Blog

Impressionen von Kongressen und Berichte über andere für CISO's relevante Informationen:

Nutzt die Microsoft Office 365 (DE) Cloud Ressourcen vom Ministry of Defence (UK)?

Für Unternehmen die seriös mit dem Thema Datenschutz umgehen, ist es von großer Bedeutung, dass sie das geltende Recht einhalten sowie dem von ihren Kunden und Geschäftspartnern entgegen gebrachtem Vertrauen gerecht werden. Selbst Firmen, die das Thema Datenschutz und die damit verbundene Einhaltung der Gesetzte eher als ein optionales Thema betrachten, wachen langsam wegen der kommenden Datenschutz-Grundverordnung (DSGVO) auf. 

 

Dieser vom Gesetzgeber erzeugte Handlungsdruck auf die Unternehmen, fußt auch zu einem gewissen Teil darauf, dass es die schwarzen Schafe in der Wirtschaft mit einer beängstigenden Regelmäßigkeit in die Medien schaffen und wegen der Datenverluste letztlich auch das Vertrauen der Kunden in ganze Branchen immer wieder erschüttert wird. Doch nicht nur das dahinterstehende Missmanagement kann für diesen zunehmenden Vertrauensverlust verantwortlich gemacht werden, auch Staaten haben es dank der Whistleblower und der bereits zuvor von Herrn Caspar Bowden publizierten Hinweise geschafft, dass wirklich jeder Bürger zum Schluss kommen könnte, dass die Vertraulichkeit seiner Informationen spätestens an unserer Landesgrenze endet. 

 

mehr lesen

Glaube, Hoffnung und die Realität

Viele Unternehmen zeigen noch immer ein fehlendes Bewusstsein für den richtigen Umgang mit Cyberrisiken

 

Die in regelmäßigen Abständen auftretenden und in der Presse behandelten Sicherheitsvorfälle, sind geradezu beispielhaft für die Folgen eines schlechten Managements im Bereich der Informationssicherheit. Scheinbar sind den betroffenen Unternehmen über mehrere Jahre hinweg andere Themen wichtiger gewesen, als die Implementierung von ausreichenden Sicherheitsmaßnahmen. So kam und kommt es immer wieder zu erfolgreichen Angriffen, die das Vertrauen der Kunden erschüttern. Besonders während einer Unternehmensfusion und in anderen kritischen Phasen, können diese Versäumnisse Geschäftsabschlüsse verhindern und letztlich Existenzen bedrohen.

 

Verluste von persönlichen Informationen sollte man niemals aussitzen und unnötig verheimlichen. Denn im Ende 2016 bekanntgewordenen "Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU)" wurde klar gestellt, dass die Bußgeldtatbestände auch für Geschäftsführer, Vorstände, Datenschutzbeauftragte und weitere Personen gelten sollen, die sich bei einem vom Unternehmen begangenen Datenschutzverstoß beteiligt haben. Die in der Presse diskutierte Deckelung des Bußgeldes auf 300.000 Euro bezieht sich dabei nur auf natürliche Personen, ein Unternehmen kann weiterhin mit bis zu 20 Mio. Euro oder 4 Prozent des gesamten weltweit Jahresumsatzes belangt werden. Zwar wurde dieser Entwurf zwischenzeitlich verworfen, jedoch folgte er lediglich dem der EU-Datenschutzgrundverordnung (GDPR – General Data Protection Regulation) zugrunde liegenden Gedanken. 

mehr lesen

Informationssicherheitsbeauftragte können die Welt nicht retten

Vereinzelt trifft man in Unternehmen noch auf die Meinung, dass der Informationssicherheitsbeauftragte allein für die von ihm identifizierten Risiken verantwortlich ist, die mögliche Schadenshöhe selbst abschätzen und technische Maßnahmen zur Risikominimierung implementieren soll. Ein Blick auf die in diesem Kontext relevanten Normen ISO 2700x und 31000 sowie das am 15.09.2015 von der BaFin veröffentlichte Auslegungsschreiben schafft jedoch Klarheit: 

 

Informationssicherheitsbeauftragte können die Welt nicht retten. Sie sorgen durch ein funktionierendes und adäquates Informationssicherheitsmanagementsystem (ISMS) dafür, dass andere die Welt retten können. 

 

mehr lesen

MasterCard PayPass und VISA payWave: Wie sicher ist das Bezahlen im Vorbeigehen wirklich?

Auch ich nenne mittlerweile eine Kreditkarte mit NFC-Funktion zum kontaktlosen Bezahlen mein Eigen. Umso mehr habe ich aktuelle Meldungen zur Sicherheit dieser Karten verfolgt und mit den mir bereits bekannten Risiken verknüpft.

 

Kurzgesagt ist es möglich die zum Online-Shoppen erforderlichen Kartendaten mittels selbstgebauter Antenne und einer Android-App über 20cm auszulesen. Die in den Artikeln und Fernsehsendungen genannte letzte Verteidigungslinie, der dreistellige Sicherheitscode auf der Rückseite der Karte, ist entgegen der von den Medien suggerierten Erwartung bereits im Dezember 2014 öffentlich gefallen. Der Sicherheitsexperte Andrea Barisani erwähnte nämlich am 28.12.2014 in seinem CCC-Vortrag "31c3: Practical EMV PIN interception and fraud detection" in Hamburg die Möglichkeit, den sogenannten Card-Verification-Code mittels manipuliertem Terminal und einer simplen Brute-Force-Attacke innerhalb von Minuten zu ermitteln.

 

mehr lesen

Informationssicherheit: Woran erkennt man akuten Handlungsbedarf und wie wichtig ist die Unterstützung der Unternehmensführung?

Kurz vor dem Ende eines Projektes zur Entwicklung einer neuen E-Commerce-Webanwendung, wendet sich der Projektleiter an die IT-Sicherheit und bittet um schnellstmögliche Freigabe der Applikation für den IT-Betrieb, da seinerseits feste Zusagen bezüglich des Live-Gangs getroffen wurden und jede weitere Verzögerung das ohnehin schon knappe Projektbudget überfordern würde. Die IT-Sicherheit erkennt die Dringlichkeit seines Anliegens und bittet den Datenschutzbeauftragten, den Informationssicherheitsbeauftragten sowie den verantwortlichen Softwareentwickler und IT-Administrator zum Gespräch. Der Softwareentwickler sieht bei der gewählten Programmiersprache einige Schwachstellen, die beispielsweise durch Codereviews abgefangen werden müssen. Jedoch traut er sich nicht seine Bedenken zu äußern, da seine Abteilung bereits bei mehreren Projekten in Verzug ist und die Überstunden deshalb stark zugenommen haben. Der IT-Administrator erkennt, dass ihm die geplante Wartung der Anwendung durch einen externen Dienstleister zusätzliche Arbeit ersparen kann und verdrängt seine Gedanken bezüglich der dafür benötigten Zugriffsrechte in das Unternehmensnetzwerk, die der Fremdfirma gewährt werden müssen. Der Datenschutzbeauftragte arbeitet kommissarisch und seine primäre Tätigkeit lässt ihm leider kaum Zeit an solchen Besprechung teilzunehmen. Er bittet den Informationssicherheitsbeauftragten in seinem Interesse zu handeln und freut sich über eine Zusammenfassung der Ergebnisse via Mail. Der Informationssicherheitsbeauftragte wiederum erkennt die Reichweite des Projekts (Auswirkung bei Verfügbarkeitseinschränkungen oder Datenabfluss) und fordert daher einen Penetrationstest vor dem Live-Gang sowie die Einhaltung der relevanten Richtlinien. Ihm ist bewusst, dass das Projekt weder über die Zeit noch das Budget für seine Forderungen verfügt und bedauert, dass die von ihm vor geraumer Zeit überarbeitete Informationssicherheitsrichtlinie noch nicht Unterzeichnet worden ist. Diese Neufassung soll nämlich wichtige Aspekte der Informationssicherheit regeln und grundlegende Anforderungen sowie Quality Gates für neue Projekte vorgeben. 
 
Diese fiktive Geschichte wurde von mir bewusst überspitzt. Falls Ihnen jedoch der eine oder andere Punkt bekannt vorkommt, besteht Handlungsbedarf und externe Unterstützung kann zur Steigerung des Senior Management Commitments sehr hilfreich sein. 
mehr lesen

Cybersecurity: Schwere Zeiten in Sicht!

Obwohl die Herausforderungen in Sachen Datenschutz, Informations-, IT- und Cyber-Sicherheit für alle Unternehmen stetig steigen, scheint diese Entwicklung bei vielen Firmen noch immer keinen allzu großen Einfluss auf die Personalpolitik und Entwicklung zu haben.  Zu dieser Überzeugung kann man jedenfalls gelangen, wenn man diesen sehr empfehlenswerten Artikel und die ihm zugrundeliegende Studie liest:

 

Fast jeder Zweite will 2017 den Job wechseln

Viele IT-Profis haben die Nase voll

"Achtung Arbeitgeber: Haken Sie doch einmal in Ihrer IT-Abteilung nach, wie zufrieden die Angestellten dort mit ihren Beschäftigungsverhältnissen sind. Denn vielfach besteht offensichtlich Handlungsbedarf. (...) Was die IT-Skills betrifft, auf die es 2017 ankommt, nannten 95 Prozent der Befragten Know-how in Cyber-Sicherheit, gefolgt von den so genannten Soft-Skills und Netzwerkkompetenz. (...) Hinzu kommt, dass 55 Prozent der Unternehmen bislang keine eigenen Experten für das Thema Cyber-Sicherheit haben. Die Mehrheit der Firmen will ihre IT-Angestellten auch nicht in Security-Trainings weiterbilden. (...)"

http://www.security-insider.de/viele-it-profis-haben-die-nase-voll-a-557214/

mehr lesen

Neue Dimension? Innenminister de Maiziere: Cyberattacken bedrohen Demokratie

Mich versetzt die Politik immer wieder ins Staunen, nicht nur da heute ein neuer Präsident der USA gewählt wurde. Vielmehr ist es aus meiner Sicht erschreckend, dass es so lange gedauert hat, bis die Brisanz und das Schadenspotential, welches seit weit über einem Jahrzehnt von mangelnder Informations- und IT-Sicherheit ausgeht, erst jetzt nachhaltig in den Focus der Politik und Wirtschaft rückt. Man konnte bereits im Jahre 2000 ohne Programmierkenntnisse einzigartige Schad- und Spionagesoftware erstellen, die über Monate von keinem Antivirenhersteller erkannt wurde. Von dieser Warte aus betrachtet, werden die Sprichwörter "lange Leitung" und "Kopf in den Sand stecken" zumindest für mich wieder einmal neu definiert, sobald man diesen Artikel vom Nachrichtensender n-tv liest:

mehr lesen

BSI veröffentlicht Bericht zur Lage der IT-Sicherheit in Deutschland 2016

mehr lesen

Datenschutz-Tipp: FAQs zur Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach § 42a BDSG

Ich wurde privat mal gefragt, ob Konto- und Kartennummern ohne den Namen des Inhabers schützenswerte Daten sind. Dazu vermerkte der Berliner Beauftragte für Datenschutz und Informationsfreiheit:

 

"Kreditkarten- und Kontonummern mit oder ohne Namen des Kreditkarten- und Bankkontoinhabers sind ebenfalls personenbezogene Daten zu Bank- oder Kreditkonten."

 

Ferner wird die Meldepflicht nach BDSG §42a auf der Seite 5 des Merkblatts wie folgt konkretisiert:

mehr lesen

IT Security: Sicherheit in der SAP-Anwendungsentwicklung

Anbei ein interessanter Artikel über die Möglichkeit einer automatisierten Kontrolle der Codequalität und -sicherheit von SAP Anwendungen:

 

http://www.Security-Insider.de/themenbereiche/applikationssicherheit/sichere-software-entwicklung/articles/552803

mehr lesen

Compliance: Überblick über rechtlich relevante Aspekte im Bereich der IT-Administration

Der folgende Beitrag gibt einen Überblick über die rechtlich relevanten Aspekte im Bereich der IT-Administration. Zunächst wird die Bindung der IT-Administratoren an das Fernmeldegeheimnis im Rahmen ihrer Tätigkeit in den Rechenzentren dargelegt. Hieraus ergeben sich weitreichende Konsequenzen für den Umgang mit den bei Telekommunikationsvorgängen anfallenden Daten.

 

https://www.dfn.de/rechtimdfn/rgwb/wissensbasis/wb2/itadmin/

mehr lesen

Internet Security Days 2016

mehr lesen