Posts Tagged ‘IT-Sicherheit’

Digitalisierung – der Angst entgegenwirken

10. Oktober 2017

Wir müssen den Menschen die Angst vor der Digitalisierung nehmen. Immer wieder gebe ich Seminare rund um Big Data, IT-Sicherheit, Social Media oder Künstliche Intelligenz und ich stelle fest, viele Menschen haben Angst vor Veränderung. Angst ist aber immer ein schlechter Ratgeber. Daher ist Information angesagt. Nur Wissen und Information kann den Menschen die Angst nehmen und treibt sie nicht in die Arme von seltsamen Heilsversprechern. Natürlich gilt es die Digitalisierung zu hinterfragen und zu diskutieren. Aber dies kann man nur durch Information.
Mir begegnen als Referent immer wieder Menschen, die irre stolz sind, wenn sie ihren Mailaccount beim Smartphone einrichten können. Für diese Menschen ist dies bereits ein großer Schritt in Richtung Digitalisierung. Da sind manche meiner Vorträge nahezu Science Fiction, wenn ich über KI oder Sprachassistenten spreche. Für uns IT-Fuzzis ist dies schon normal. Wir diskutieren die Feinheiten zwischen Siri, Alexa und Google Assistent. Die biometrische Gesichtserkennung beim kommenden iPhone X grenzt für diese Seminarteilnehmer nahezu an ein Wunder und von autonomem Fahren haben die Leute nur am Rande etwas gehört.

Die MS Hololens ist für viele Science Fiction.

Die MS Hololens ist für viele Science Fiction.

Hier greifen meine Vorträge zur Digitalisierung, denn ich will diese Leute mitnehmen in eine spannende technische Zukunft, die kritisch hinterfragt werden muss. Wenn ich im Spiegel lese, dass viele Wirtschaftslenker in Deutschland von Digitalisierung keine Ahnung haben, macht es mir um unser Land und unsere Wirtschaft Angst. Hier setze ich mit meinen Seminaren an – und sehe dies als Beitrag zur Medienkompetenz. Aber dazu braucht es auch aufgeschlossene, interessierte Zuhörer.
Vielen Menschen geht die technische Veränderung zu schnell. Sie fühlen sich überfahren, oft allein gelassen und von den Entwicklungen überfordert. Das darf aber in einem Bildungsland wie Deutschland meiner Meinung nach nicht sein.

Technische Neuerungen setzen sich langsam durch.

Technische Neuerungen setzen sich langsam durch.

Technische Neuerungen hatten früher lange gedauert. Ich erinnere mich als Kind, wie der erste Farbfernseher von Grundig die Schwarzweißröhre abgelöst hat, und dann veränderte sich jahrelang nichts mehr im elterlichen Wohnzimmer. Als der Videorekorder kam, musste ich ihn bedienen, meine Eltern waren überfordert. Von der Wählscheibe zum Tastentelefon war es auch ein langer Weg. Die Einführung von technischen Neuerungen beschleunigte sich und meine Eltern waren neugierig, geschockt und verharrten in ihrer alten, oftmals analogen Welt. Jetzt will ich die Erfahrungen mit meinen Eltern nicht auf die Gesellschaft übertragen und dennoch merke ich bei vielen Leuten eine Angst vor etwas Neuem.

Der Computer war eine Revolution.

Der Computer war eine Revolution.

Und im Vordergrund stehen auch immer Sicherheitsbedenken. Smart Home wird verteufelt, weil in irgendeiner Reportage gesagt wurde, wie leicht man ausspioniert werden kann. Ich will mich nicht über die Bedenken lustig machen, sondern wir müssen die Angst ernst nehmen und die Leute informieren. Nicht Panikmache ist wichtig, sondern Information. Information über die Chancen und Risiken, so dass ich am Ende ein Urteil fällen kann und die Digitalisierung in das Leben einbeziehen kann. Wir stehen erst am Anfang der Digitalisierung. Die digitale Welle ist schon am Horizont zu sehen und die Vogel-Strauß-Taktik ist sicher der falsche Weg.

Eigene Apple-Geräte im Unternehmen

2. September 2015

Als ich noch bei Verlagen angestellt war, nutze ich in der Regel den IT-Park des Unternehmens. Größter Nachteil: Das Zeug war in der Regel veraltet und nicht flexibel. Für einen Chefredakteur und meinen Mitarbeitern von IT-Zeitschriften also ein Alptraum. Also nutzen wir Zug um Zug auch eigene IT-Infrastruktur, um unsere Arbeit richtig machen zu können. Das Schlimmste war für mich die Nutzung eines Uralt-Blackberry, der in der Schublade lag, während ich das erste iPhone benutzte. Wir wussten, was wir da tun.

Bei Wearables wird der Einsatz Privat und Beruflich noch schwieriger

Bei Wearables wird der Einsatz Privat und Beruflich noch schwieriger

Dass dies nicht überall zu so, zeigt eine Studie von Centrify, ein Anbieter von Lösungen für Identity & Access Management (IAM). Hier wurde die Compliance von Apple Geräten am Arbeitsplatz hinsichtlich bestimmter Sicherheitsrichtlinien untersucht. Die Studie bezieht sich zwar auf die USA, aber lässt sich teilweise auch auf Deutschland übertragen. Die in Zusammenarbeit mit Dimensional Research durchgeführte Studie zeigte, dass mittlerweile viele US-amerikanische Anwender Apple Geräte am Arbeitsplatz nutzen. Allerdings sind Unternehmen durch die mangelnde Sicherheit und die fehlende Verwaltung der Geräte hohen Risiken ausgesetzt.
Von insgesamt 2.249 befragten Arbeitnehmern gab knapp die Hälfte an, beruflich mindestens ein Apple Gerät zu benutzen. Darüber hinaus zeigte sich:

  • Die meisten dieser Apple Geräte (63%) sind kein Firmeneigentum, sondern in Privatbesitz und werden für die Arbeit mit Firmenmails, Dokumenten und Geschäftsapplikationen verwendet.
  • 59% der Mac Computer greifen auf vertrauliche Unternehmensinformationen zu, bei sensiblen oder reglementierten Kundendaten sind es sogar 65%.
  • 51% der iPhones und 58% der iPads werden am Arbeitsplatz genutzt, um auf Geschäftsapplikationen zuzugreifen.
  • Trotz der hohen Popularität von Apple Geräten am Arbeitsplatz investieren Unternehmen nicht genug in die Sicherheit und Verwaltung dieser Geräte.
  • Über die Hälfte (51%) aller Geräte ist lediglich von einem einfachen Passwort wie einem einzigen Wort oder einer Zahlenfolge gesichert.
  • Auf den meisten Geräten (58%) ist  keine Software installiert,  die komplexere Passwörter erzwingt.
    Über die Hälfte der Anwender (56%) gibt an, ihre Passwörter anderen mitgeteilt zu haben.
  • Nur 17% der Apple Geräte verfügen über einen vom Unternehmen gestellten Passwort-Manager.
    Unternehmenseigene Geräte-Management Lösungen sind nur auf 28% der Apple Geräte installiert.
  • Nur bei 35% der Geräte erzwingen Unternehmen eine Verschlüsselung der gespeicherten Daten.
    Ebenfalls wurde festgestellt, dass es keinen erkennbaren Zusammenhang zwischen der Komplexität des Passwortes und der Sensibilität der Daten gibt, die das Passwort schützt.

Ich will nicht den schwarzen Peter in die eine oder andere Richtung schieben. Aber für mich steht zweierlei fest: Unternehmen müssen attraktiver in ihrer IT-Infrastruktur werden und Mitarbeiter brauchen ein Bewusstsein für IT-Sicherheit.

Hier nutze ich mein privates iPhone für meine berufliche Arbeit.

Hier nutze ich mein privates iPhone für meine berufliche Arbeit.

„Die Apple Studie von Centrify verdeutlicht die großen Sicherheitslücken die entstehen, wenn Geräte nicht den Sicherheitsrichtlinien eines Unternehmens entsprechen”, sagt Bill Mann, Marketingchef bei Centrify. „Besonders Kundendaten stellen eine große Verantwortung für die Unternehmen dar. Wenn vertrauliche Informationen wie zum Beispiel Krankenakten bekannt werden, können Geldbußen und weitere rechtliche Schritte gegen das Unternehmen die Folge sein. Dabei gibt es bereits heute Lösungen, mit denen sich Apple Geräte sehr einfach sichern lassen, ohne die Produktivität der Nutzer einzuschränken. IT-Abteilungen sollten jetzt handeln.“ Freilich bietet Centrify die entsprechenden Lösungen, wie es in der Pressemitteilung des Unternehmens heißt.
Mir ist aber die Medienkompetenz innerhalb eines Unternehmens wichtig. Ich hatte für kurze Zeit Mitarbeiter, die immer nur von ihrem Arbeitgeber Leistungen eingefordert haben: Nach dem Motto „Ohne Schulung während der Arbeitszeit kann ich das nicht.“ Selbstinitiative war nicht vorhanden. Diese Mitarbeiter waren die längste Zeit meine Mitarbeiter. Sowohl Unternehmen als auch Mitarbeiter müssen ein Bewusstsein entwickeln oder schärfen. Medienkompetenz gehört da dazu.

Hacker haben die Sicherheitsarmutsgrenze im Visier

7. Juli 2015

Für ein Seminar über organisierte Kriminalität im Netz kam ich auf eine lesenswerte Broschüre des BKA über Hacker und Hacktivismus. Hacktivismus ist ein neues Phänomen, hervorgebracht durch die globale informations- und kommunikationstechnische Vernetzung. Ohne IuK-Technologien, ohne soziale Medien und ohne das Internet gäbe es keinen Hacktivismus, der als eines von vielen Cybercrime-Phänomenen letztlich nichts anderes als die digitalisierte Form von Aktivismus ist.
Es ist interessant, was das BKA herausgefunden hat: Hacktivismus zeichnet sich durch eine nicht-profitorientiere und ideologisch motivierte Ausübung von Taten zum Zwecke des Protests und der Propaganda aus und wird überwiegend von Gruppierungen ausgeübt. Diese Gruppierungen haben keine feste Mitgliederzahl, weisen (bis auf wenige Ausnahmen wie z. B. Lulzsec) keine Hierarchie und keine Kontrolle auf und üben häufig auch Aktivitäten ohne hacktivistische Ausrichtung aus, wie z. B. bloßes Hacking oder Spaßaktionen wie bei Anonymous. Einzeltäter sind eher selten, da sich politisches und soziales Engagement in Gruppen ausdrückt.

Logo der Hockervereinigung Lulzec

Logo der Hockervereinigung Lulzec

Über die Demographie gibt es auch einiges zu lesen: Die Mehrheit (ca. 90 %) der hacktivistisch agierenden Personen sind männlich und zwischen 16 und 30 Jahre alt. Belastbare Erkenntnisse zu sozioökonomischen Merkmalen liegen derzeit nicht vor. Aus der Fallanalyse des BKA ergibt sich der Hinweis auf eine Mehrheit an Schülern, Studenten und Auszubildenden, was auch der vorherrschenden Altersgruppe der Hacktivisten entsprechen würde. Bevorzugte Vorgehensweisen der Hacktivisten sind Web-Defacement, DDoS-Angriffe sowie das Ausspähen und Manipulieren von Daten. Geschädigte von Hacktivismus sind in erster Linie Regierungen (und Angehörige), Polizei und Unternehmen.
Immer wieder stieß ich bei meinen Recherchen auf den Begriff der Sicherheitsarmutsgrenze.
Der Begriff „Sicherheitsarmutsgrenze“ zieht eine Grenze zwischen Unternehmen, die über das zur Abwehr „opportunistischer Angreifer“ erforderliche akzeptable Minimum an Sicherheit verfügen beziehungsweise nicht verfügen. Unter „opportunistischen Angreifern“ werden dabei Hacker verstanden, die sich die grundlegenden Schwächen der IT-Sicherheit eines Unternehmens zu Nutze machen.

Veraltete Hard- und Software sind Angriffsziele.

Veraltete Hard- und Software sind Angriffsziele.

Die Sicherheitsarmutsgrenze bemisst sich daran, ob ein Unternehmen imstande ist, opportunistische Angriffe abzuwehren oder nicht. Daher ist es wichtig die Sicherheitslücken zu kennen, die üblicherweise ausgenutzt werden. Zu diesem Zweck hat Kaseya, ein Anbieter von Software für cloudbasiertes IT-Management, fünf Herangehensweisen zusammengestellt, mit denen sich aus Sicht des Unternehmens die Sicherheits-Armutsgrenze am besten überwinden lässt:

  1. Beschäftigen Sie einen für die IT-Sicherheit verantwortlichen Mitarbeiter. Jedes Unternehmen benötigt intern einen Ansprechpartner, der sich federführend für die IT-Sicherheit einsetzt und hierfür verantwortlich ist
  2. Nutzen Sie für die Zugriffskontrolle ein bewährtes System. Nutzt ein Unternehmen ein bewährtes System für die Durchführung von Zugriffskontrollen, ist dies ein weiteres, gutes Zeichen dafür, dass sein Sicherheitsniveau über der Armutsgrenze liegt.
  3. Überwachen und schützen Sie Endgeräte. Die Art und Weise, wie Unternehmen ihre Endgeräte überwachen und absichern, kann Aufschluss über deren Methoden zur IT-Sicherheit geben.
  4. Sorgen Sie dafür, dass die Netzwerkgrenzen klar abgesteckt und gesichert sind. Der Blick auf die Netzwerkgrenzen und deren Absicherung ist eine ausgezeichnete Möglichkeit um zu erkennen, ob die IT-Sicherheit eines Unternehmens auf bewährten Methoden beruht.
  5. Reduzieren Sie veraltete Hard- und Software auf das absolute Minimum. Eine der besten Möglichkeiten, das Sicherheitsniveau eines Unternehmens einzuschätzen besteht darin, festzustellen, ob die IT-Sicherheits-Infrastruktur technische veraltet ist und ob sich dies zum Positiven oder Negativen ändert.

Drei Viertel der deutschen Unternehmen von IT-Attacken betroffen

29. Oktober 2010

Immer wieder gebe ich Seminare zum Thema Schutz vor Viren, Trojaner und Co. Diese sind in der Regel ausgebucht, denn der Bedarf ist da. Heimanwender, aber auch Unternehmen haben Angst vor Attacken aus dem Netz.

Jetzt fiel mir eine aktuelle Studie von IDC in die Hände, die meine These untermauern. Drei Viertel der deutschen Unternehmen von IT-Attacken betroffen. Also liege ich mit meinen Seminaren voll richtig. Der Bedarf für meine Schulungen ist da.

Eine Umfrage bei deutschen Unternehmen zeigt, wie stark die Bedrohung inzwischen geworden ist: Rund 75 Prozent der deutschen Unternehmen waren in jüngster Zeit Opfer einer IT-Attacke. Etwa 20 Prozent der Unternehmen stellten fest, dass sie in Folge dieser Attacken einen Imageverlust und in vielen Fällen sogar finanzielle Einbußen hinnehmen mussten.

Die Studie wurde von Mai bis Juni 2010 von IDC im Auftrag von Kaspersky Lab durchgeführt. Kaspersky ist ein Antivirenhersteller und hat natürlich ein Interesse daran, seine Software an den Mann zu bringen. Auch ich schütze meine Rechner mit Software des russischen Unternehmens.

Fakt ist: Der Bedarf ist da. Fach- und Führungskräfte aus dem Bereich IT-Sicherheit von 206 deutschen Unternehmen mit mehr als 100 Mitarbeitern gaben Auskunft über ihre Erfahrungen. Die Multi-Client-Studie „IT-Security – Trends und Anwenderpräferenzen, Deutschland 2010“ stellt klar, wie komplex und aufwendig das Thema IT-Sicherheit inzwischen für Unternehmen geworden ist. Die Unternehmens-IT ist keine „Festung“ mehr, mit definierten, fixen Ein- und Ausgängen, die es zu sichern gilt. Moderne IT-Architekturen sind durch ihre Ausweitung ein Gebilde, in dem die Grenzen verschwimmen – nicht zuletzt durch den Einsatz von mobilen Endgeräten und Web-2.0-Technologien. Vor allem das Social Web stellt eine enorme Herausforderung in Bezug auf die ungewollte oder wissentliche Weitergabe von vertraulichen Informationen dar.

Weitere Erkenntnisse der Studie sind:

  • knapp 50 Prozent der befragten Unternehmen hatten aufgrund der Attacken mit IT-Ausfällen zu kämpfen
  • 17 beziehungsweise 16 Prozent der Unternehmen erklärten, dass sie finanzielle Verluste erlitten oder sogar Kunden und Verträge verloren haben
  • lediglich 13 Prozent der Unternehmen gehen davon aus, dass sie ein Optimum an Sicherheit erreicht hätten

Wie immer in der IT-Sicherheit ist die Dunkelziffer weit höher. Es ist wahrscheinlich, dass viele Unternehmen gar nicht wissen, dass sie Opfer eines Angriffs sind oder waren. In den modernen Netzen kommt der Endpoint-Sicherheit gerade wegen ihrer prinzipiellen Durchlässigkeit eine sehr hohe Bedeutung zu – ein Gebiet, auf dem Kaspersky Lab traditionell sehr stark ist. Neben der Absicherung von Endgeräten kommt bei Unternehmen die Sicherung von Servern, Storage-Systemen, Gateways, aber auch vernetzten Druckern hinzu – dies alles muss über geeignete Administrationswerkzeuge auch wirtschaftlich gesteuert werden können.

Alles in allem ist IT-Sicherheit heute eine Aufgabe, die zur zentralen Risiko-Absicherung gehört. Es sind ganzheitliche Konzepte zu entwickeln, die der Forderung nach Compliance im Spannungsfeld zwischen Bundesdatenschutzgesetz (BDSG) und beispielsweise dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder der Sorgfaltspflicht eines Geschäftsführers gerecht werden.