Kompetenzgruppe Sicherheit

E-Müll bleibt Ärgernis

2013-05-28T13:09:19Z

Experten erwarten für dieses Jahr weitere Zuspitzung der Bedrohungslage im Internet

Das für Millionen von Menschen nervige Problem der unerwünschten E-Mail-Werbung (Spam) verschärft sich offenbar in diesem Jahr, hat eco – Verband der deutschen Internetwirtschaft festgestellt. Der Verband stützt sich dabei auf eine aktuelle Umfrage unter 245 IT-Experten, nach der sich die Spam-Erkennung derzeit wieder verschlechtert gegenüber dem Vorjahr.

„Nachdem vor einem Jahr 62 Prozent der damals befragten Fachleute mit der Erkennung von Spam weitestgehend zufrieden waren, vertreten derzeit nur noch 54 Prozent die Auffassung, dass belästigende Werbung gut genug automatisch erkannt und wegsortiert wird“, erklärt Dr. Kurt Brand, Leiter der eco Kompetenzgruppe Sicherheit und Geschäftsführer der auf IT-Sicherheitsfragen spezialisierten Pallas GmbH. 46 Prozent der aktuell Befragten mahnen Verbesserungsbedarf bei der Erkennung von „E-Müll“ an.

Nach Analyse des eco Verbands hat zwar das Gesamtvolumen an unerwünschten E-Mails in Deutschland während der vergangenen Jahre merklich abgenommen. Jedoch haben die Werbeversender in der gleichen Zeit eine deutlich höhere Professionalität entwickelt, sodass ihre Aussendungen vermehrt ungehindert durch die Spam-Filter hindurch schlüpfen, erläutert Sicherheitsexperte Dr. Kurt Brand die Zusammenhänge.

Insgesamt bleibt die allgemeine Bedrohungslage in Bezug auf Gefahren aus dem Internet weiterhin angespannt, teilt der eco Verband mit. 92 Prozent der aktuell befragten Experten erwarten im Laufe dieses Jahr sogar noch eine Zunahme der Gefährdungslage. Sie geben sich damit ängstlicher als 2012 (90 Prozent) beziehungsweise 2011 (85 Prozent). „Der Datenschutz, das IT-Sicherheitstraining für die Beschäftigten und die Notfallplanung für den Angriff aus dem Internet stellen die wichtigsten organisatorischen IT-Sicherheitsthemen in der deutschen Wirtschaft dar“, sagt Dr. Kurt Brand.

Geschäftsanbahnung nach Chile

2013-05-28T13:36:08Z

Reise für deutsche kleine und mittlere Unternehmen (KMU) im Bereich „Zivile Sicherheitstechnologien und -dienstleistungen”

Chile gehört aufgrund eines starken und stabilen Wirtschaftswachstums zu den attraktivsten Ländern Lateinamerikas. Durch wachsenden Wohlstand nimmt auch der Bedarf an Sicherheitstechnologie stark zu, was sich in deutlich erhöhten Investitionen zeigt.

Das Beratungsunternehmen enviacon international organisiert im Auftrag des Bundesministeriums für Wirtschaft und Technologie (BMWi) eine Geschäftsanbahnung nach Chile mit dem Titel „Zivile Sicherheitstechnologien und -dienstleistungen“. Die Veranstaltung richtet sich vor allem an deutsche kleine und mittlere Unternehmen (KMU) und findet zwischen dem 30. September – 04. Oktober 2013 in Santiago de Chile statt. Die maximale Teilnehmerzahl ist auf 12 Unternehmen begrenzt. Das Projekt wird vom Bundesministerium für Wirtschaft und Technologie (BMWi) aufgrund eines Beschlusses des Deutschen Bundestages gefördert und vom ASW, dem BDSW und vom LAV unterstützt.

Primäres Ziel der Veranstaltung ist es, kleinen und mittleren Unternehmen fachbezogene Informationen zur Verfügung zu stellen, um sie auf einen erfolgreichen Markteinstieg in Chile vorzubereiten.

In einer fachbezogenen Präsentationsveranstaltung werden den teilnehmenden Unternehmen gezielt allgemeine und branchen- bzw. themenspezifische Informationen zum chilenischen Markt durch deutsche und lokale Experten vermittelt. Darüber hinaus bilden Erstkontaktgespräche mit speziell ausgewählten Importeuren, Distributoren, Behörden und Produzenten in Chile einen wesentlichen Bestandteil der Reise.

Weitere Informationen zum Zielmarkt und die Höhe der Teilnahmegebühr finden im Einladungsflyer.

Die Teilnehmerzahl ist begrenzt. Eine Anmeldung ist bis zum 14. Juni 2013 erwünscht.
Für Rückfragen steht Ihnen Herr Holger Wehner von enviacon international (Tel. 030-8148841-15, e-mail: wehner@enviacon.com) sehr gerne zur Verfügung.

Sicheres Mobile Device Management – BYOD ohne Reue

2013-05-24T10:00:19Z

eco auf der Heise Security Tour in Köln

Nachdem gerade im Jahr 2012 viele Unternehmen dem Hype zum Thema “Bring Your Own Device (BYOD)” gefolgt sind, lassen sich die Mitarbeiter- eigenen oder zumindest selbst ausgesuchten Geräte aus dem Unternehmensalltag nicht mehr wegdenken.

Den damit einhergehenden Risiken und Gefahren bzgl.der Informationssicherheit begegnen die Unternehmen, wenn überhaupt, meist durch Einführung und Einsatz eines “Mobile Device Management (MDM)” und fühlen sich damit gut aufgestellt.

Die heise Security Tour schaut über den Tellerrand und geht noch einen Schritt weiter:

Unabhängige Vorträge aus dem Umfeld der Unternehmenspraxis und der Forschung zeigen Ihnen die Probleme und Risiken auf, die nach und bei Einführung eines MDM fortbestehen. Zugleich geben Ihnen unsere Experten Lösungsvorschläge an die Hand, die Ihnen helfen, den Risiken zu begegnen und diese adäquat zu managen.

Zum aktuellen Programm gelangen Sie hier

10 Tipps für einen sicheren Webauftritt

2013-05-07T14:16:22Z

Kostenloser Webseitencheck hilft Ihnen und anderen

Schnell noch online ein Ersatzteil fürs Auto bestellen oder ein Zimmer im Hotel buchen und dann das: Die Internetseite des Vertrauens installiert heimlich einen Trojaner auf dem Rechner des Besuchers, der Online-Banking-Daten oder Kreditkarteninformationen ausspioniert. Solche bösartigen Webangriffe sind keine Seltenheit mehr, die Zahl stieg laut Websense 2013 Threat Report im Jahresvergleich um 600 Prozent. Das neue daran: 85 Prozent gingen von seriösen Seiten aus. Der Verband der deutschen Internetwirtschaft eco gibt 10 Tipps, damit der eigene Webauftritt nicht zum Sicherheitsrisiko wird.

Erst vor wenigen Tagen warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass es in Deutschland einen Großangriff gab, bei dem Cyberkriminelle die Werbebanner auf viel besuchten Internetseiten manipulierten. Dazu gehörten Online-Angebote von namhaften Nachrichten- und Lifestyle-Magazinen, Tageszeitungen und Jobbörsen. Eingeschleuster Schadcode nutzte bekannte Schwachstellen aus, um schädliche Programme auf den Rechnern der Webseitenbesucher einzunisten. Dabei mussten die Werbebanner nicht einmal angeklickt werden, um ihre gefährliche Wirkung zu entfalten. Nun können mithilfe der Rechner der ahnungslosen Besucher Viren verbreitet, hunderttausende Spam-Mails versendet oder koordinierte Cyber-Angriffe durchgeführt werden.

Unternehmensseiten im Visier der Cyberkriminellen

Aber nicht nur namhafte große Webseiten sind gefährdet, sondern immer häufiger die Internetauftritte kleiner und mittelständischer Unternehmen. Diese investieren oft am Anfang Zeit und Geld, bis sie eine repräsentative Webseite haben – und haken das Thema gedanklich ab. „Beim Internetauftritt verhält es sich aber wie mit einem Auto: Die einmalige Investition reicht nicht. Erst Pflege und regelmäßige Wartung sorgen dafür, dass man langfristig davon profitiert und es sicher nutzen kann“, mahnt Markus Schaffrin, Geschäftsbereichsleiter Mitglieder Services bei eco – Verband der deutschen Internetwirtschaft e. V.

Verheerende Konsequenzen

Stattdessen werden die Webseiten durch die Vernachlässigung zur Gefahr für Betreiber, Kunden und Geschäftspartner, was nicht nur ein Sicherheitsproblem darstellt, sondern erhebliche wirtschaftliche Konsequenzen bedeuten kann: Hardwareschäden, Löschung oder Veränderung von Informationen, Preisgabe sensibler Kundendaten oder Zerstörung der IT-Infrastruktur können mögliche Folgen sein. Verbreitet eine Webseite schädigende Programme, haftet der Betreiber für Fremdschäden, und die Webseiten-Besucher können rechtliche Schritte gegen ihn einleiten: Hinzu kommen also auch noch mögliche Strafzahlungen und die eventuelle Abschaltung des Webauftritts. Schlussendlich kann das sogar die Unternehmensexistenz bedrohen.

Kostenfreie Unterstützung

Doch viele Unternehmen haben einfach keine Zeit, sich darum zu kümmern oder nicht genug Ressourcen. Deshalb bietet eco im Rahmen seiner Initiative-S einen kostenfreien Webseiten-Check, bei dem Experten die Internetseiten regelmäßig auf Schadprogramme prüfen und dabei helfen, diese zu beseitigen und nachhaltig gegen neue Angriffe zu schützen. Der Service wird vom Bundesministerium für Wirtschaft und Technologie im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“ gefördert.

Besser vorsehen als nachsehen:
10 Tipps für eine sichere Webseite

Effektiver als das Entfernen der Schadprogramme ist natürlich, es gar nicht erst soweit kommen zu lassen: Um dem vorzubeugen, empfiehlt die eco Initiative-S zehn Schutzmaßnahmen:

Betriebssystem und Dienste des Servers aktuell halten und regelmäßig auf Viren überprüfen
Software des Internetauftritts aktuell halten und alte Software vom Server entfernen
Nicht benötigte Serverdienste deaktivieren und Ports schließen
Regelmäßige Backups der Software und Datenbanken durchführen
Web Application Firewall vorschalten
Nicht (mehr) benötigte Benutzerkonten löschen/deaktivieren
Software nur aus vertrauenswürdigen Quellen beziehen
Vertrauliche Daten verschlüsselt übertragen *und* diese dann auch NUR verschlüsselt in Datenbanken speichern
Zugangsdaten zum Server beziehungsweise der Webseite regelmäßig ändern
Webauftritt regelmäßig auf Manipulationen durch Dritte und Schadcode überprüfen

Infosecurity Europe 2013

2013-05-06T16:20:42Z

eco stellt Cyber Security Services vor

Das größte Treffen der IT-Sicherheitsbranche verspricht die 18. Infosecurity Europe zu werden, die vom 23. bis zum 25. April in London stattfindet. Erwartet werden mehr als 350 Aussteller mit einer großen Bandbreite an neuen Produkten und Services sowie 12.500 Besucher aus allen Branchensegmenten. eco wird auf dem deutschen Gemeinschaftsstand D96 vertreten sein und seine Cyber Security Services näher vorstellen.

Die Infosecurity Europe ermöglicht einem Fachpublikum, entscheidende Informationen über aktuelle Trends und Entwicklungen im Bereich der IT-Sicherheit zu gewinnen, Ideen auszutauschen und neue Lösungen zu entdecken, um die Zukunft ihres Geschäfts zu sichern. Ein umfangreiches Bildungsprogramm sorgt mit Vorträgen, Workshops, Showcases und Trainingskursen für einen Wissensvorsprung.

Geplantes IT-Sicherheitsgesetz

2013-05-06T16:12:51Z

Deutscher Schnellschuss statt europäische Lösung

Der Verband der deutschen Internetwirtschaft eco kritisiert das vom Bundesinnenministerium geplante „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“. Grundsätzlich ist das staatliche Interesse an einem hohen Sicherheitsniveau aus Sicht von eco begrüßenswert – der jetzt vorliegende Gesetzesentwurf hilft aber nicht, dieses Ziel zu erreichen. Ohnehin ist der Zeitpunkt für ein nationales Gesetz verfrüht, da IT-Sicherheit ein internationales Thema ist und die EU eine entsprechende Regulierung vorbereitet.

Das gute Sicherheitsniveau ist ein klarer Standortvorteil für die deutsche Internetwirtschaft. Diesen hohen Standard halten die Unternehmen der Branche mittels einer bewährten und erfolgreichen Selbstregulierung. Aus Sicht von eco besteht daher kein Bedarf an starren gesetzlichen Regelungen, da Unternehmen bei neuen Bedrohungen ohnehin schneller reagieren müssen, als der Gesetzgeber dies vermag.

Der eco Vorstandsvorsitzende Prof. Michael Rotert warnt zudem davor, kurz vor der Bundestagswahl ein Gesetz im Eilverfahren zu beschließen: „IT-Sicherheit ist ein hochkomplexes Thema, das nicht für Schnellschüsse taugt. Ich sehe nicht, wie in der kurzen Zeit bis zur Bundestagswahl aus dem jetzigen Entwurf noch eine praxistaugliche Fassung entstehen soll.“

Weiterhin steht in Frage, ob eine nationale Regelung überhaupt sinnvoll ist. „Hackerangriffe erfolgen international, deshalb brauchen wir auch international abgestimmte Standards“, betont Rotert. Die EU habe mit einer entsprechenden Regulierung bereits begonnen. „Warum sollten wir jetzt kleinteilige nationale Regeln etablieren, die in Kürze durch völlig andere – und wahrscheinlich praxisnähere – Standards abgelöst werden?“, so der eco Vorstandsvorsitzende.

Als besseren Weg, die Sicherheit zu erhöhen, verweist eco auf erfolgreiche gemeinsame Projekte von Wirtschaft und Regierung: So hat eco mit Unterstützung vom Bundesministerium des Innern und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) das Anti-Botnet-Beratungszentrum aufgebaut, das Internetnutzern kostenfrei hilft, ihre Computer von Schadprogrammen zu befreien und nachhaltig zu schützen. Mit dieser Erfahrung im Rücken leitet eco nun den Aufbau des Advanced Cyber Defence Centre (ACDC), bei dem 28 Partner aus 14 europäischen Ländern gemeinsam gegen Botnetze und Schadprogramme kämpfen. Ein Erfolg ist auch die Initiative-S mit dem Bundesministerium für Wirtschaft und Technologie: Mit dem eco Service können kleine und mittelständische Unternehmen kostenfrei ihre Webpräsenzen auf Schadprogramme prüfen lassen und erhalten Hilfe bei der Säuberung sowie Informationen zur Vorbeugung.

Solche gemeinsamen Projekte erhöhen in kurzer Zeit mehr die Sicherheit deutscher IT-Netze als ein neues IT-Sicherheitsgesetz. Eine ausführliche eco Stellungnahme zu dem Referentenentwurf steht hier bereit.

Der IT-Sicherheitsmarkt in Deutschland

2013-05-06T16:13:33Z

Das unabhängige Wirtschaftsforschungsinstitut WifOR untersucht die aktuelle Entwicklung des Marktes für IT-Sicherheitsprodukte und -dienstleistungen. Zusätzlich zu der Untersuchung volkswirtschaftlicher Kennzahlen wird in die Studie auch die Einschätzung von IT-Sicherheitsexperten mit einfliessen.

Zur kurzen Umfrage: http://www.wifor.de/index.php/UmfrageITSicherheit.html

nrw-unITS fördert IT-Sicherheit in Nordrhein-Westfalen

2013-05-06T16:14:37Z

Um den Schutz von Firmengeheimnissen, Privatsphäre und Infrastrukturen zu gewährleisten, hat es sich das Netzwerk nrw-uniTS zur Aufgabe gemacht, in Nordrhein-Westfalen die noch junge Branche der IT-Sicherheit optimal zu vernetzen, Synergiepotenziale aufzudecken und diese schließlich auch zu nutzen. Träger von nrw-uniTS sind eco – Verband der deutschen Internetwirtschaft e.V., das Horst Görtz Institut für IT Sicherheit der Ruhr-Universität Bochum und der IT-Verband networker NRW.

Das Netzwerk nrw-uniTS bildet einen organisatorischen Kern für alle ITS-Firmen in NRW. Bei einem Treffen in Bochum vereinbarten die teilnehmenden Unternehmen erste Punkte einer gemeinsamen Zusammenarbeit unter dem Dach von nrw-uniTS. 14 aktuelle Themen der IT-Sicherheit wurden dazu identifiziert, die nun in Arbeitsgruppen bearbeitet werden:

• Cloud Computing
• Datenschutz
• Endpoint Security/DLP
• Infrastruktursicherheit/physische Sicherheit
• ISMS/Risk Management
• IT-Recht
• IT-Security in der Produktion
• Mobile Security
• Secure Communication
• Security 2025
• Security Awareness
• SmartGrid/Smart Metering (Internet der Dinge)
• Social Media
• Websicherheit

Weitere interessierte Unternehmen, die hier aktiv mitarbeiten möchten, sind herzlich willkommen. Wenden Sie sich bitte an Cornelia.Schildt@eco.de.

Zudem finden Unternehmen nach dem Relaunch des Internetauftritts www.nrw-units.de dort nun vielfältige Informationen und auch Arbeitsmaterialien zu ITS-Themen. Das Angebot wird stetig erweitert und das Netzwerk ständig weiter entwickelt– es lohnt sich also öfter mal vorbeizuschauen.

Wer schützt Nutzer von Computer-Kriminalität?

2013-04-02T14:49:16Z

Kurt Brand im Interview mit NDR Info

Internet-Kriminalität scheint auf dem Vormarsch zu sein. Wer kommt für Schaden auf, der durch Internet-Betrug entsteht? Wie können sich Verbraucher besser schützen?

Diesen Fragen widmet sich das NDR Info-Forum in einem knapp 20 minütigen Radio-Beitrag (nachzuhören unter http://www.ndr.de/ratgeber/netzwelt/audio153539_podcastID-podcast2990.html) und befragt dazu Experten, darunter Dr. Kurt Brand, Leiter der Kompetenzgruppe Sicherheit und Geschäftsführer der Pallas GmbH.

“Die Kriminellen”, so Brand, “haben in den vergangenen Jahren technisch große Fortschritte gemacht.” Den Zuhörern erklärt er, wie Webseiten von Organisationen oder Firmen benutzt werden, um Besucher mit Schadcode wie Trojanern zu infizieren ohne dass diese selbst weitere Aktionen ausführen müssen.

Doch nicht nur Schadprogramme sind eine Gefahr im Internet - Geschäfte im Internet müssen sowohl für Nutzer als auch Unternehmer sicherer werden. Für Kurt Brand geht es dabei nicht nur um Online-Banking, sondern um jede Art von Bezahlvorgängen im Internet. Im Interview erläutert er die bereits jetzt schon vorhandenen technischen Schutzvorkehrungen, die jedoch noch nicht weit genug verbreitet sind.

Dennoch blickt Brand optimistisch in die Zukunft. Zieht man die noch recht junge Geschichte des Internets in Betracht, so glaubt Brand, “dass wir in vielleicht 10 Jahren zu einem Zustand kommen, der so eine Art inhärente Sicherheit hat und auch ein hohes Sicherheitsbewußtsein.”

Security Parcours

2013-04-12T11:22:07Z

Ein Awareness Circle Training out of the box

Awareness 3.0 erreicht nachhaltige Sicherheitsförderung durch unterhaltsames Circle Training. Nach den Oldschool-Ansätzen aus Lerntheorie und Marketing geht es jetzt in der dritten Stufe weg vom kalten digitalen Portal, weg vom einsamen Web Based Training und rein in den “Security Parcours”, den es im Team und Face to Face zu meistern gilt. Deshalb werden in dieser Veranstaltung alle Teilnehmer durch das Sicherheits-Circle-Training von T-Systems geschickt. Natürlich geschieht das nicht unvorbereitet, und, um den Reiz zu erhöhen, winkt jedem Teilnehmer des besten Teams ein Preis.

T-Systems schickt seinen “Security Parcours” nach einer erfolgreichen Europatournee nun sogar auf Weltreise. Vorher legt der Parcours noch einen kurzen Stopp in Köln beim eco ein, damit alle Security Professionals, Awareness-Spezialisten, Kommunikationsexperten, HR-Manager, Betriebsräte und überhaupt Interessenten eines innovativen Security-Formats Gelegenheit haben, das Awareness Circle Training praktisch auszuprobieren. An verschiedenen Stationen wird dabei das jeweilige Team auf ein Sicherheitsthema trainiert, um dann gemeinsam eine Aufgabe zu lösen.

13:00	Registrierung und Networking
13:00		Begrüßung Markus Schaffrin, eco Geschäftsbereichsleiter Mitglieder Services Dr. Kurt Brand, Leiter Kompetenzgruppe Sicherheit
13:30		Awareness – von der Oldschool zu 3.0 Dietmar Pokoyski, Geschäftsführer known_sense
14:00		SECURITY PARCOURS als Maßnahme von Mission Security III @TS Dr. Christoph Schog, Security Management T-Systems
14:30	Networking: Kaffee & Pause
15.00	SECURITY PARCOURS live – 5 Teams, 5 Themen, 5 Stände
16:15	Bluff & Hack – das Social Engineering Spiel der Deutschen Telekom
16:45	Feedback-Runde: Learnings der Teilnehmer – Auszeichnung der Gewinner
17:15		Fragen, Diskussion, Ausblick Dr. Kurt Brand, Leiter Kompetenzgruppe Sicherheit
17:30	Ende der Veranstaltung / Get together

Ihre Referenten

Dietmar Pokoyski, Geschäftsführer bei known_sense und Security Awareness Experte. Er erhielt 2007 den IT-Sicherheitspreis NRW für askit (awareness security kit) und führte in den den letzten Jahren für Kunden wie der Deutsche Telekom, T-Systems, Talanx, Roland, Cytec u.a. ca. 30, meist internationale Awarenesskampagnen in 70 Ländern und 20 Sprachen durch.

Dr. Christoph Schog, seit vielen Jahren im Security Management T-Systems und dort u.a. für Security Awareness zuständig. Er führte 2005 mit “Mission Security” bei T-Systems eine am Ende konzernweit übernommene Awareness-Kampagne auf Basis des virtuellen Agenten James Bit ein, die 2009 durch die “mySecurity & Privacy Box” abgelöst wurde, einem Moderationsinstrument für Führungskräfte zum Thema Sicherheit.

Herr Schog und Herr Pokoyski haben 2011 gemeinsam mit der ungarischen T-Systems-Kollegin Ivett Buzgo das Format des SECURITY PARCOURS als Roadshow entwickelt. Nächste Stationen sind u. a. Russland, Leinfelden, Malaysia, Singapur und Mexiko.