carmasec ::: security. done. right. Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Die "Neue Normalität" aus Sicht der Cybersicherheit

Die "Neue Normalität" aus Sicht der Cybersicherheit

Als Beratungsboutique für Cybersicherheit unterstützen wir Sie bei der sicheren Steuerung durch die Corona-Krise und informieren Sie über Neuigkeiten im Themenkomplex der Cybersicherheit.
 

Daher veröffentlichen wir einen monatlichen Newsletter mit redaktionell aufgearbeiteten Trends und Hintergründen zu aktuellen Themen aus der Branche.

Wir wünschen Ihnen viel Vergnügen beim Lesen. 
Themenüberblick

Neue "Trojaner": Wie sieht die "Neue Normalität" aus Sicht der Cybersicherheit aus?

Neue Normalität ist ein Begriff, der durch die Corona-Krise zu einem politischen Schlagwort wurde. Nicht nur Abstandsregelungen bestimmen den Alltag der Menschen. Auch scheint sich das Homeoffice durchgesetzt zu haben. Doch was bedeutet diese Neue Normalität für die Cybersicherheit?

Neue "Trojaner"Dass die Corona-Krise die Arbeitswelt verändert hat, stellt kaum ein Experte in Frage. Wie sie nach der Krise aussehen wird, ist aber umstritten. Dietmar Harhoff, Direktor des Max-Planck-Instituts für Innovation und Wettbewerb, fordert, dass die Bedeutung von Home Office weiter gestärkt wird. Denn eine solche Arbeitsweise beschleunige die notwendige Digitalisierung und führe auch zu neuen Führungskonzepten und Innovationen.

Die repräsentative Studie von YouGov im Auftrag von ESET bestätigt die Aussage von Dietmar Harhoff: 68 Prozent der Beschäftigten wünschen sich auch nach der Corona-Krise eine Lockerung der Homeoffice-Regelungen. Acht Prozent der Mitarbeiter können sich sogar ein Arbeitsleben ohne festen Arbeitsplatz im Firmengebäude vorstellen. Das Problem: wenn IT-Sicherheit vernachlässigt wird, können Heimarbeitsplätze zu neuen "trojanischen Pferden" werden, so eine Sorge der Studien-Autoren.

Wie sieht die "Neue Normalität" aus Sicht der Cybersicherheit aus?Was bedeutet die "Neue Normalität" für Unternehmen aus Sicht der Cybersicherheit? Allen voran: das Bewusstsein und die Fähigkeit der Beschäftigten zu schulen, im virtuellen Raum sicher und produktiv mit anderen Personen zusammenzuarbeiten. Dies setzt entsprechende technische Infrastruktur voraus. Sichere Verbindungen, Multifaktorauthentifizierung (MFA) sowie eine Mobilgeräteverwaltung (MDM) sind wichtig.

Dafür ist ein Internet-Umgebungsschutz sinnvoll: die Firewall muss richtig konfiguriert werden, damit der Zugriff von Unbefugten unterbunden und nachvollzogen werden kann. Eine dezentrale Arbeitsorganisation setzt auch Cloud-Dienste voraus. Dabei dürfen Unternehmen sich nicht auf die Anbieter verlassen, zumal auch die Anwender in der Pflicht stehen, Datenschutz und Datensicherheit zu gewährleisten.

Zum Artikel "Wie die Corona-Krise die Arbeitswelt verändert" (Süddeutsche Zeitung)

Zur Studie "Veränderung der Arbeitswelt durch Corona" (YouGov)

Erfahren Sie in unserem Whitepaper, worauf Sie bei der Nutzung von Kollaborationsplattformen achten sollten.

Zum Whitepaper CEO-Fraud
Cloud-Dienste: Grenzenlose IT-Sicherheit?  

Cloud-Dienste bieten Firmen zahlreiche Möglichkeiten, Daten online zu sichern. Für Cyberkriminelle bietet sich aber auch ein Anreiz, Cloud-Systeme anzugreifen. Eine ganzheitliche Cloud-Security-Strategie wird für Unternehmen immer notwendiger.


Cloud-DiensteWurden Cloud-Computing-Dienste vor einigen Jahren noch skeptisch beäugt, speichern deutsche Firmen mittlerweile 23 Prozent ihrer Geschäftsinformationen in Cloud-Umgebungen.
Das hat die IT-Sicherheitsfirma Symantec in ihrem "Digital Information Index" festgestellt. Zum Vergleich: In den USA lagern nur 16 Prozent der Daten in einer Cloud, in China sind es 39 Prozent. Allerdings differenziert die Studie nicht zwischen Private-, Public- und Hybrid-Cloud-Umgebungen.

Wer noch keine Public-Cloud-Lösungen einsetzt, macht das vor allem aus Sorge um die Sicherheit seiner Daten. Zu dieser Erkenntnis gelangte eine Studie des Digitalverbands BITKOM in Zusammenarbeit mit KPMG. Rund 73 Prozent (Vorjahr: 63 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten.

Grenzenlose IT-Sicherheit?Wenig überraschend sind vor diesem Hintergrund die Erkenntnisse aus der "Cloud Security-Studie aus 2019": Sie empfiehlt, dass sich sowohl Cloud-Anbieter als auch -Nutzer noch stärker um die Cloud-Sicherheit bemühen sollten. Die Autoren postulieren, dass sich die unternehmerischen Anwender deutlich stärker mit der Sicherheitsstrategie bei ihren Cloud-Diensten beschäftigen müssen.

Langfristige "Cloud-Security-Strategie" ist ein Muss für Unternehmen

In jedem Fall kann nur eine ganzheitliche Cloud-Security-Strategie helfen, sich abzusichern. Eine interessante Anleitung hierzu bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Publikation "Sichere Nutzung von Cloud-Diensten: Schritt für Schritt von der Strategie bis zum Vertragsende".

Zur Studie "Cloud-Monitor 2019" (Bitkom)

Zum Artikel "Admin-Tools für Private und Public Cloud" (Computerwoche)

Zur Broschüre "Sichere Nutzung von Cloud-Diensten" (Bundesamt für Sicherheit in der Informationstechnik)
Corona-Krise: Das sind die aktuellen Betrugsmaschen von Cyberkriminellen

Cyberkriminelle nutzen die Corona-Krise, um an sensible Daten zu gelangen. Auch wenn die Betrugsmaschen selbst nicht neu sind, hat die Pandemie ihnen neue Türen in Unternehmen eröffnet. 

Corona-Krise:Cyberkriminelle versuchen, aus der allgemeinen Verunsicherung durch die Corona-Krise Profit zu schlagen. Die Zahl der verhinderten Angriffe ist im März 2020 deutlich gestiegen, wie eine aktuelle Bedrohungsanalyse von G DATA CyberDefense zeigt – im Vergleich zum Februar um etwa 30 Prozent. Die meistgenutzten Angriffe in der Pandemie sind Phishing, Business Email Compromise (BEC) und Social Engineering.

Mit Phishing wird der Leser verleitet, einen schädlichen Link anzuklicken, der ihm per E-Mail geschickt wurde. In der Corona-Krise haben die Betrüger die Autorität von Institutionen wie die des Bundesgesundheitsministeriums genutzt. So haben die betrügerischen Absender den Eindruck erweckt, die E-Mail enthalte wichtige Informationen.

Aktuelle BetrugsmaschenDie Betrugsmasche Business Email Compromise (BEC) findet ebenfalls via E-Mail statt. Hierbei stellen Führungskräfte aus dem eigenen Unternehmen wie z.B. CEOs und CFOs die autoritäre Instanz dar. Diese Form des Betrugs ist während der Pandemie bei den Unternehmen besonders erfolgreich, die ihre Beschäftigten ins Home Office geschickt haben. Entsprechend wurden solchen E-Mails erhöhte Glaubwürdigkeit unterstellt.

Social Engineering beschreibt die psychologische Manipulation von Menschen. Während der Corona-Krise fand diese Betrugsmasche in Verbindung mit sogenannten "Digital Shadows" statt. Hierbei handelt es sich um die Kopie einer offiziellen Website mit einer irreführenden Domain. Seit Ausbruch der Pandemie im Dezember wurden über 1.400 solcher Domains registriert. Prominentes Beispiel für ein erfolgreiches Digital Shadow, das erheblichen Schaden angerichtet hat, ist die Domain "soforthilfe-corona-nrw.de". Die Domain des Ministeriums lautet "soforthilfe-corona.nrw.de".

Lesen Sie hierzu auch das carmasec-Whitepaper zur Erkennung und Vermeidung von CEO-Fraud.

Zum Whitepaper CEO-Fraud
Deep Fake: Fälschung im Original 

Das Kunstwort Deep Fake beschreibt Bewegtbild-Manipulationen von Videomaterial, die mithilfe von Künstlicher Intelligenz erstellt werden. Hebt Deep Fake die Betrugsmasche CEO-Fraud auf ein neues Niveau?

Bild von der Website www.Thispersondoesnotexist.comIm Netz machen sie immer wieder die Runde: Deep Fakes. Zuletzt tauchten verschiedene solcher Fake Videos auf: Barack Obama bezeichnete in einem Donald Trump als "Vollidioten". Mark Zuckerberg äußerte sich in einem anderen zu Machtphantasien. Beeindruckend ist auch die Website "This person does not exist": Eine Künstliche Intelligenz erstellt hier immer wieder neue, täuschend echte Bilder von nicht existenten Menschen.

So interessant und amüsant die Täuschungen im ersten Moment sein können - sie bergen auch Gefahren. Vor allem drängt sich die Frage auf, ob Deep Fakes dem CEO-Fraud neue Möglichkeiten eröffnen.

Bisher bilden vor allem gefälschte E-Mails die Grundlage für CEO-Fraud. Hier wird die Autorität einer Führungskraft genutzt, um Mitarbeiter unter Druck zu setzen mit dem Ziel, sensible Informationen herauszugeben oder Finanztransaktionen zu tätigen. Was aber, wenn nicht die E-Mail, sondern eine Videokonferenz, ein Deep Fake, das Medium ist, um den Betrug zu begehen? Der betroffene Mitarbeiter erhält die Anweisung in diesem Fall nicht per E-Mail, deren Inhalt er noch überprüfen kann, sondern direkt im persönlichen Gespräch mit dem (vermeintlichen) Vorgesetzten in einem Web-Meeting. Das Avatirify-Tutorial zeigt eindrucksvoll, wie einfach der Gesichtertausch mit einem beliebigen Foto gelingen kann.

Deep FakeAuch für die Verhinderung von Deep Fake gilt: der beste Schutz sind gut informierte und geschulte Mitarbeiterinnen und Mitarbeiter. Dies gilt umso mehr, weil die technische Security bei Deep Fake erst am Anfang steht. Hier braucht es Experten aus der IT-Forensik, die mit Hilfe von Videoanalysen Fälschungen erkennen können. Darüber hinaus zeigen die Juraprofessoren Bobby Chesney und Danielle Citron in dem Paper "Deep Fakes: A Looming Challenge for Privacy, Democracy, and National Security" aus 2018 auf, dass bisher passende Gesetze zum Umgang mit Deep Fake fehlen. Sie empfehlen neue Formen der Strafe für solche Technologien.

Zur Website "This Person does not exist"

Lesen Sie in unserem Whitepaper, wie Sie sich gegen CEO-Fraud schützen können. 

Zum Whitepaper CEO-Fraud
Ihr Feedback: Über welche Themen möchten Sie informiert werden?

Mit unseren Info- und Newslettern sowie unseren Social Media Angeboten liefern wir Ihnen relevante News und Informationen aus dem Themenkomplex der Cybersicherheit aktuell und allgemein verständlich aufbereitet. 

Wir bitten Sie um Ihre Meinung

Wie gefallen Ihnen unsere Informationsangebote? Welche Anregungen möchten Sie uns mit auf den Weg geben? Über welche Themen würden Sie gerne mehr lesen? Bitte unterstützen Sie uns, indem Sie an unserer kurzen Feedback-Umfrage teilnehmen. 

Zur Umfrage 
Sie haben Fragen? Wir stellen Ihnen gerne weitere Informationen zu unserem Leistungs- und Lösungsangebot zur Verfügung und überzeugen Sie bei einem unverbindlichen Gespräch von unseren Kompetenzen.

carmasec Website

Twitter-Kanal von carmasec Xing-Kanal von carmasec LinkedIn-Kanal von carmasec carmasec Mediathek

Wir über uns


carmasec
ist eine im Jahr 2018 in Deutschland gegründete Beratungsboutique im
Themenfeld Cybersicherheit und Datenschutz. Als "Trusted Advisor" bieten wir unseren nationalen und internationalen Kunden professionelle Beratungsleistungen und Lösungen in den Bereichen DevSecOps, Secure SDLC, Automatisierung von Informationssicherheitsmanagement sowie IT-GRC (Governance, Risk, Compliance).
Verantwortlich für den Inhalt:
carmasec GmbH & Co. KG
Registergericht: Amtsgericht Essen | Registernummer: HRA 10921
Persönlich haftende Gesellschafterin: carmasec Management GmbH 
Registergericht: Amtsgericht Essen | Registernummer: HRB 90377
Managing Partner: Carsten Marmulla, Jan Sudmeyer, Timm Börgers

Wollen Sie unseren Newsletter abonnieren oder Ihre Daten und Abonnements ändern, nutzen Sie bitte unser Anmeldeformular.

Impressum | Kontakt | Datenschutzerklärung | Website