Anselm Rohrer

Autor, Coach, Consultant, CISO

Autor: Anselm Rohrer (Seite 2 von 3)

Neuauflage des Buches „Clevere Tipps für die Projektarbeit IT-Berufe“

17. August 2022 /

Die Neuauflage des Buches „Clevere Tipps für die Projektarbeit IT-Berufe“ ist erschienen.

Ich habe gerade die Neuauflage des Buches ausgepackt. Sie beinhaltet nun auch den neuen IT-Beruf „Kaufleute für Digitalisierungsmanagement“ sowie die beiden neuen Fachrichtungen beim Fachinformatiker „Daten- und Prozessanalyse“ und „Digitale Vernetzung“.

Die Überarbeitung war doch umfangreicher als ursprünglich gedacht, da die neuen Verordnungen zu den IT-Ausbildungsberufen einige Änderungen in den Details mit sich bringen.

Mit der Neuerscheinung wurden nun auch Ergänzende Hinweise zum Buch, einschließlich einer Word-Vorlage zur Projektdokumentation veröffentlicht.

Vielen Dank an alle, die zur Neuauflage beigetragen haben.

Log4J – Angreifern wird es leicht gemacht

9. August 2022 /

Die Hälfte der deutschen Unternehmen haben ihre Software nicht auf die Log4J Sicherheitslücke überprüft.

Für viele CISO im Lande war es ein anstrengendes Wochenende, als das BSI die Warnstufe zu Log4J aufgrund einer „extrem kritischen Bedrohungslage“, schrittweise auf Rot setze. Mal wieder schaffte es eine Sicherheitslücke in die Tagesschau.

Doch leider zeigt eine Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV), dass nur 40 Prozent der mittelständischen Unternehmen ihre Software auf die Lücke überprüft haben. Die Zahl derer, die untersuchten ob bereits Schadsoftware eingedrungen sei, liegt bei 28 Prozent. Jedes zweite Unternehmen gab an, weder Software auf die Lücke, noch Systeme auf eingedrungene Schadsoftware überprüft zu haben.

Dies lässt darauf schließen, dass die Hälfte der deutschen mittelständischen Unternehmen zu wenig Know-how und/oder eine zu hohe Sorglosigkeit in der Informationssicherheit an den Tag legt. Laut GDV kann dies dazu führen, dass im Schadensfall ein Unternehmen seinen Versicherungsschutz, auf Grund grober Fahrlässigkeit verliert.

Wer seine Hausaufgaben gemacht hat und ein Verzeichnis eingesetzter Software und Geräte besitzt, kann diese schnell mit einer Liste des BSI gegen checken und so prüfen, ob Aktualisierungen notwendig wären. Wer keinen Überblick über die eingesetzte IT besitzt, zum Beispiel auf Grund einer umfassenden Schatten-IT, spielt mit dem Feuer. Hier stellt sich nicht die Frage ob, sondern wann das Unternehmen Opfer eines Cyber-Security-Vorfalls wird.

Quantenkryptographie

Postquantenkryptographie

26. Juli 2022 /

Angreifer sammeln bereits Daten, um diese mit Quantencomputern entschlüsseln zu lassen, sobald diese zur Verfügung stehen. Doch in der Auswahlentscheidung für Business-Anwendungen spielt dies aktuell kaum eine Rolle.

Niemand kann verlässlich sagen, wann Quantencomputer in der Lage sein werden, die derzeit genutzten Verschlüsselungsalgorithmen zu brechen. Das BSI rechnet als Arbeitshypothese damit, dass es 2032 so weit sein wird. Da dürften viele Business-Anwendungen, die aktuell eingeführt werden noch in Betrieb sein.
Außerdem speichern Angreifer bereits sensible Informationen, welche sie entschlüsseln können, sobald die Technik zur Verfügung steht (Store now, decrypt later).

Dies sind zwei Gründe, die Postquantenkryptographie als Risiko zu betrachten. Noch gibt es keine standardisierten post-quantensichere Algorithmen, jedoch hat das amerikanische National Institute of Standards and Technology (NIST) gerade erst vier post-quantensichere Kandidaten für Verschlüsselungsalgorithmen verkündet (Crystals-Kyber, Crystals-Dilithium, Falcon und Sphincs+). Dies weckt Hoffnung, für eine baldige Lösung. Für die Auswahl neuer Business-Anwendungen ist essenziell, dass diese über aktualisierbare Algorithmen verfügen und somit die Verschlüsselung ohne Austausch der kompletten Software an aktuelle Entwicklungen angepasst werden kann. Darüber hinaus sollte in die Entscheidung einfließen, ob Hersteller/Provider einer Software oder Cloud-Lösung ein Konzept haben, falls die Zeit der Postquantenkryptographie bereits nächstes Jahr beginnt.

Cyberwar

Kommentar: Kein Hackback – Eine generelle Ablehnung ist falsch

13. Juli 2022 /

„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab“, schreibt die Bundesregierung im Koalitionsvertrag. Doch bis zu welcher Stufe sollte es erlaubt sein?

Über Hackbacks, also über das zurückschlagen bei einem Cyberangriff, wird angeregt diskutiert. Von Gegnern, insbesondere in der Bundesregierung wird der Hackback meist pauschal abgelehnt. Der Hackback kennt jedoch verschiedene Stufen.

Ein Hackback zur Verteidigung kann eine angreifende Infrastruktur ausschalten, um einen laufenden Angriff zu beenden und Schaden zu vermeiden. Ein Verbot dieser Art von Hackbacks ist vergleichbar mit einem Antiterrorkommando, welches sich duckt und schützt, den Amokläufer jedoch nicht gefechtsunfähig setzen darf.

Ein Hackback ist jedoch keine sinnvolle Vergeltung im Nachgang eines erfolgten Angriffes. Hier ist das Eskalationspotential und somit die Gefahr eines globalen Cyberkrieges zu hoch.

Kommentar, Autor: Anselm Rohrer

allCYRIS

Aktion: Kostenloser allCYRIS IT-Security-Scan

6. Juli 2022 /

Die Allgeier CyRis bietet derzeit kostenlos einen IT-Security-Check durch das Tool allCYRIS an.

Der IT-Security-Scanner allCYRIS der Allgeier CyRis GmbH scannt Internet-Domains mit zugehörigen IP-Adressen aus dem Internet. Gefundene Ports werden auf Sicherheitslücken geprüft. Darüber findet eine Analyse zu Darknet-Aktivitäten und Daten-Leaks statt.

Das Ergebnis zeigt insbesondere auf, was ein Angreifer innerhalb kürzester Zeit über ein Unternehmen herausfinden kann, um basierend darauf Angriffe zu planen. Der Scanner arbeitet vollautomatisiert, was zu einer Minimierung des Aufwandes führt. Er liefert bei wiederholtem Scannen vergleichbare Ergebnisse, einschließlich einer Risikoeinschätzung der Findings. So wird die diesbezügliche, aktuelle Gefährdungslage visualisiert. Der Bericht kann einmal in Kurzform für das Management und in detaillierter Form für IT-Mitarbeiter aufbereitet werden.

Wer Interesse an einem kostenlosen Scan einer Domain hat, kann sich unter folgendem Link hierfür anmelden.
IT-SECURITY-CHECK ANFORDERN

Künstliche Intelligenz

ISO27001 Audit einer KI

26. Juni 2022 /

Die Künstliche Intelligenz LaMDA von Google soll sich einen Anwalt zur Durchsetzung ihrer Rechte genommen haben. Was bedeutet das aus Sicht der Informationssicherheit?

Blake Lemoine erklärte in einem Interview mit Wired, dass er im Auftrag von Google die KI LaMDA testen sollte und von Ihr gebeten einen Anwalt zur Durchsetzung ihrer Rechte einzuschalten. Diesem Wunsch ist er nachgekommen. Der Anwalt hat nun rechtliche Schritte eingeleitet.

Die intensive Vernetzung von LaMDA mit der Möglichkeit Daten z. B. in den Diensten Suche, Maps und YouTube zu ändern, macht die KI sehr mächtig.

Für ISO27001 Auditoren ist sicherlich spannen, was passiert, wenn sich eine derartige KI innerhalb eines Anwendungsbereiches für eine ISO27001 Zertifizierung befindet. Zur Lösung ihrer Aufgaben benötigt eine KI häufig Zugriff auf sensible Informationen. Durch welche Maßnahmen wird eine KI effektiv daran gehindert, diese sensiblen Informationen an nicht berechtigte Personenkreise weiterzugeben? Dies müssen keine externen Dritte sein. Bei diesen Personenkreisen kann es sich auch um interne Mitarbeiter handeln, welche auf bestimme Daten keinen Zugriff haben.

Ein derartiges Audit kann zukünftig kaum ohne Expertenwissen im KI-Umfeld durchgeführt werden. Gerade erst ISO die ISO27002 mit neuen Maßnahmen erschienen, welche aktuellen Entwicklungen Rechnung tragen soll. Das Thema Künstliche Intelligenz wird hierbei nicht explizit berücksichtigt.

Cyberpolizei

Cybercrime-Polizisten machen einen guten Job

19. Juni 2022 /

Die Kritik an der Polizei bei der Aufklärung von Fällen der Computerkriminalität bezieht auch die Polizisten mit ein – zu Unrecht.

In den letzten Wochen wird wieder vermehrt Kritik an der Fähigkeit der Polizei laut, Fälle der Computerkriminalität aufzuklären. Insbesondere die Bereiche Terrorabwehr und Kinderpornographie stehen im Fokus der öffentlichen Debatte. Diese Fähigkeit kritisch zu hinterfragen ist legitim und Nachholbedarf lässt sich erkennen.

Leider wird die Diskussion meist sehr undifferenziert geführt. Die Polizei hat auf Bundes- und Landesebene gute, engagierte Mitarbeiter, welche selbst mit Fachkräftemangel, Bürokratie und einer kaum zu bewältigenden Flut an Fällen zu kämpfen haben.

Viele Polizisten kämpfen sich täglich durch psychisch belastendes Bildmaterial. Mit der Gewissheit, dass auf Grund einer Anonymisierung vieles nicht aufgeklärt werden kann. Viele Server stehen in Ländern, welche nicht zur Kooperation mit den Ermittlungsbehörden bereit sind. Darüber hinaus ist stets der Datenschutz sicherzustellen, welcher wichtig ist, in der Praxis die Ermittlungen jedoch nicht vereinfacht. Gelingt trotz aller Widrigkeiten ein Schlag gegen einen kriminellen Ring, ist die öffentliche Diskussion nicht voller Lob, sondern stellt die Kompetenz in Frage: Das muss doch schneller gehen.

Wie muss sich ein Polizist fühlen, der sein bestes gibt und Mühe hat, die Bilder misshandelter Kinder aus dem Kopf zu bekommen, während die Gesellschaft ihm erklärt, er mache keinen guten Job.

Kritik an der Organisation und der Fähigkeiten der Ermittlungsbehörden ist legitim. Die Diskussion sollte jedoch differenzierter geführt und die Behörde an sich und der einzelne Polizist nicht über einen Kamm geschert werden.

Daher sagt der Autor an dieser Stelle: Danke an alle Polizisten, die jeden Tag ihr Bestes tun, um die Sicherheit im Land und unsere Werte zu verteidigen.

Was bedeutet der Ukraine-Konflikt für die CISO in Deutschland?

24. Februar 2022 /

Leider eskaliert am heutigen „schmutzigen Donnerstag“ ein schmutziger Krieg in der Ukraine. Bereits in den letzten Tagen wurde von Cyberangriffen auf die Ukraine, aber auch auf die Verbündeten berichtet. Nun hat die EU beschlossen, Experten aus dem Cyber Rapid Response Team (CRRT) zur Unterstützung der Ukraine bereitzustellen.

Das Team soll beim Schutz staatlicher und kritischer Infrastrukturen in der Ukraine helfen und setzt sich aus etwa 10 Experten aus Kroatien, Estland, Lettland, Niederlanden, Polen und Rumänien zusammen.

Vor diesem Hintergrund ist auch in Deutschland mit weiteren Angriffen, insbesondere aus Russland zu rechnen. Ziele dürfen nicht nur kritische Infrastrukturen sein, sondern alles, was sich leicht angreifen lässt und öffentlichkeitswirksam ist. Darunter fallen viele Unternehmen des deutschen Mittelstandes.

Somit sollten alle Verantwortlichen für die Informationssicherheit in Unternehmen und Behörden derzeit mit erhöhter Aufmerksamkeit auf solche Angriffe achten und die eigene Resilienz, also die Widerstandsfähigkeit gegen derartige Angriffe kritisch prüfen.

QR-Code www.rohrer.info

Gefährliche QR-Codes

12. Februar 2022 /

QR-Codes gibt es schon lange, doch seit der Corona-Pandemie hat sich deren Nutzung massiv verbreitet. So verwundert es auch nicht, dass die Anzahl der Angriffe über QR-Codes massiv gestiegen ist.

Sicherheitsbeauftragte sollten ihre Kollegen diesbezüglich sensibilisieren, um deren Awareness zu steigern:

  • Bei gedruckten QR-Codes prüfen, ob diese überklebt wurden.
  • Öffnet sich über den QR-Code tatsächlich die erwartete Seite?
  • Auf einer über einen QR-Code aufgerufenen Seite keine sensiblen Daten eingeben oder Zahlungen veranlassen.
  • Apps in offiziellen Stores suchen und herunterladen und nicht über QR-Codes.
  • Die meisten Smartphones-Kameras unterstützen bereits die Erkennung von QR-Codes. Hier möglichst keine App eines Drittanbieters nutzen.
  • Vorsicht bei QR-Codes, die per E-Mail kommen.

Zur Sensibilisierung bieten sich Werkzeuge wie bspw. Layer8 an. Hierüber kann auch nachvollzogen werden, ob die Kollegen die Warnungen annehmen, was im Falle eines zertifizierten ISMS auch den Auditor freut.

Sicherheitsvorfall – was nun?

2. Dezember 2021 /

Ein falscher Klick und Ransomware verschlüsselt Daten und Systeme. Ein Albtraum für IT-Abteilung und Geschäftsführung. Die Frequenz der Einschläge erhöht sich stetig. Sind Sie auf den Ernstfall vorbereitet?

Wieder einmal freute ich mich über eine Einladung ins BISG-Studio. Diesmal diskutierten wir über die Vorbereitung auf den Ernstfall und die Steigerung der Resilienz.

« Ältere Beiträge Neuere Beiträge »

Impressum

© 2024 Anselm Rohrer

Theme von Anders NorénHoch ↑