Freitag, 9. April 2021

BSI setzt auf Open Source Kurznachrichtendienst Mastodon

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist seit dem 31.03.2021 auch auf dem Mikroblogging-Dienst Mastodon präsent. Damit ist das BSI die zweite Bundesbehörde überhaupt, die diese auf freier Software basierende, datenschutzfreundliche Alternative zum Kurznachrichtendienst Twitter nutzt.

Hier geht's zu BSI Mastodon-Präsenz...


Ein paar wichtige Regeln für den Rechnerschutz

Ob Hackerangriffe oder Lösegeldtrojaner wie “Locky” und “WannaCry”: Aktuelle Cyber-Bedrohungen führen dazu, dass Unternehmen weltweit gezwungen sind, immer mehr in den Bereich IT-Sicherheit investieren.

Denn die möglichen Konsequenzen durch unbefugte Zugriffe und den Diebstahl oder die Verschlüsselung von Daten sind immens: Laut Branchenverband Bitkom beläuft sich der jährliche Schaden durch digitale Angriffe in Deutschland auf rund 51 Milliarden Euro. Ob privater PC oder der Rechner am Arbeitsplatz: Wer einige grundlegende Tipps beherzigt, kann sein ganz persönliches Sicherheitsniveau bereits erheblich steigern, auch ohne dafür Unsummen auszugeben.

Hier weiterlesen...

Die Angriffe wollen nicht aufhören

Eine Serie von Cyberattacken vom Anbruch der Pandemie zieht sich in die Länge wie ein Kaugummi. Die Angriffe wollen nicht aufhören. Fremde Staatsgewalt im heimischen Cyberspace ist nun mal eine Bedrohung der besonderen Art.

Lesen Sie hier weiter...

Dienstag, 12. Januar 2021

Was ist Public Key Infrastructure (PKI)

In einer Kommunikation zwischen Computersystemen (z.B. Internet-Browser auf einem Unternehmensrechner ruft eine Website mit “https://...” auf ) können mit einer PKI digitale Zertifikate ausgestellt, verteilt und geprüft werden.

Mit einem asymmetrischen Kryptosystem können vertrauliche Daten bzw. Informationen in einem Netzwerk digital signiert und verschlüsselt werden.

In einem asymmetrischen Kryptosystem benötigt der Sender für eine verschlüsselte Übermittlung den öffentlichen Schlüssel (Public Key) des Empfängers. Der Empfänger kann die mit seinem öffentlichen Schlüssel verschlüsselte Information vom Sender  mit seinem privaten Schlüssel (Private Key) entschlüsseln. D.h. der öffentliche Schlüssel muss zum privaten Schlüssel passen und umgekehrt (generiertes Schlüsselpaar). 

Ein Public-Key-Verschlüsselungsverfahren ist ein Verfahren, das ein Klartext mit Hilfe des öffentlichen Schlüssels in einen geheimen Text umwandelt und dieser wieder mit dem privaten Schlüssel in den Klartext zurück verwandelt werden kann.

Es muss sichergestellt sein, dass es sich tatsächlich um den Schlüssel des Empfängers handelt und nicht um eine Fälschung. Dazu werden digitale Zertifikate verwendet, die die Authentizität eines öffentlichen Schlüssels bestätigen. Das digitale Zertifikat ist durch eine digitale Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Ausstellers des Zertifikates geprüft werden kann.

Um die Authentizität des Ausstellerschlüssels zu prüfen, wird ein digitales Zertifikat benötigt. Auf diese Weise lässt sich eine Kette von digitalen Zertifikaten aufbauen, die jeweils die Authentizität des öffentlichen Schlüssels bestätigen, mit dem das vorhergehende Zertifikat geprüft werden kann. Diese Kette von Zertifikaten wird als Validierungspfad bzw. Zertifizierungspfad bezeichnet. Das bedeutet wiederum → Auf die Echtheit des letzten Zertifikates (und des durch dieses zertifizierten Schlüssels) müssen sich die Kommunikationspartner ohne ein weiteres Zertifikat verlassen können.

Der Aufbau einer PKI lohnt sich nur für ein großes Unternehmen oder große Behörde (eine Software zum Betrieb der Zertifizierungsstelle (CA) für einen PKI-Aufbau ist notwendig). 

=> Kleine Unternehmen bekommen ihre Zertifikate in der Regel von sogenannten “PKI-Dienstleistern”. 

Trustcenter

Sie erhalten ein digitales Zertifikat von einer unbekannten Person erhalten. Wie können Sie vertrauen, dass die Informationen im Zertifikat korrekt sind? Das Trustcenter ist die vertrauenswürdige Stelle, der Sie Ihr Vertrauen (engl. trust) geben.

Die wichtigste Aufgabe eines Trustcenters ist der Zertifizierungsdienst: Das Trustcenter verwaltet die Ausgabe von öffentlichen und privaten Schlüsseln. Durch die Ausstellung eines Zertifikats (beinhaltet Angaben zum Inhaber der Schlüssel) bestätigt das Trustcenter die Überprüfung der Daten auf Korrektheit.


Montag, 23. November 2020

Was bedeutet CEO-Fraud?

CEO-Fraud gehört zu den Social Engineering Attacken und erfreut sich bei den Tätern großer Beliebtheit. Warum? Weil CEO-Fraud sehr erfolgreich ist. Was bedeutet nun CEO-Fraud genau?

CEO steht für Chief Executive Officer. Diese Person ist der Chef eines Unternehmens. Fraud ist das englische Wort für Bertrug.

Bei einer CEO-Fraud Attacke versucht der Täter entscheidungsbefugte Personen eines Unternehmens zu manipulieren, so dass diese Personen Geld überweisen. Dabei spiegeln die Täter vor, der Auftrag käme unmittelbar vom Chef des Unternehmens. CEO-Fraud ist eine Variante des Social Engineerings, bei dem die „Schwachstelle Mensch“ ausgenutzt wird.

Die Täter gehen dabei äußerst geschickt vor, indem sie sich zuerst Informationen über das Unternehmen und die Strukturen des Unternehmens besorgen. Ein Augenmerk legen die Täter dabei auf Angaben zu Geschäftspartnern und künftigen Investments, E-Mail-Erreichbarkeiten oder auch Informationen in sozialen Netzwerken zu Mitarbeitern des Unternehmens.

Den Täter bauen großen psychischen Druck auf Mitarbeiter auf. Dadurch können sie auch erfahrene Mitarbeiter dazu bringen, hohe Beträge zu überweisen.

Nach Angaben des FBI summieren sich die weltweiten Schäden auf ca. 2,8 Milliarden Euro. Als Transferziel werden meist Banken in China und Hongkong angegeben.

Montag, 9. November 2020

DSGVO - Was ein Unternehmer wissen sollte

Datenschutz ist für alle Webseitenbetreiber, Unternehmer sowie Shopbetreiber und Dienstleister bereits seit Jahren ein wichtiges Thema. Cookies, Nutzertracking, Kundendaten und E-Mail Kampagnen: überall spielt der Datenschutz eine wesentliche Rolle.

2018 kamen auf alle Unternehmen weitreichende Änderungen zu: Seit dem 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland verbindlich. Diese stellt viele Grundsätze des Datenschutzrechts aus dem alten BDSG auf den Kopf.

Vor allem die hohen Bußgelder von bis zu 20 Millionen Euro und viele offene Fragen bereiten vielen Unternehmen Kopfschmerzen. Wir erklären, was Sie beachten müssen, damit Sie bald mit der Umsetzung anfangen können.

Den ganzen Artikel lesen


Security-Prozesse erhöhen die IT-Sicherheit

Cyber-Risiken nehmen unverändert zu und Unternehmen sind gezwungen, ihre IT-Sicherheit zu erhöhen. Elementare Maßnahmen sind dabei die Etablierung strukturierter Security-Prozesse und die Einführung eines Informationssicherheitsmanagementsystems (ISMS).

Den ganzen Artikel lesen