. Bis 2020 wird ein Drittel der erfolgreichen Angriffe auf Unternehmen auf ihre Schatten-IT Ressourcen ausgerichtet sein.
  3. Bis 2018 wird die Notwendigkeit, Datenverstöße gegen öffentliche Clouds zu verhindern, 20% der Organisationen zur Entwicklung von Governance-Programmen für die Datensicherheit bewegen.
  4. Bis 2020 werden 40% der Unternehmen, die in DevOps (Kofferwort aus Development und IT Operations) engagiert sind, entwickelte Anwendungen absichern, indem sie Applikationssicherheits-Selbsttests, Selbstdiagnose und Selbstschutztechnologien anwenden.
  5. Bis 2020 werden 80% der neuen Angebote für Cloud-basierte Cloud Access Security Broker (CASB) mit Netzwerk Firewall, Secure Web Gateway (SWG) und Web Application Firewall (WAF) Plattformen verpackt.
  6. Bis 2020 werden 80% der neuen Angebote für Cloud-basierte CASB mit Netzwerk Firewall, Secure Web Gateway (SWG) und Web Application Firewall (WAF) Plattformen verpackt.
  7. Bis 2018 wird der Anteil der Unternehmen, die native mobile containments (Einkapselungen von mobilen Applikationen) als Drittanbieteroptionen nutzen, von 20% auf 60% steigen.
  8. Bis 2019 werden 40% der Identity as a Service (IDaaS)-Implementierungen die lokalen Identity and Access Management (IAM)-Implementierungen ersetzen, von heute 10%.
  9. Bis 2019 wird die Verwendung von Passwörtern und Token in Anwendungsfällen mit mittlerem Risiko aufgrund der Einführung von Erkennungstechnologien um 55% sinken.
  10. Bis 2018 werden über 50% der IoT-Gerätehersteller nicht in der Lage sein, Bedrohungen aufgrund von schwachen Authentifizierungsmethoden anzugehen.
  11. Bis 2020 werden mehr als 25% der identifizierten Angriffe auf Unternehmen IoT betreffen, während gleichzeitig IoT nur 10% der IT-Sicherheits-Budgets ausmachen wird.
nach obennach unten

16.10.: Zitat "Nichts ist so sicher geschützt..."

"Nichts ist so sicher geschützt, dass es nicht mit Geld erobert werden kann." - In C. Verrem actio prima (Erste Verhandlung gegen Verres) 2

Original lat.: "Nihil tam munitum quod non expugnari pecunia possit."

Marcus Tullius Cicero (106 v.Chr. - 43 v.Chr.), römischer Politiker und Philosoph

nach obennach unten

12.10.: Datenklau in 2016

Auch in 2016 halten die Meldungen über Datendiebstähle an und erreichen mit dem Yahoo-Hack auch neue Dimensionen. Teilweise fand die Entwendung der Daten zwar bereits vor mehreren Jahren statt, aber erst jetzt wurde sie offenbar. Hier einige aktuelle Headlines von heise.de:

  • 22.09.2016: Rekordhack bei Yahoo: Daten von halber Milliarde Konten kopiert
  • 07.09.2016: Fast 100 Millionen Klartextpasswörter von russischem Web-Portal Rambler im Netz
  • 03.09.2016: Erbeutete Daten von Last.fm-Kunden kursieren offenbar im Netz
  • 31.08.2016: Gestohlene Dropbox-Passwörter offenbar echt
  • 02.08.2016: Login-Daten von 200 Millionen Yahoo-Nutzern im Netz
  • 29.07.2016: Elektronikversand Pollin bestätigt schwerwiegenden Hacker-Angriff

Wenn Sie nicht sicher sind, ob Ihre Daten auch bei einem dieser Diebstähle entwendet worden sind, so nutzen Sie doch den BSI-Sicherheitstest. Diese Webseite bietet eine Überprüfungsmöglichkeit, ob Sie von dem Identitätsdiebstahl betroffen sind. Der Abgleich findet mit einer Liste von E-Mail-Adressen statt, die von der Staatsanwaltschaft Verden (Aller) im Rahmen eines Ermittlungsverfahrens entdeckt und dem BSI übergeben wurden, damit Betroffene informiert werden und erforderliche Schutzmaßnahmen treffen können.

nach obennach unten

11.10.: Zitat "The problem of viruses"

"The problem of viruses is temporary and will be solved in 2 years." - John McAfee, 1988, founder of McAfee Antivirus
nach obennach unten

10.10.: Kennen Sie die Schutzziele der Informationssicherheit?

In der Informationssicherheit unterscheidet man drei wesentliche Schutzziele bzw. Grundbedrohungen,
nämlich den Verlust der Verfügbarkeit, der Integrität und der Vertraulichkeit.
In den letzten Jahren kam unter dem Eindruck der fortschreitenden Technik zur Übertragung von Dokumenten
und Urkunden noch die Grundbedrohung des Verlusts der Authentizität hinzu.
Ziel der Maßnahmen zur Gewinnung informationstechnischer Sicherheit ist die Abwehr der Grundbedrohungen
mit wirksamen und angemessenen Maßnahmen.

Die Bedrohung der Verfügbarkeit (engl.: availability) betrifft Daten, Informationen, Anwendungen (Software),
Hardware und alle sonstigen für die Verarbeitung notwendigen Mittel.
Es ist daher alles Notwendige zu unternehmen, um zu verhindern, dass

  • Daten verschwinden oder nicht zugreifbar sind, wenn sie gebraucht werden,
  • Anwendungen nicht funktionsbereit sind, wenn sie aufgerufen werden sollen,
  • Hardware und sonstige notwendigen Mittel nicht funktionsfähig oder gar verschwunden ist,
    wenn sie für die Verarbeitung benötigt wird.

Generell geht es also darum, dass die gewünschten Funktionen eines Systems zur Verfügung stehen, wenn man sie braucht.

Die Bedrohung der Integrität (engl.: integrity) betrifft ebenfalls Daten, Informationen, Anwendungen (Software),
Hardware und alle sonstigen für die Verarbeitung notwendigen Mittel.
Es ist daher alles Notwendige zu unternehmen, um zu verhindern, dass

  • Daten verfälscht werden und falsche Daten verarbeitet werden,
  • Programme (Anwendungen) verfälscht werden, so dass sie (insbesondere unbemerkt) fehlerhafte Ergebnisse erzeugen
    oder Funktionen ausführen, die nicht erwünscht sind,
  • Hardware und sonstige notwendigen Mittel verfälscht werden, so dass sie gewünschte Funktionen unterlassen
    oder fehlerhaft ausführen oder unerwünschte Funktionen ausführen.

Die Bedrohung der Vertraulichkeit (engl.: confidentiality) betrifft vor allem Daten im Besonderen auch
personenbezogene Daten und Informationen. Es ist daher alles Notwendige zu unternehmen, um zu verhindern,
dass Daten und Informationen in unbefugte Hände geraten sollen. Allerdings gibt es Umstände, unter denen
auch Anwendungen und Systemkonfigurationen Unbefugten gegenüber vertraulich zu behandeln sind.

Die Bedrohung der Authentizität (engl.: authenticity) betrifft jegliche Objekte aber insbesondere
Dokumente und Urkunden, die elektronisch übertragen werden. Es ist daher alles Notwendige zu unternehmen,
um zu verhindern, dass zu der richtigen Herkunft solcher Daten Zweifel bestehen können und die Urheber
dieser Daten korrekt authentifiziert werden können. Allerdings kann es in bestimmten Anwendungszusammenhängen auch wichtig sein,
dass die Authentizität von Anwendungen und von Hardware und anderen erforderlichen Mittel garantiert
werden muss (z.B. im elektronischen Zahlungsverkehr).

nach obennach unten

7.10. Bürger-CERT

Kennen Sie eigentlich das Bürger-CERT?

CERT steht übrigens für Computer Emergency Response Team, deutsch Computersicherheits-Ereignis- und Reaktionsteam.

Das Bürger-CERT informiert und warnt Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern und Sicherheitslücken in Computeranwendungen – kostenfrei und absolut neutral. Unsere Experten analysieren für Sie rund um die Uhr die Sicherheitslage im Internet und verschicken bei Handlungsbedarf Warnmeldungen und Sicherheitshinweise per E-Mail. Das Bürger-CERT ist ein Projekt des Bundesamtes für Sicherheit in der Informationstechnik. Wenn auch Sie auf Nummer Sicher gehen wollen, abonnieren Sie unsere Dienste.

Das Bürger-CERT bietet Ihnen drei unterschiedliche Informationsdienste im Abonnement an, für die Sie sich hier kostenlos registrieren können.

nach obennach unten

7.10.: Zitat "the weakest link in the security chain"

“Companies spend millions of dollars on firewalls, encryption and secure access devices, and it’s money wasted, because none of these measures address the weakest link in the security chain.” – Kevin David Mitnick, US-amerikanischer ehemaliger Hacker, Experte im Bereich Social Engineering und Geschäftsführer einer Sicherheitsfirma.
nach obennach unten

6.10.: Sicher online bezahlen

"Sicher online bezahlen" ist auch das Thema der ersten Woche des Aktionsmonats Der Verein Deutschland sicher im Netz e.V. hat folgende Regeln zum sicheren Bezahlen veröffentlicht:

  • Teilen Sie niemandem Ihre Passwörter oder sensible Daten wie PINs und TANs mit und speichern Sie diese nirgendwo ab.
  • Stellen Sie immer vor Eingabe Ihrer Daten sicher, dass Sie nicht auf eine gefälschte Bank-Website umgeleitet wurden. Achten Sie dazu auf das Kürzel https:// in der Adresszeile und ein Schlosssymbol in der Fußleiste.
  • Legen Sie bei Ihrer Bank ein Zahlungslimit fest, so dass nicht unbemerkt hohe Summen abgebucht werden können.
  • Tätigen Sie Online-Einkäufe nur vom eigenen Rechner aus. Im Internetcafe ist die Gefahr sehr groß, dass Angreifer die Daten stehlen.
  • Prüfen Sie regelmäßig Ihre Kontoauszüge. Fallen Ihnen nicht erklärbare Zahlungen auf, wenden Sie sich umgehend an Ihre Bank und lassen Sie die Beträge zurückbuchen.
nach obennach unten

5.10.: Zitat "Understanding of problems and technology"

“If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.” – Bruce Schneier, US-amerikanischer Experte für Kryptographie und Computersicherheit

nach obennach unten

5.10.: Online-Umfrage 2016: Wie schützen sich Nutzer vor Kriminalität im Internet?

Online-Umfrage des BSI und der Polizei zur Online-Sicherheit

Die Online-Umfrage von Polizei und BSI startet am 1. Oktober. Bis zum 16. Oktober können Nutzer daran teilnehmen. Die Ergebnisse der Umfrage werden anschließend an gleicher Stelle veröffentlicht. Die Umfrage umfasst 12 Fragen. Sie verfolgt das Ziel, herauszufinden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Polizei (Polizeiliche Kriminalprävention der Länder und des Bundes) Sie besser über Cyberkriminalität informieren können.

Die Umfrage ist Teil der Aktionen von ProPK und BSI zum Europäischen Monat der Cyber-Sicherheit. Die aus ihr gewonnenen Ergebnisse fließen in weitere kooperative Maßnahmen der beiden Partner ein.

nach obennach unten

4.10.: Tipps: Schütze Dein Smartphone vor fremdem Zugriff

  • Lass Deine mobilen Geräte niemals unbeaufsichtigt, um unbefugte Zugriffe und Manipulationen zu verhindern.
  • Richte Dir eine Displaysperre ein. So kann im Fall, dass Du Dein Smartphone verlierst oder nur kurz unbeaufsichtigt liegen lässt, niemand auf die Schnelle auf Deine Daten zugreifen. Hier gibt es viele unterschiedliche Varianten: von Passwort über PIN und Muster zum Face Unlock (Gesichtserkennung).
  • Spiele immer alle Updates ein. Egal ob Android-Phone, iPhone, Blackbarry oder Windows-Phone, überall werden Sicherheitsupdates entwickelt und zur Verfügung gestellt.
  • Sei zurückhaltend bei der Weitergabe Deiner Mobiltelefonnummer.
  • Schalte nicht benötigte Dienste wie Bluetooth, WLAN und GPS aus. So kann Dein Smartphone nicht von extern auf Lücken gescannt werden, zu neugierige Apps können so z.B. weniger über Deinen Standort erfahren und der Akku hält auch länger.
  • Sei vorsichtig bei der Einwahl in öffentliche WLANs.

(gefunden bei http://www.it.tum.de/it-sicherheit/fuer-studierende/)

nach obennach unten

4.10.: Zitat "Jeder wird irgendwann gehackt"

"Es gibt zwei Arten von Unternehmen: solche, die schon gehackt wurden, und solche, die es noch werden."
Robert Mueller (Direktor des FBI, 2012)

nach obennach unten

1.10.: Gewinnspiel sicher bezahlen und IT-Sicherheit

Die Firma DATA-S aus Ulm bietet als Aktion im Rahmen des ECSM ein Gewinnspiel zum Thema IT-Sicherheit!

Jede Woche des ECSM 2016 stellen sie auf Ihrer Homepage data-s.de eine Gewinnfrage passend zum Wochenthema ein - je schwieriger die Frage, desto toller die Preise!

Sie verlosen unter allen Teilnehmern wöchentlich ein Überraschungspaket!

Mitmachen lohnt sich: den Gewinnern winken z.B. Demozugänge für unsere eLearning-Plattform oder auch Tickets für Basketballspiele in Ulm!

nach obennach unten