18.06.2009

Laptop im Bett - Lustkiller mit Sicherheitsrisiko

Nach dem praxisbezogenen Beitrag "Power Point - Und das Hirn geht auf Standby" wird's ausnahmsweise noch etwas praktischer: CIO titelt "Laptop, der Bett-Flop" und schreibt:

"(...) Bei einer wachsenden Anzahl von Arbeitnehmern in Großbritannien macht der Datenschutzspezialist Credant Technologies jedenfalls sinkenden Widerstand gegen den Laptop im Schlafzimmer aus: Bereits jeder Vierte nimmt einer Befragung zufolge den portablen Computer mit ins (Ehe-)Bett. Fast zwei Drittel der Bettarbeiter verbringen gleich zwischen zwei und sechs Stunden pro Woche mit eher den außerehelichen Pflichten zugeordneten Tätigkeiten."
Und falls man's doch nicht lassen kann, gibt CIO "5 Tipps zum Arbeiten im Bett". Es sind dies:
  1. Wenn Sie mit unternehmenskritischen Daten arbeiten, fragen Sie in Ihrer IT-Abteilung nach, wie Sie diese Daten optimal vor fremdem Zugriff schützen können.

  2. Verwenden Sie zum Verschlüsseln von Dokumenten und drahtlosen Netzwerken immer starke Passwörter, die aus einer Kombination von Buchstaben, Zahlen und Symbolen bestehen. Machen Sie es potentiellen Datendieben nicht so leicht.

  3. Seien Sie sich darüber im Klaren, dass all’ Ihre Verbindungen nach draußen und ins Firmennetzwerk sicherheitsrelevant sind. Seien Sie im Umgang mit solchen Verbindungen niemals leichtsinnig.

  4. Lassen Sie niemals zu, dass ohne Ihre Einwilligung jemand über Bluetooth oder WiFi Zugriff auf Ihr mobiles Endgerät hat. Das gilt für Laptops ebenso wie für entsprechend ausgerüstete Mobiltelefone oder Handhelds.

  5. Nutzen Sie Ihr Schlafzimmer wieder mehr für Dinge, für die Sie es ursprünglich eingerichtet haben. Und sollten Sie wirklich einmal nicht richtig müde sein, sollten Sie an den Laptop zuletzt denken.

Verfasst von Hans Fischer um 09:36

06.04.2009

Die Crux mit den Passwörtern

Netzwerkzugänge, berufliche und private Mail-Accounts, Social Media-Anwendungen, Handies, Online-Banking, Kreditkarten und weiss Gott noch was alles brauchen Passwörter - und sind entsprechend risikobehaftet, wenn schwache Passwörter verwendet werden oder Passwörter-Notizen im Geldbeutel liegen. Wer ansprechend komplizierte Passwörter im Kopf jongliert und sich damit äusserst sicher gebahrt, wird spätestens nach einer längerer Urlaubsabwesenheit ins Schwitzen kommen - Urlaub macht bekanntlich den Kopf frei.

Der Tages Anzeiger veröffentlicht heute "Die besten Tipps für sichere Passwörter". Die Oberbegriffe lauten:

Tipp 1: Kein Schlüssel für alles
Tipp 2: Passwörter nicht speichern
Tipp 3: Die Zeichenkombination machts
Tipp 4: Abgekürzter Satz
Tipp 5: Adressbuch-Methode
Tipp 6: Jahreszahlen und Daten
Tipp 7: Zufallsprinzip
Tipp 8: Codestar-Tool: Alles auf eine Karte setzen
Suchmaschinen liefern unzählige weitere Tipps, Tools und Artikel zum Thema. Gegenüber Sueddeutsche.de bringt der auf IT-Sicherheit spezialisierte Psychologe Werner Degenhardt im Artikel "Immer Ärger mit Mausi" das Hauptproblem auf den Punkt:
"(...), dass die Sicherheit zudem immer hinter Faktoren wie Zeitmangel oder Bequemlichkeit zurücktritt."

Verfasst von Hans Fischer um 15:03

23.03.2009

Am 1. April soll Conficker-Virus loslegen

Im Artikel "Schläfer vor dem Erwachen" schreibt NZZ am Sonntag:

"(...) Der kommende 1. April könnte in die Geschichte des Internets eingehen – als der Tag, an dem ein bisher unbekannter, möglicherweise in der Ukraine operierender Hacker die Herrschaft über Millionen Computer übernimmt. Er könnte eine ungekannte Spamlawine lostreten, grosse Firmennetze lahmlegen oder die Passwörter von Millionen Bankkunden ausspionieren."
Soweit die Essenz in adäquat dramatischer Tonalität. Dann folgen interessante Spekulationen über mögliche Auswirkungen.

Verfasst von Hans Fischer um 08:24

11.03.2009

Internet, das gefährdete Leitmedium

Welches Medium übt den grössten Einfluss auf die öffentliche Meinung und die (übrigen) Massenmedien aus? Wahrscheinlich hat das Internet das Fernsehen überholt - wenn nicht, dann wird dies sehr bald der Fall sein. Sowieso, weil Fernsehen und Internet zusammenwachsen. Item, das Internet spielt eine zentrale Rolle in verschiedensten gesellschaftlichen Bereichen (s. auch "Das Web als Kern der Veränderung"). Wie instabil dieses zentrale Element aber im Sicherheitskontext ist, wird oft verdrängt. Die Zeit bringt diesbezüglich unter "Es ist ein Wunder, dass das Internet funktioniert" ein spannendes Interview mit Andy Müller-Maguhn vom Chaos Computer Club und zitiert als grösste Schwachstellen:

"(...) Zum einen gibt es Angriffspunkte auf Ebene der Übertragungsprotokolle, bei denen der Angegriffene nicht überprüfen kann, woher die Attacke eigentlich kommt. Auch die Lenkung der Datenströme ist ein wunder Punkt. Und der dritte ist das Domain-Name-System, das aus 13 Servern besteht. Während der Zeit, als ich Direktor bei der Internet-Verwaltung ICANN war, ist das komplette Land Irak abgeklemmt worden, weil die Topleveldomain ".iq" über ein Unternehmen in Texas lief."
Und passend zum Thema bringt die Süddeutsche heute einen kurzen Abriss über die letzten 20 Jahre, respektive "Vom ARPANET zum Web 2.0: Die Geschichte des Internet".

Verfasst von Hans Fischer um 09:36

09.03.2009

Brandjacking - Markenmissbrauch im Web

Beispiele, konkrete Anwendungstipps und weiterführende Links zu interaktivem Marketing sind in diesem Blog reichlich vorhanden. Ein damit verwandter Begriff wurde noch nie erwähnt: Brandjacking. Der Fachdienst heise online schreibt dazu im Artikel "Marktforscher sehen zunehmenden Markenmissbrauch im Web":

"(...) die missbräuchliche Verwendung von Marken, nimmt im Web zu. Das stellt das US-Unternehmen Markmonitor in seinem Rückblick auf das Jahr 2008 fest. Das Unternehmen, das sich auf den Schutz von Marken im Internet spezialisiert hat, zählte beispielsweise rund 1,7 Millionen Fälle von Cybersquatting, also die missbräuchliche Verwendung von Marken in Domainnamen. Das sind 18 Prozent mehr als im Jahr 2007."
Die systematische Überwachung der eigenen Marke im Netz gehört heute dazu. Krimineller Energie kann damit sicherlich nicht vollumfänglich entgegengewirkt werden. Das Risiko der nicht legitimen Markenverwendung mit entsprechenden Kollatoralschäden sinkt aber beträchtlich.

Verfasst von Hans Fischer um 13:24

11.02.2009

Cyberkriminelle lieben den Valentinstag

... weiss heise online und schreibt im Artikel "Valentinstag lässt die Kassen der Cyberkriminellen klingeln":

"(...) Am Valentinstag rollt der Rubel nicht nur in die Kassen der Blumenhändler. Auch eine andere Branche reibt sich die Hände: Cyberkriminelle stürmen Jahr für Jahr am 14. Februar unzählige E-Mail-Postfächer mit vermeintlichen Liebesgrüßen."
Vorsicht also mit den E-Valentinsgrüssen. In diesem Kontext ist offline Kommunikation und Aktion ehedem angebracht.

Weiterführende Informationen finden sich in der Sicherheits-Blogkategorie, respektive in den darin erwähnten Artikeln und Dienstleistungsangeboten.

Verfasst von Hans Fischer um 13:08

15.01.2009

Die 25 gefährlichsten Programmierfehler

Rolotec geniesst ja einen untadeligen Ruf, nichtsdestotrotz machen wir an dieser Stelle gerne auf die "Top 25 Most Dangerous Programming Errors" aufmerksam, die von Common Weakness Enumaration (Sponsored by National Cyber Security Division) aufgelistet werden. NZZ schreibt dazu im Artikel "Für mehr Computersicherheit":

"Die Liste unterteilt die 25 gefährlichsten Fehler in drei Gruppen: 9 Fehler sind die Folge unsicherer Interaktion zwischen Softwarekomponenten (zum Beispiel mangelhafte Überprüfung der Dateneingabe, SQL-Injection, Cross-Site-Scripting); weitere 9 Fehler werden als riskantes Ressourcen-Management (fehlerhafte Initialisierung, Buffer-Overflows, Rechnungsfehler) beschrieben; eine dritte Gruppe umfasst löchrige Schutzmassnahmen (ungenügende Zugangskontrollen, Verwendung von unsicheren Verschlüsselungsalgorithmen)."

Verfasst von Hans Fischer um 13:49

07.01.2009

Atomkrieg, Massentötungswaffen, Cyberspace

... in diese Reihenfolge bringt Shawn Henry, FBI-Verantwortlicher für Cyber-Sicherheit, die grössten Gefahren für die USA. Im Artikel "FBI sieht ernsthafte Bedrohungen aus dem Cyberspace" schreibt heise online:

"(...) Auf der International Conference on Cyber Security (ICCS), die derzeit in New York stattfindet, ordnete er die Bedrohung an dritter Stelle hinter einem Atomkrieg und Massentötungswaffen ein. Terroristen seien dabei, ein "virtuelles 9/11" zu planen, erläuterte Henry laut US-Medienberichten während der Konferenz."
Henry's Meinung teilen nicht alle: Spiegel Online hat im Artikel "Wecke keine schlafenden Hunde" Stephen Cummings, Chef der britischen Behörde zum Schutz kritischer Infrastrukturen, mit den Worten "Cyberterrorismus ist ein Mythos" zitiert. Die Erklärung:
"(...) Cummings bestreitet dabei gar nicht, dass es zahlreiche aggressiv und destruktiv gemeinte politische Attacken im Web gibt. Er sieht aber die qualitativen Unterschiede zu dem, was Terroristen in der physischen Welt verbrechen."
Der Artikel verheimlicht aber keinesfalls das Potenzial künftiger Gefahren.

Verfasst von Hans Fischer um 14:50

18.11.2008

Nigeria-Betrug funktioniert nach wie vor

Man könnte meinen, dass die Nigeria-Connection-Betrugsmasche mit den charakteristischen Mails mittlerweile überall bekannt und entsprechend wirkungslos sei. Doch weit gefehlt. Spiegel Online schreibt heute im Artikel "Frau überweist 400.000 Dollar an Nigeria-Betrüger" über einen neuen Fall:

"(...) Janella Spears ist eine ganz normale Bürgerin, steht mitten im Leben. Sie ist nicht die Art Person, von der man vermuten würde, dass sie auf Nigeria-Spammer hereinfiele. Doch Spears überwies 400.000 Dollar an Kriminelle. Zum Schluss, sagt sie, seien die Zahlungen "eine Sucht" gewesen."

Verfasst von Hans Fischer um 11:24

23.10.2008

Web 2.0-Genuss braucht Security 2.0-Schutz

Im Interview mit wiwo.de ("Web 2.0 braucht Security 2.0 – auch im Bewusstsein des Nutzers") macht Symantec-Zentraleuropachef Andreas Zeitler auf die veränderte Bedrohungslage im Zuge der Web 2.0-Entwicklung aufmerksam:

"(...) Datenschutz muss eine ganzheitliche Strategie sein. Cyberkriminalität wird nicht durch ein paar verrückte Hacker organisiert, sondern durch professionelle kriminelle Organisationen. Die wissen genau, wie wir uns verhalten, wenn wir uns im Internet bewegen – und nutzen das aus. Letztendlich ist es dabei egal, ob der Datendieb über die Putzkolonne ins Unternehmen eindringt und Daten auf den USB-Stick zieht oder ob er über das Internet angreift."
Deswegen aber Web 2.0-Anwendungen wie Social Networks zu meiden, sei falsch. Es sei eine grosse Stärke der Technologie, dass Informationen und Dateien im Web mit anderen geteilt werden könnten. Damit Solcherlei nicht von Hackern ausgenutzt werde, brauche es "Aufklärung und einen ganzheitlichen Ansatz aus persönlicher Sensibilität und Softwareschutz".

Verfasst von Hans Fischer um 13:27

04.06.2008

"Die gefährlichsten Surfplätze der Welt"

Wer bei dem Titel an Hai-Attacken denkt, liegt insofern falsch, als dass im Artikel vom Internet World Business "lediglich" die Möglichkeit virtuell verursachter Blessuren thematisiert wird:

"(...) Internet-User, die sich auf Websites unter den Top-Level-Domain Hongkongs (.hk) aufhalten, surfen derzeit am gefährlichsten. Das ergab die aktuelle Untersuchung „Mapping the Mal Web“ des IT-Sicherheits-Spezialisten McAfee. Demnach beeinhalten 19,2 Prozent aller Websites, die auf „.hk“ enden, ein Sicherheitsrisiko, gefolgt von China (.cn) mit 11 Prozent. Unter den als sicher eingestuften Domains hat Finnland (.fi) mit nur 0,05 Prozent riskanten Websites den letztjährigen Spitzenreiter Irland (.ie) abgelöst."
Weitere Informationen zur Thematik - von visualisierten Trojanern bis hin zu Spamalot - finden sich der der entsprechenden Blog-Kategorie.

Verfasst von Hans Fischer um 17:29

02.05.2008

Visualisierte Viren, Würmer und Trojaner

CIO zeigt im Artikel "Das Gesicht von Viren" visualisierte Schädlinge und schreibt:

"Viren und Trojaner treten auf dem Betriebssystem normalerweise unsichtbar in Erscheinung. Der Computerkünstler Alex Dragulescu visualisierte erstmals diese PC-Eindringlinge: Er gab die vom IT-Dienstleister Message Labs bereitgestellten Quellcodes in ein selbst entwickeltes Computer-Programm ein. Heraus kam ein bunter Strauß an dreidimensionalen Objekten."

myDoom_visualisierung.jpg
(Der Rekord-Wurm MyDoom; Bildquelle: CIO)

Verfasst von Hans Fischer um 14:38

16.04.2008

Geschlechterspezifischer Passwort-Umgang

Nach den sexualhormongesteuerten Börsenhändlern eine nächste Studie ohne Gewähr: In "Studie: Frauen verraten Passwörter eher als Männer" schreibt ZDNet Security:

"(...) In einer vom Veranstalter der gleichnamigen Konferenz Infosecurity Europe durchgeführten Studie wurden 576 Probanden in einem Interview aufgefordert, den ihnen völlig unbekannten Interviewern Passwörter zu nennen. (...) Insgesamt 21 Prozent der Befragten verrieten ihr Passwort, ohne zu zögern. Bei den Frauen betrug der Anteil 45 Prozent, bei den Männern 10 Prozent."

Verfasst von Hans Fischer um 16:41

17.03.2008

Nigeria Connection-Masche zieht noch immer

Man glaubt es kaum, aber die Internet-Betrugsmasche der Nigeria Connection, respektive der Vorschussbetrug, zieht noch immer. Heute schreibt heise online:

"(...) 4,3 Milliarden US-Dollar haben E-Mail-Betrügereien voriges Jahr an Verlusten verursacht. Noch immer ist der Nigeria-Betrug oder 419-Scam am erfolgreichsten, obgleich er seit den 70er-Jahren zunächst mit Briefen, dann mit Fax-Sendungen und schließlich mit E-Mails betrieben wird, die zu Millionen versendet werden. Dabei wird den Empfängern in einem "Geschäftsvorschlag" versprochen, sie könnten große Summen verdienen, wenn sie helfen, ein Geschäft, meist ein Geldtransfer, in die Wege zu leiten und einen gewissen Betrag vorschießen. Auf das große Geld warten die Betrogenen dann ebenso vergeblich wie auf eine Rückzahlung des Vorschusses."
Anbei eine Sammlung an typischen Nigeria Connection-Texten.

Falls bei einem Mail Zweifel bestehen, kann der Inhalt in den Scam-O-Matic eingefügt und auf Nigeria-Betrug überprüft werden (ohne Gewähr).

Verfasst von Hans Fischer um 14:27 | Kommentare (1)

Tim Berners-Lee zur Internet-Privatsphäre

Dass sich das Internet rasend schnell weiterentwickelt, ist für dessen "Erfinder", Tim Berners-Lee, keine Frage:

"But he promised that what web scientists would produce over the coming years "will blow our minds"
Das hält er im Artikel "Web creator rejects net tracking" gegenüber der BBC fest. Was die Bedeutung des Artikel-Titels anbelangt, steht Berners-Lee ganz klar gegen eine umfassende und vor allem automatische Verfolgung der Internet-User. Provider würden die Vorteile - zum Beispiel den Interessen angepasste Werbung - hervorstreichen. Die möglichen Nachteile könnten aber gravierend sein. Theoretisch könnten in Zukunft die Versicherungsprämien steigen, wenn die automatische User-Profilierung Internetbesuche auf Krebs-Bücher-Seiten feststellen würde.

Bezüglich Gegenwart rät Tim Berners-Lee zum angemessenen Umgang mit persönlichen Daten, insbesondere auf Social Networking-Sites:

"(...) "Imagine that everything you are typing is being read by the person you are applying to for your first job. Imagine that it's all going to be seen by your parents and your grandparents and your grandchildren as well."

But he said he had tried out several of the sites, and thought they might in the end be even more popular with the elderly than with young people. "

Verfasst von Hans Fischer um 10:36 | Kommentare (1)

06.03.2008

Hacken fürs CeBIT-Publikum

Dass viele Unternehmen keine adäquaten Rezepte für IT-Sicherheit haben, ist bekannt. An der CeBIT zeigt ein Show-Hacker, wie einfach Firmenserver geknackt werden können. Im Zeit-Artikel "Datendiebe gesucht" werden aber auch sehr viel profanere, doch mitunter nicht weniger schädliche, Probleme wie zum Beispiel der Diebstahl von USB-Sticks beschrieben. Ein interessanter Artikel mit relativierendem Schluss:

"(...) Dem Cebit-Besucher kommen leise Zweifel: Könnte der digitale Sicherheitsboom vielleicht ein wenig übertrieben sein? Oder zumindest teilweise gar unnötig? Zumindest die digitale Unterschrift ist ein Beispiel dafür, dass nicht alle Geschäfte im Internet besser laufen als in der guten alten analogen Welt. Ein Stift auf Papier, mit seinem guten Namen unterschreiben — leichter geht es einfach nicht."

Verfasst von Hans Fischer um 09:47

21.02.2008

Viren des Jahres

ZDNet.de bringt eine spezielle Hitparade unter "Kaspersky bennent Viren des Jahres". Für den Bankenbereich gelten laut Kaspersky als top gefährlich:

"(...) Als "gierigsten Schädling im Bank-Bereich" nennt Kaspersky beispielsweise eine Modifikation von "Trojan-Spy.Win32.Delf.qg". Sie richtete sich gegen die Kunden von insgesamt 147 Banken gleichzeitig. "Gierigster Schädling für elektronische Geldsysteme" wurde mit einem Befall von vier elektronischen Geldsystemen "Trojan-PSW.Win32.VB.kq"."
Auskunft gibt unter anderem auch das virus radar on-line.

Verfasst von Hans Fischer um 18:01

15.02.2008

Pishing & Vishing & Co

Pishing und Netzbetrug waren gelegentlich schon Thema im Blog. Manager Magazin Online bringt Gefahren, Verhaltungsweisen, Verpflichtungen und Tipps im Artikel "So schützen Sie sich vor Phishing" auf den Punkt.

Thema im Artikel ist auch Vishing. Wikipedia schreibt über diese Gefahr:

"(...) Dabei wird per automatisierten Telefonanrufen versucht, den Empfänger irrezuführen und zur Herausgabe von Zugangsdaten, Passwörtern, Kreditkartendaten usw. zu bewegen. Die Betrüger machen sich hierbei die niedrigen Kosten der Internettelefonie zu nutze und rufen automatisiert unzählige Telefonnummern an. Um Vishing effektiv vorzubeugen, ist es ratsam, Telefonate, bei denen nach persönlichen Daten gefragt wird, sofort zu beenden. Stattdessen sollte ein Anruf bei der betreffenden Firma erfolgen, um sich zu erkundigen, ob tatsächlich eine Anfrage vorliegt."

Verfasst von Hans Fischer um 09:44

07.02.2008

Internet-Fallen und Cyber-Attacken-Verteidigung

Heute wurde bekannt, dass die US Regierung im nächsten Jahr 293,5 Millionen US-Dollar für den Schutz vor Cyber-Attacken einsetzen will (heise online: "US-Regierung fördert verstärkt Schutz vor Cyber-Attacken").

Die Welt betrachtet das Thema im Artikel "Das sind die fiesesten Abo-Fallen im Internet" aus User-Sicht und schreibt:

"(...) Die Angebote sind verlockend: Webseiten versprechen kostenlosen SMS-Versand, Hausaufgabenhilfe oder Bilder leichtbekleideter Frauen. Dahinter verbergen sich teure Abo-Fallen: Ein falscher Klick kostet Ahnungslose bis zu 500 Euro. Jetzt gibt es eine Liste mit den fiesesten Anbietern."
Da das Internet bekanntlich grenzenlos ist, lohnt sich die Lektüre auch für Schweizer Userinnen und User. Umfassende Security-Links bietet u.a. Switch.

Verfasst von Hans Fischer um 15:27

25.01.2008

Schattenseiten der Sozialen Netzwerke

Social Networking gehört zu den beliebtesten Web 2.0-Anwendungen. Doch wo viel Licht ist, ist auch Schatten. Im Artikel "Web 2.0: Produktivität und Bandbreite leiden" schreibt die Computer Zeitung unter anderem über den teilweise höchst unvernünftigen Umgang mit persönlichen Daten auf Social Networks:

"(...) Unter dem Pseudonym Natalie wurde ein Profil im deutschsprachigen Online-Netzwerk Wer-kennt-wen erstellt, inklusive dem Foto einer leicht bekleideten jungen Frau sowie einigen Angaben zu persönlichen Interessen und Vorlieben („für alles aufgeschlossen“.
Ziel des Versuchs war es herauszufinden, was innerhalb von fünf Minuten ohne eigenes Zutun mit einem solchen Profil passiert. Das Ergebnis: Die fingierte Single-Frau erhielt 19 sofort bestätigte Kontakte, 27 E-Mails mit Kontaktanfragen sowie 48 Nachrichten und damit freien Zugang zu den persönlichen Daten der anderen Mitglieder, wie zum Beispiel Adresse, Alter, Instant-Messenger-Namen und persönliche Interessen."
Apropos Personendaten. Heise online schreibt im Artikel "Neue Metasuchmaschine findet Personen" über 123people.com:
"(...) Eigene Crawler schickt 123people.com nicht durchs Netz. Vielmehr wird auf bestehende Datenquellen wie allgemeine Suchmaschinen, YouTube, Telefonbücher und Social Networking Sites wie Facebook, LinkedIn oder Xing zurückgegriffen."

Verfasst von Hans Fischer um 10:34 | Kommentare (2)

22.10.2007

Aktientipp-Spam mit Elvis-Melodie

Über Börsen-Spam haben wir geschrieben. Die Zeit macht im Artikel "Der tönende Spam" nun auf die nächste Entwicklungsstufe aufmerksam und schreibt unter anderem:

"(...) Seit Kurzem werden E-Mail-Server weltweit mit solcher Werbung für Aktien überschwemmt. Die Aktion ist offenbar sorgfältig geplant. So wurden gleich mehrere verschiedene MP3-Dateien angefertigt, die mal als Song von Elvis Presley, mal als Lied von Carrie Underwood getarnt werden."

Verfasst von Hans Fischer um 15:48

17.07.2007

~ 25 Jahre Computerviren

Über den Geburtstag von Computerviren streiten sich Experten. Nimmt man den ersten Bootsektorvirus als Startpunkt, 1982 vom 15jährigen Schüler Rich Skrenta geschrieben, dann feiern wir heuer den 25. Geburtstag. Pressetext schreibt dazu im Artikel "25 Jahre Computervirus - ein unrühmlicher Geburtstag" Hintergründiges.

S. auch "Gruselzoo der Computerviren".

Verfasst von Hans Fischer um 17:26

05.07.2007

Sicherheitsrisiko Plaudern

CIO bringt im Artikel "Jeder Vierte plaudert sein Passwort aus" eine Tatsache auf den Punkt: Die grösste Schwachstelle in der IT-Sicherheitskonzeption ist und bleibt der Mensch.

Das wird so bleiben. Plaudern ist eine soziale Notwendigkeit, schreibt Manager Magazin Online in "Schweigen ist Silber, Plaudern ist Gold". Und beim Plaudern können Wörter oder Themen in den Redefluss gelangen, die dort eigentlich nichts zu suchen hätten. Ärgerlich aber menschlich.

Ps. Forscher haben herausgefunden: Männer quasseln ebenso viel wie Frauen (Die Welt).

Verfasst von Hans Fischer um 10:51

21.06.2007

"Mehr Phisher, weniger Bots"

ECIN schreibt im Artikel "Mehr Phisher, weniger Bots" unter anderem:

"(...) Image-Spam hatte von 2005 auf 2006 seinen Anteil auf 40 Prozent allen Spam-Aufkommens erhöht, mit einem Spitzenwert von 65 Prozent Anfang 2007 stagnierte das rasante Wachstum plötzlich. Die Prognose McAfees, es werde sich ein Anstieg der Bot-Netze abzeichnen, erfüllte sich nicht. Anders sieht es aus mit der Prognose, Passwort-Diebstahl werde sich erhöhen: Die Experten verzeichneten einen Anstieg um 784 Prozent im ersten Quartal 2007, und kein Ende sei in Sicht. Zu den weiteren bevorstehenden Entwicklungen zählt McAfee Video-Hacks und Angriffe auf Software von Mobiltelefonen."
In der Blog-Kategorie "Sicherheit" findet sich Vorder- und Hintergründiges zum Thema.

Verfasst von Hans Fischer um 09:48

31.05.2007

Pishing - Passwort-Fischerei im grossen Stil

Roloblog-Leser wissen um die Gefahren der "Eskalation der Cyberkriminalität". Im ausführlichen - am besten: ausdrucken und im Zug oder Liegestuhl lesen - Artikel "Pishing: Denn sie wissen, was sie tun" von Manager Magazin Online werden der Begriff, die aktuellen Methoden der Cyberbösewichte und die künftigen Gefahren beschrieben. Für Nicht-Sicherheitsexperten und ambitionierte Privat-PC-User sicherlich eine gute Gelegenheit der Informationsauffrischung.

Ps. Wer beim Rapid Reading des Artikel-Titels gestolpert ist, der wurde unbewusst an den Klassiker mit dem Originaltitel "Rebel Without a Cause" erinnert.

Verfasst von Hans Fischer um 11:15

03.05.2007

"Datenschutz als Generationenkonflikt"

Eine sehr interessante These ist bei heise online zu lesen: "Datenschutz als Generationenkonflikt". Ein Auszug:

"(...) Die traditionellen Grenzen zwischen Öffentlichem und Privatem, zwischen realer und virtueller Welt verschwämmen immer mehr. (...) Junge Leute stellten bedenkenlos alles über ihre Person ins Netz (...) So betrachtet, hätten die jungen Leute dann auch weniger Probleme mit staatlicher Überwachung: Da man selbst ja angeblich nichts zu verbergen habe und sich umfänglich in der Öffentlichkeit präsentiere, sehe man sich nicht als Opfer behördlicher Beobachtung und empfinde sie nicht als Beschneidung von individuellen Bürgerrechten."
Dann folgt ein kühner Link zur "Elterngeneration" mit Rock'n'Roll, Drogen und freier Liebe und schliesslich das finale Ende mit der Akzentuierung eines wichtigen Generationen-Unterschiedes:
"(...) dass es vor 40 Jahren noch die "Gnade des Vergessens" gegeben habe. Heute hingegen sei das, was einmal im Netz dokumentiert ist, dort für ewig gepostet und auch in zwanzig oder dreißig Jahren noch abrufbar. Was die jungen Leute, die den "feinen Unterschied" heute ignorieren oder einfach nicht mitbekommen, dann sagen werden, wenn sie bei einer Bewerbung, Beförderung oder Berufung mit ihren eigenen Privatstories und Partyvideos von "anno dazumal" konfrontiert werden, stehe auf einem anderen Blatt."

Verfasst von Hans Fischer um 17:32 | Kommentare (1)

07.03.2007

E-Mail-Sicherheit auf Einstein-Basis

Die Welt schreibt im Artikel "Mit Einstein wird die E-Mail sicher" u.a.:

(...) "Eine neue Methode zur Verschlüsselung von Botschaften im Internet haben Forscher am Physikalischen Institut der Universität Potsdam erfolgreich getestet – sie funktioniert mit Licht."
Die Methode, die insbesondere auch für Online-Banking interessant sein könnte, nennt sich Quantenkryptografie. Für naturwissenschaftlich Interessierte ein weiterer Artikel-Auszug:
(...) "Das Geheimnis des Schlüssels beruht auf den sonderbaren Eigenschaften von Photonen, den Teilchen, aus denen das Licht besteht. Die Physik in dieser Miniaturwelt unterscheidet sich dramatisch von allem, was wir aus der sichtbaren Welt kennen. So lassen sich bestimmte Eigenschaften dieser Lichtteilchen nicht exakt messen, ohne sie dabei zu verändern.
Die Potsdamer Forscher machten sich eine bizarre Besonderheit zunutze, die sogenannte Verschränkung von Teilchen. Dabei sind zwei Lichtteilchen wie durch Spuk miteinander verbunden, sogar wenn sie viele Millionen Kilometer weit voneinander entfernt sind. Dieser Verschränkungsprozess ist extrem sensibel. Versucht man, ihn zu erfassen – wie das bei einem Lauschangriff der Fall sein könnte –, zerreißen die empfindlichen Bande der telepathisch verbundenen Zwillinge.
Das macht diese „verschränkten Photonen“ zu idealen, abhörsicheren Kandidaten, um geheime Botschaften über Glasfaserkabel auszutauschen. Zapft ein Unbefugter das Kabel an, kann er das nicht unbemerkt tun, denn er stört sofort den empfindlichen Datenfluss – eine Messung an einem Photon beeinflusst sofort das Messergebnis am anderen."

Verfasst von Hans Fischer um 10:09

02.02.2007

Risikofaktor Mobile Business

CIO schreibt im Artikel "Vertrauliche Daten auf mobilen Geräten gefährden die Firma":

92 Prozent der europäischen Unternehmer speichern vertrauliche Geschäftsinformationen und Dokumente auf ihren Smartphones und PDAs. Gleichzeitig hat fast ein Viertel der Befragten bereits einmal ein solches Gerät verloren.
Eine Tatsache, die Rolotec im Fachartikel "Gratwanderung: Informations-High / Sicherheits-Low" eingehend beschrieben hat. Ein Auszug:
Die Verwundbarkeit der Unternehmensnetze wird vielfach nicht nur durch effi zientere Viren, sondern vor allem auch durch mangelnde Restriktionen erhöht. Ein stattlicher Anteil von Sicherheitsverantwortlichen weiss nicht, wie viele und welche privaten Mobilgeräte an das Firmennetz angeschlossen sind. Viele User spiegeln ihre Daten – und auch diejenigen des Unternehmens – zudem ohne Wissen des Arbeitgebers auf «öffentlichen » Servern, um jederzeit und von jedem Rechner aus Zugriff zu haben. Die Chance, dass solche Server – und damit sensible Daten – gehackt werden, ist gross.

(...) Oft wird auch vergessen, dass Geräte schlicht verloren gehen oder gestohlen werden können. Der Verlust von sensiblen Unternehmens- und Kundendaten hat mitunter schwerwiegende, teilweise auch juristische Folgen.

Selbstredend, dass Mobile Business hoch attraktiv ist und massiv zunehmen wird. Sicherlich besser aber, wenn dies mit Flankenschutz von nachhaltigen Sicherheitsmassnahmen geschieht.

Verfasst von Hans Fischer um 16:20 | Kommentare (2)

13.12.2006

Cyberkriminalität heute

"Cyber-Kriminalität ist ein Milliarden-Geschäft", titelt Spiegel Online das Interview mit Natalja Kasperskaja, Chefin von Kaspersky Lab. Ein Auszug:

SPIEGEL ONLINE: Muss man sich die Hacker von heute als große internationale Mafia vorstellen?
Kasperskaja: Wie viele Gruppen sich da so tummeln, weiß ich nicht, ich kenne nur die Produkte, die sie herstellen. Fest steht: Das ist eine richtige Industrie. Da gibt es nicht nur Programmierer mit den unterschiedlichsten Spezialgebieten, sondern auch Manager, die alles organisieren, und Leute, die sich auf den Verkauf und die Kundenbetreuung konzentrieren.

Verfasst von Hans Fischer um 08:54 | TrackBack

24.11.2006

Nato versus Cyber-Kriminalität

Im Artikel "Nato soll Cyber-Angriffe abwehren" schreibt Financial Times Deutschland:

(...) soll sich die Nato in Zukunft auch auf die "Fähigkeit konzentrieren, entscheidende Informationssysteme der Allianz gegen Cyber-Attacken zu schützen".
Dass Cybercrime eine stets wachsende Bedrohung darstellt, hat gestern u.a. CNET.co.uk im Artikel "Cybercrime threat keeps spiralling" akzentuiert.

Weitere Information zum Thema findet sich unter anderem in der entsprechenden Blog-Kategorie.

Verfasst von Hans Fischer um 11:16 | TrackBack

17.11.2006

Wider das gläserne Surfen

Im Artikel "Anonymes Surfen?" stellt Die Zeit den Privacy-Dongle des Bielefelder FoeBuD e.V. vor:

Der Dongle ist ein USB-Stick, mit dessen Hilfe man von jedem Windows-PC aus durch verschlüsselte Verbindungen surfen kann. Es wird damit zumindest äußerst schwer, die eigenen Datenschneise im Netz zu verfolgen.
Angeblich sei der Geschwindigkeitsverlust - im Gegensatz zu früheren Lösungen - gering. Und zur Grundfrage schreibt Die Zeit:
Warum aber sollte man seine Verbindungsdaten verschleiern? Schließlich besuchen die meisten Menschen keine verbotenen Webseiten oder tauschen in krimineller Weise Daten aus. Doch aus den gesammelten Verbindungsdaten lassen sich hervorragende Profile erstellen,für die sich nicht nur unbekannte Datensammler im Netz interessieren, sondern immer mehr auch Institutionen, die EU und nicht zuletzt die Bundesregierung.
Wie gläsern ein Surfer ist, wird relativ schnell klar, wenn zum Beispiel die Site von NetReal.de aufgerufen wird.

Verfasst von Hans Fischer um 10:27 | TrackBack

09.10.2006

Cyber-Crime verdrängt Einbruchsangst

Laut BBC ("Net crime 'big fear' for Britons") fürchten sich mehr Britinnen und Briten vor Cyber-Crime als vor Einbrüchen. Konkret:

The Get Safe Online study released by the government found 21% of respondents felt most at risk from net crime, while 16% worried most about being burgled.

Verfasst von Hans Fischer um 09:42 | TrackBack

26.09.2006

Reifegrad der Cyber Kriminalität

ccb.jpg
(Für Grossansicht auf das Bild klicken. Bildquelle: CIO)

Unter "Die Zukunft der Cyber-Kriminalität" präsentiert CIO den Hype Cycle für Cyber-Bedrohungen von Gartner. CIO schreibt:

Schluss mit lustig: Die Zeiten, in denen launige Hacker mit viel Technik-Affinität und wenig wirtschaftlichem Ehrgeiz ihre zweifelhaften Späße im world wide web trieben, dürften vorbei sein. Gartner-Analyst Amrit Williams jedenfalls malt das Schreckensbild eines Internet, in dem ein immer feindlicheres Klima herrscht.
Diese Darstellungsmöglichkeit kennen die Blogleserinnen und -leser bereits im Zusammenhang mit dem "Reifegrad der IT-Technologien".

Verfasst von Hans Fischer um 14:19 | TrackBack

20.09.2006

Statusreport Cyber-Kriminalität

CIO schreibt im Artikel "Raffiniertere Phishing-Angriffe":

Die Zahl der Trojaner ist im August gestiegen. Dabei zielen Cyber-Kriminelle verstärkt auf Sicherheitslücken weit verbreiteter Software. Außerdem machen sie sich die Popularität von Instant-Messaging-Software, Social-Networking-Plattformen und E-Commerce-Sites zunutze.

Verfasst von Hans Fischer um 14:33 | TrackBack

20.07.2006

IT-Sicherheitsrisiko Nummer 1

.... sind die Mitarbeiter. Daran habe sich nichts geändert, schreibt ZDNet.de. Ein Auszug:

Die größte Bedrohung für die Informations- und IT-Sicherheit eines Unternehmens sind nicht Viren, Hacker oder Phishing-Attacken, sondern die eigenen Mitarbeiter. Die Experten der Nationalen Initiative für Internetsicherheit (NIFIS) gehen davon aus, dass mehr als die Hälfte der Sicherheitsvorfälle in den Betrieben auf das Konto der eigenen Angestellten geht.

Verfasst von Hans Fischer um 15:21 | TrackBack

17.07.2006

E-Mail, Instant Messaging und Telefon automatisch überprüft

Beispiel: Ein Bankangestellter schreibt eine E-Mail oder eine Instant Message und erhält nach dem Klick auf "Senden" eine Mitteilung mit dem Inhalt: "Warnung: Dieser Inhalt könnte gegen die Vorschriften der Börsenaufsicht verstossen." Was für Compliance Verantwortliche hilfreich utopisch klingen mag, ist möglich. Aungate, das Tochterunternehmen unseres Partners Autonomy, bietet ebensolche Automatismen an, die sehr viel Zeit, Geld und Ärger einsparen können. Nachfolgend die Produkte-Eckpfeiler:

Real Time eMail; IM & Voice Monitoring and Alerting;
Automatically analyze incoming and outgoing enterprise communications.

Real Time Records Management Classification;
Evaluate documents for their fiscal, legal, operational and historic value automatically.

Real Time Policy Management;
Use the Policy Wizard to create keyword and conceptual policies or use content samples to train policies automatically.

Automated EDD & Production;
Automate the entire range of electronic document discovery processes.

Real Time Anti-Phishing
Enterprise and User Phishing attack detection in real-time.


Nehmen Sie bitte mit uns Kontakt auf, damit wir Ihnen detailliert Auskunft geben können.

Verfasst von Hans Fischer um 17:09 | TrackBack

06.07.2006

Browser Bug Blog

Eine willkommene Bereicherung in der Saure-Gurken-Zeit: Sicherheitsexperte H.D. Moore hat den Blog Browser Fun lanciert und veröffentlicht laut ZDNet.de diesen Monat täglich einen Browser Bug. ZDNet.de schreibt:

"Dieser Blog wird als Deponie für die Browser-Sicherheitsforschung und für die Enthüllung von Anfälligkeiten dienen.", so Moore in seinem ersten Posting. "Die Hacks, die wir veröffentlichen, sind sorgfältig ausgewählt, um ein Konzept zu demonstrieren, ohne einen direkten Weg zur Code-Ausführung aufzuzeigen."

Moore lässt sich nicht darüber aus, welche seiner publizierten Browser-Bugs eine ernsthafte Gefahr darstellen. Doch bereits das im zweiten Blog-Eintrag beschriebene Internet-Explorer-Problem "Internet.HHCtrl Image Property" haben die Security-Gurus von Secunia mit ihrer höchsten Warnstufe "Highly Critical" versehen.

Verfasst von Hans Fischer um 16:17 | TrackBack

27.06.2006

"Gruselzoo der Computerviren"

Während Viren zu Therapiezwecken gelegentlich auch Gutes bewirken können, verhält es sich bei Computerviren (sowie Würmern und Trojanern) anders. Es resultiert eine grösstmehrheitlich üble Erfahrung für die Betroffenen. ZDNet.de hat die Bildgalerie "Gruselzoo der Computerviren" mit über 100 Aufnahmen von befallenen Rechnern veröffentlicht.

Das aktuelle Malware-Szenario lässt sich u.a. mit virus radar on-line verfolgen.

004_fear-1823-ig.jpg
(Virus fear-1823; Bildquelle: SOPHOS)

Verfasst von Hans Fischer um 14:22 | TrackBack

22.06.2006

Sicherheitsrisiko USB-Sticks

Locker den USB-Stick gezückt und Unternehmens-Daten übertragen. Was gang und gäbe ist, beinhalte ein nicht zu unterschätzendes Sicherheitsrisiko, schreibt CIO im Artikel "Sicherheitslücke USB-Stick". Hauptgefahr, an die kaum jemand denkt:

Weil nur 21 Prozent aller beruflich genutzten USB-Sticks mit Passwörtern oder einer Verschlüsselung geschützt sind, stehen die Informationen bei einem Verlust der Memory-Sticks jedermann zur Verfügung.

Und da so ein Stick schnell mal verloren gehen kann, beim Gebrauch von USB-Sticks also niemals kopflos vorgehen ;-)

usb_bear.jpg
(Teddy USB-Stick: Bildquelle: GREENSBORING.COM)

Verfasst von Hans Fischer um 15:53 | TrackBack

WM-Wurm

Logisch, dass die Fussball WM nicht nur zum Fernseh-Konsum motiviert. Viren-Programmierer bringen sich mit dem Wurm "Sixem-A" alias "Soccer.A" ins Rampenlicht. Ein Auszug aus dem Artikel "WM-Wurm lockt mit Nacktbildern" von ZDNet.de:

Die schädlichen Mails haben unter anderem die Betreffzeilen "Naked World Cup game set" und "Crazy soccer fans". Im Text werden Fotos von nackten Fußballspielern versprochen, alternativ tarnt sich die Botschaft als offizielle Meldung des amerikanischen Nachrichtensenders CNN. Darin wird vermeldet, Fußballfans hätten fünf Jugendliche getötet.

Aber:
Die führenden Antiviren-Spezialisten haben bereits Updates gegen den neuen Schädling bereit gestellt.

Apropos nackt und WM: Laut der ARD müssen Flitzer - die tauchen an solcherlei Anlässen ja gerne auf - mit drakonischen Strafen rechnen.

Verfasst von Hans Fischer um 09:42 | TrackBack

07.06.2006

Netz-Nepp

Unter "Abfischen, absahnen, plündern" schreibt Manager Magazin Online über Internet-Sicherheitsaspekte aus Konsumentensicht. Stichwörter sind u.a. Pishing, Pharming, Trojaner und Nigeria-Briefe.

Verfasst von Hans Fischer um 14:26 | TrackBack

19.05.2006

Wider das kopflose Suchen

Dass kopfloses - oder zumindest konzeptloses - Suchen innerhalb der Unternehmen zu enormem Zeit- und Geldverlust führt, wird immer präsenter. CIO warnt heute unter "Gefährliche Suchmaschinen" nun vor einer anderen Art der kopflosen Suche:

Suchmaschinen spielen heute eine entscheidende Rolle bei der Nutzung des Internet. Die negativen Folgen: Auch wirtschaftlich motivierte Verursacher von Spam, Adware und anderen Online-Problemen folgen den Suchenden direkt zu den Ergebnislisten der Suchmaschinen.
Da diese die bösartigen Seiten nicht aus ihren Ergebnislisten filtern, wird aufgrund der Browsing-Trends geschätzt, dass die US-amerikanischen Internetbenutzer derzeit jeden Monat 285 Millionen gefährliche Sites aufgrund von Suchabfragen anklicken.


Verfasst von Hans Fischer um 11:13 | TrackBack

16.05.2006

IT-Delikte: Tendenz stark steigend

Unter "Computer-Betrügereien und Urheberrechtsdelikte nahmen 2005 zu" schreibt heise online über die gestern veröffentlichte "Polizeiliche Kriminalstatistik 2005" Deutschlands. Während die Gesamtzahl an Delikten um 3,6 Prozent zurückging, erhöhte sich beim "Computerbetrug" die Anzahl Delikte um 11,9 Prozent. Die Aufklärungsquote lag bei 48,7 Prozent.

Falls Sie die Sicherheit der IT Ihres Unternehmens überprüfen oder verbessern lassen wollen, stehen wir mit unserer Erfahrung sehr gerne bereit.

Verfasst von Hans Fischer um 09:25 | TrackBack

27.04.2006

Gedanken als Passwörter

Wer hat nicht auch schon Passwörter vergessen - zum Beispiel nach einem längeren Urlaub? Biometrische Verfahren wie z.B. Iris-Scan oder Gesichtserkennung würden Abhilfe schaffen. Noch bequemer: Unsere Gedanken hätten "Sesam-öffne-dich"-Funktionalität. Wired News schreibt unter "Your Thoughts Are Your Password" über entsprechende Forschungstätigkeit. Das Grundsätzliche:

Their idea of utilizing brain-wave signatures as "pass-thoughts" is based on the premise that brain waves are unique to each individual. Even when thinking of the same thing, the brain's measurable electrical impulses vary slightly from person to person. Some researchers believe the difference might just be enough to create a system that allows you to log in with your thoughts.

Verfasst von Hans Fischer um 12:30 | TrackBack

26.04.2006

Sicherheitsrisiko Desktop Search (?)

"Desktop Search risks deserve close management scrutiny", titelt Computerworld und fügt in der Unterzeile an: "Web-based services are dangerously attractive to end users". Laut Computerworld sind die grössten Gefahren von Desktop Search-Tools in Unternehmen:

(...) But these consumer-oriented tools also represent a potential risk to corporate networks if restricted files are shared or end users gain unauthorized access to improperly secured documents. Worse yet, some tools such as Google Desktop have features that let end users search across multiple computers by storing index information remotely on external servers. (...)

Was den Download und die Anwendung von Software aus dem Internet anbelangt, ist das Management für jeweils passende Richtlinien verantwortlich. Für die optimierte und sichere Implementierung von Desktop Search-Applikationen sollte ein erfahrener externer Partner zu Rate gezogen werden, falls keine oder keine entsprechend geschulte IT-Abteilung vorhanden ist.

Im Bereich des Desktop Search arbeiten wir mit G10 Software AG (Svizzer) zusammen. Bezüglich des Sicherheitsaspektes wurde im Interview zur Lancierung der Zusammenarbeit gesagt:

(...) Ein Grossteil unserer Kunden stammt aus der Finanzbranche. Wenn nun die Mitarbeiter einer Bank eine Desktopsuch-Lösung installieren würden, welche Daten auf einem externen Server indexiert, würde ein unglaublich grosses Risiko eingegangen. Im Sinne der IT- und Datensicherheit ist zwingend notwendig, dass Installationen entsprechend designed und integriert werden. (...)

Verfasst von Hans Fischer um 10:31 | TrackBack

25.04.2006

Frühjahrsputz für Windows

Chip Online hat einen vorab für private Anwender durchaus nützlichen Spezial-Download "Gratis-Frühjahrsputz für Windows" zusammengestellt und schreibt dazu:

Datenmüll ist eine lästige Angelegenheit: Die Festplatte wird verstopft, Windows erlahmt und wird instabil. Höchste Zeit für einen Windows-Frühjahrsputz. Wir haben für Sie kostenlose Microsoft-Proper-Tools zusammengestellt, damit Ihr System wieder glänzt.

Falls Sie die Unternehmens-IT professionell durchgestriegelt und auf den neuesten Sicherheitsstand gebracht haben wollen, stehen wir für ein Gespräch gerne bereit.

Verfasst von Hans Fischer um 10:29 | TrackBack

18.04.2006

Mobile (Un-)Sicherheit

"Unternehmen sind beim Einsatz mobiler Geräte verunsichert", schreibt ZDNet.de heute und macht auf eine Studie von Symantec (PDF, 200 KB) aufmerksam. Das Fazit:

Die Zahl der Schadprogramme, die es speziell auf mobile Geräte wie Smartphones abgesehen haben, steigt nach Angaben von Symantec kontinuierlich. Vor allem die von vielen Geräten genutzte Übertragungstechnik Bluetooth sei für Angriffe von außen besonders anfällig. Künftig werde das Sicherheitsrisiko noch weiter steigen, da leistungsfähige mobile Endgeräte immer umfangreichere Funktionen bieten.

Die Thematik hat Rolotec im Fachartikel "Gratwanderung: Informations-High/Sicherheits-Low" beschrieben. Gerne bieten wir diesbezüglich auch unsere Sicherheits-Dienstleistungen an.

Verfasst von Hans Fischer um 14:00 | TrackBack

28.03.2006

Hoax - digitales Übel mit langer Tradition

Ein Hoax im deutschen Sprachgebrauch ist laut Wikipedia "eine Falschmeldung, die sich per E-Mail, Instant Messenger oder auf anderen Wegen (SMS, MMS, ...) verbreitet, von vielen für wahr gehalten und daher an viele Freunde weitergeleitet wird." Die TU Berlin führt einen Online Hoax-Info Service, der u.a. eine Hoax-Liste bietet und über das richtige Verhalten informiert.

Im englischsprachigen The Museum Of Hoaxes wird nicht nur der neueste digitale Schabernack präsentiert, sondern z.B. auch berühmte historische Scherze oder die besten April-Scherze. An erster Stelle steht dort übrigens ein Beitrag von BBC (realtime Format) aus dem Jahr 1957 über die Spaghettibaum-Ernte der Schweizer Bauern:

"In 1957 the respected BBC news show Panorama announced that thanks to a very mild winter and the virtual elimination of the dreaded spaghetti weevil, Swiss farmers were enjoying a bumper spaghetti crop. It accompanied this announcement with footage of Swiss peasants pulling strands of spaghetti down from trees. Huge numbers of viewers were taken in, and many called up wanting to know how they could grow their own spaghetti trees. To this question, the BBC diplomatically replied that they should "place a sprig of spaghetti in a tin of tomato sauce and hope for the best."

Verfasst von Hans Fischer um 17:14 | TrackBack

17.03.2006

Miese Noten für IT-Sicherheit in US-Behörden

Gemeinhin würde man ja annehmen, dass die US-Behörden das Thema IT-Sicherheit sehr, sehr ernst nehmen. Doch weit gefehlt, wie heise online unter "US-Behörden fallen bei IT-Sicherheit durch" geschrieben hat. Ein Auszug:

Die meisten Behörden, die in den USA Aufgaben zur Terror-Vermeidung erfüllen, nehmen es mit der eigenen IT-Sicherheit offenbar nicht sehr genau. Den Vogel schießt dabei das für die Koordination von staatlichen Cybersecurity-Maßnahmen verantwortliche Department of Homeland Security (DHS) ab: Nach einem Bericht der Washington Post wurde das im Jahr 2002 gegründete Ministerium jetzt zum dritten Mal in Folge vom Government Reform Committee im Repräsentantenhaus mit der schlechtesten Zensur bewertet, die im US-amerikanischen Schulnotensystem möglich ist. (...)

Verfasst von Hans Fischer um 09:22 | TrackBack

15.03.2006

"Deutsche CIOs sind Internet-Skeptiker"

Unter "Deutsche CIOs sind Internet-Skeptiker" schreibt CIO einleitend:

Umsatzrückgang, Image-Probleme und der Verlust von Kunden - die Angst vor Schäden durch Kriminalität aus dem Internet (Cybercrime) ist mittlerweile größer als die Angst vor herkömmlicher Kriminalität. Insbesondere deutsche CIOs schätzen die Bedrohung aus dem Netz hoch ein. Gleichzeitig fühlen sich zwei Drittel der deutschen Firmen gut gegen die Gefahren gewappnet. Das geht aus einer internationalen Untersuchung von IBM hervor. (...)

Der Unterschied von Deutscher zu Schweizer Sichtweise dürfte nicht allzu gross sein. Die Details lesen Sie bei CIO, individuelle Sicherheitsberatung erhalten Sie bei uns.

Verfasst von Hans Fischer um 10:30 | TrackBack

13.02.2006

Dümmer als erlaubt - IT-Sicherheit mal anders

Spiegel Online haben wir den Artikel "Einbrecher checkt E-Mail" zu verdanken. Kurz: Im US-Bundesstaat Wisconsin hat sich ein Einbrecher am Tatort mit einer Dusche, Fersehen, der Zubereitung von Snacks und dem Check seiner E-Mails ausserordentlich relaxed verhalten. Zu relaxed aber im Endeffekt: Da er sich nicht aus seinem E-Mail-Account ausgeloggt hatte, war seine Verhaftung ein Kinderspiel.

Verfasst von Hans Fischer um 17:35 | TrackBack

25.01.2006

IBM warnt vor Eskalation der Cyberkriminalität

blogosphere.jpgThe Test Bed von Personal Computer World titelt die Story über den Security Outlook Report 2006 von IBM mit folgenden Worten: "IBM warns of cyber-crime escalation". Unter anderem wird prophezeit, dass im laufenden Jahr eine massive Steigerung an schwerwiegender Cyber-Kriminalität zu erwarten sei. Die Aktionen konzentrierten sich insbesondere auf die Aktivierung möglichst vieler Trojaner und anderer Malware durch schlecht informierte Angestellte.

ZDNet.de prognostiziert für 2006 ebenfalls einen Anstieg der Cyberkriminalität. Im Artikel "Organisierte Cyberkriminalität treibt 2006 neue Blüten" wird der Fokus auf die erwartete Zunahme an Phishing- und Botnets-Angriffen gelegt.

Gerne verweisen wir in diesem Zusammenhang auf unsere früheren Beiträge zum Thema und auf unsere Dienstleistungen, die wir Ihnen zu Gunsten der Sicherheit anbieten.

(Bildquelle: U.S. Courts)

IBM warns of cyber-crime escalation More sophisticated, more damaging

Tom Sanders in California, vnunet.com 24 Jan 2006
While the general cyber-threat level in 2005 was lower than in previous years, IBM warned in its 2006 Security Outlook report that online threats are becoming increasingly sophisticated.

"With stiffer penalties and increased security protection on most systems we are seeing organised, committed and tenacious profiteers entering this space," said Cal Slemp, vice president of IBM's security and privacy services.

"This means that attacks will be more targeted and potentially more damaging. Organisations around the world from the public and private sectors must move quickly and work together to address this growing challenge."

IBM predicted that 2006 will see a rise of new and more severe threats. Cyber-criminals will shift their attention from penetrating system security defences to enticing employees to execute Trojans and other malware to gain access to systems.

Attacks will also more commonly launch from emerging economies with weak legislation against cyber-crime, such as eastern Europe and Asia.

The computing giant projected that employees could cause trouble by inadvertently leaking confidential information through blogs, and that attackers will start using instant messaging to control networks of zombie computers.

IBM finally warned that the threat remains of a malware outbreak on mobile devices such as phones and PDAs.

Verfasst von Hans Fischer um 14:10 | TrackBack

16.01.2006

Chodorkowski und die Nigeria-Connection

Yahoo! News und Spiegel Online machen auf eine neue Spielart der Spam-Mails bekannt, die unter dem Begriff Nigeria-Connection bekannt sind. Im Zentrum steht Michail Chodorkowski, ehemaliger Vorsitzender von Yukos, Gegner von Wladimir Putin und aktuell Insasse in einem sibirschen Strafgefangenenlager. In E-Mails werden Gutgläubige (und zumindest in Sachen Nigeria-Connection weiss man, dass es davon erstaunlich viele gibt) von Chodorkowskis Frau Leila (in Tat und Wahrheit heisst sie Inna) aufgefordert, gegen fürstliche Belohnung bei Investitionen mit dem Vermögen des Gatten behilflich zu sein.

Verfasst von Hans Fischer um 14:15 | TrackBack

12.01.2006

"The Great Firewall of China"

Ein chinesisches Sprichwort sagt: "Ein gefällter Baum wirft keinen Schatten." Mehr als 30'000 Angestellte verhindern in China den Schattenwurf von nicht regierungskonformen Web-Inhalten. Der Artikel "The Great Firewall of China" von BusinessWeek online illustriert die aktuelle Situation detailliert und anhand konkreter Beispiele - so wird unter anderem beschrieben, wie sich auch Skype dem Druck der Zensurbehörde gebeugt hat.

GreatWall1.jpg
(Eine Mauer reicht als Bollwerk heute nicht mehr; Bildquelle: CND.org)

By Ben Elgin and Bruce Einhorn, BusinessWeek online

The Great Firewall of China
A vast security network and compliant multinationals keep the mainland's Net under Beijing's thumb. But technology may foil the censors yet

Skype had a dilemma. The Internet telephony and messaging service wanted to enter China with TOM Online (TOMO ), a Beijing company controlled by Hong Kong billionaire Li Ka-shing. Li's people told their Skype Technologies (EBAY ) partners that, to avoid problems with the Chinese leadership, they needed filters to screen out words in text messages deemed offensive by Beijing. No filtering, no service.

At first Skype executives resisted, says a source familiar with the venture. But after it became clear that Skype had no choice, the company relented: TOM and Skype now filter phrases such as "Falun Gong" and "Dalai Lama." Neither company would comment on the record.

VAST MACHINE. It's no secret that Western Internet companies have to hew to the party line if they want to do business in China. Google (GOOG ), Yahoo! (YHOO), and scores of other outfits, both domestic and foreign, have made concessions to China's censors. The latest high-profile example: In December, Microsoft's (MSFT ) MSN shut down a Chinese blogger's site at the government's request.

Microsoft maintains it had no choice. "We only remove content if the order comes from the appropriate regulatory authority," says Brooke Richardson, group product manager for MSN.

Getting a phone call from the government is one part of the picture. What few Westerners know is the size and scope of China's censorship machine and the process by which multinationals, however reluctantly, censor themselves. Few also know that China's censors have kept up with changing technologies, from cell phone text messaging to blogs.

EYES PEELING. How do the Chinese do it? Beijing has a vast infrastructure of technology to keep an eye on any potential online dissent. It also applies lots of human eyeballs to monitoring. The agencies that watch over the Net employ more than 30,000 people to prowl Web sites, blogs, and chat rooms on the lookout for offensive content as well as scammers. In the U.S., by contrast, the entire CIA employs an estimated 16,000 people.

Companies, both foreign and domestic, also abet the government's efforts. Virtually all Net outfits on the mainland are given a confidential list of hundreds of banned terms they have to watch for. The list changes over time, based on events such as the recent police shootings in the southern town of Dongzhou.

The rules are even tougher for companies that host their sites on servers in China. This group, which has included Yahoo but not Google, are pressured to sign the government's "Public Pledge on Self-Discipline for the Chinese Internet Industry," the U.S. State Dept. says. Under the agreement, they promise not to disseminate information that "breaks laws or spreads superstition or obscenity," or that "may jeopardize state security and disrupt social stability."

Translation: "If you own something, you're responsible for what's there," says Nicholas Bequelin, a researcher for Human Rights Watch in Hong Kong. That leads companies to "err on the side of caution and self-censorship."

NO "FREEDOM." For those who can't see the characters on the wall, Beijing has plenty of backup. All Internet traffic entering or leaving China must pass through government-controlled gateways -- that is, banks of computers -- where e-mail and Web-site requests are monitored. E-mail with offending words such as "Taiwan independence" or "democracy" can be pulled aside and trashed.

And when a mainland user tries to open a page that's blacklisted, the gateway will simply deny access. Search for "Tiananmen Massacre" in China, for example, and 90 of the top 100 sites that mention it are blocked, according to the OpenNet Initiative, an Internet watchdog group. The Net operators' response? "We are trying to provide as much information as possible," says Robin Li, chairman of Baidu.com (BIDU ), China's top search engine. "But we need to obey Chinese law."

The censors are also staying abreast of changes on the Internet. Hackers in 2004 found a list of 987 words that were banned from QQ, China's top instant-messaging program. That same year, phone companies were ordered to install software that blocks text messages with offending terms. And bloggers are barred from posting words such as "freedom" as topics, although they're given a bit more leeway in the actual text of their blog entries.

"WE DON'T TOUCH POLITICS." Even so, since last summer, bloggers have been required either to post their musings on commercial sites that employ filters or to register with authorities, making it easier to track down offenders.

The restrictions have led many companies to make both subtle and substantial changes to their operations on the mainland. The Shanghai podcasting and video blogging service provider Toodou.com checks files before they're posted, and users sometimes report objectionable content. And IDG Venture Technology Investment, part of Boston's International Data Group, has invested in a Chinese company that operates online bulletin boards on real estate, entertainment, technology, autos, and more. But "we don't touch politics at all," says Quan Zhou, managing director of the group's Chinese arm.

China's Internet gateways can cause problems even for those companies that avoid controversial subjects. ILX Media Group, a Greensboro (N.C.) publisher of four Chinese-language medical journals, transmits content from the U.S. to China. But getting complex graphics through Beijing's filters can take days, says Jeffrey Parker, ILX's chief operating officer in Shanghai. "All traffic has to go through the same meat grinder," says Parker. Not that such policies deter investors. Parker, for instance, says he's upbeat about his prospects there.

KEEPING UP? Despite the power and sophistication of China's censors, the march of technology may yet foil them. As more sites add podcasts and user-generated video, China's monitoring efforts will become far more complicated because it's harder to examine such material than it is to check text files.

"How do you filter when everybody has the capability to be their own video blogger?" asks Ross O'Brien, managing director at Intercedent Hong Kong, an IT consulting and research firm. But don't underestimate China's ability to control the Net, just as it has done in the past. Although the battle is far from over, the formula of getting companies to do much of the fighting may keep on serving China well.

Verfasst von Hans Fischer um 10:58 | TrackBack

05.12.2005

IT-Sicherheit - von einsamen Kids zu organisierten Banden

Unter dem Titel "The Real-Life Internet Sopranos" schreibt das NewsFactor Magazine über die Entwicklung der Cyberkriminalität von einsamen Versuchen begabter Kids hin zum organisierten Verbrechen. Spiegel Online titelt heute: "Verseuchter Seuchenschutz" und heise online warnt wieder mal vor einem IE-Sicherheitsloch. Die Liste an aktuellen Meldungen über IT-Security könnte beliebig erweitert werden.

Falls Sie die Thematik im Zusammenhang mit Ihrem Unternehmen ganz entspannt beobachten möchten, bieten wir gerne unsere IT-Sicherheitsdienste an.

Verfasst von Hans Fischer um 15:51 | TrackBack

18.11.2005

Keylogging - verräterisches Tippen

Eine äusserst unangenehme Vorstellung, wenn sämtliche Tastaturbewegungen - u.a. das Eintippen von persönlichen Daten wie Passwörtern - von verstecken Programmen aufgezeichnet und an Unberechtigte weitergeleitet werden. Keylogging heisst diese Form der Internet-Kriminialität. Im aktuellen Jahr wurden bisher 6191 Keyloggers festgestellt. Im Vorjahr waren es noch 3735 Malware-Varianten. Wie Newsfactor Online Magazine schreibt, sind längst nicht nur private User betroffen:

The silent but harmful attacks are not just a problem for home users, said Forrester Research analyst Natalie Lambert. It also is a major threat to corporations. She agreed that the increase in keystroke loggers has to do with the enormous amount of information hackers are able to steal without the user knowing about the theft.

Dank unserer langjährigen Erfahrung beraten wir Sie gerne in allen Sicherheitsfragen.

Verfasst von Hans Fischer um 11:06 | TrackBack

26.10.2005

Gartner: IT-Sicherheit wird preisweiter

Diese Überzeugung vertreten Analysten von Gartner. Wie CIO heute schreibt, werden deutliche Verbesserungen bei den IT-Sicherheits-Lösungen in den nächsten fünf Jahren erwartet. Um die Budgets entlasten zu können, müssen allerdings auch die Prozesse in den Sicherheitsabteilungen optimiert werden. Den CIO-Beitrag finden Sie hier.

Für Prozessoptimierung und andere Sicherheitsbelange stehen wir jederzeit und gerne für Sie bereit.

Verfasst von Hans Fischer um 11:27 | TrackBack

14.10.2005

Von Spamalot bis Nigeria

spam_1.JPGTrotz hervorragendem Spam-Filter trudelten auch heute wieder Spam-Mails herein. Ein Nigeria-Connection-Brief war nicht mit dabei. Die sind deutlich vergnüglicher als Medikamenten-Werbung oder MBA-Aufforderungen von dubiosen Lehranstalten und beginnen meistens in der Art von:

I am Mr. John Peters, an account manager of a reputable Bank in Nigeria. I have an urgent and very confidential business proposition for you.
"Spam" hat zwei Facetten. Die amüsante liegt in der Herkunft des für unerwünschte Werbe-E-Mails verwendeten Begriffs. Spam (spiced ham) ist ein Produkt von Hormel Foods und erlangte Weltrum durch den Spam-Sketch von Monty Python:
Man: You sit here, dear. Wife: All right. Man: Morning! Waitress: Morning! Man: Well, what've you got? Waitress: Well, there's egg and bacon; egg sausage and bacon; egg and spam; egg bacon and spam; egg bacon sausage and spam; spam bacon sausage and spam; spam egg spam spam bacon and spam; spam sausage spam spam bacon spam tomato and spam; Vikings: Spam spam spam spam...! (...)
Wem das noch nicht reicht, findet auf der offiziellen Spam-Seite unter anderem das Märchen von Spamalot.

So weit so gut: In Sachen unerwünschter E-Mail-Sendungen ist die Kreativität der Urheber zwar gross, die Spass der Empfänger aber klein. Information über und wider Spam bieten u.a. Dr. Web, Wikipedia, der Eidgenössische Datenschutzbeauftragte oder Spam.Trash.net.

Im Zusammenhang mit IT-Sicherheits-Aufträgen lösen wir, im Rahmen des Möglichen, gerne auch Ihre allfällige Spam-Problematik.

Verfasst von Hans Fischer um 15:20 | TrackBack

21.09.2005

IT-Sicherheit in stetem Wandel

CIO schreibt heute:

In vielen Unternehmen steht das Thema IT-Sicherheit ganz oben auf der Prioritätenliste. In den nächsten drei Jahren, so die Prognose von Analysten, wird bei zwei Dritteln der 2.000 weltweit größten Konzerne die Position des Chief Information Security Officers (CISO) existieren. Doch damit ist die Evolution des Themas IT-Sicherheit in den Firmen noch nicht abgeschlossen, wie Gartner-Analyst Paul Proctor auf Gartners Security Summit in London berichtet hat.

Für spezifische Fragen zum Thema IT-Security stehen wir jederzeit und gerne zur Verfügung.

Verfasst von Hans Fischer um 09:24 | TrackBack

15.09.2005

Jugend-Strafe für Hilton-Hacker

Diesen Frühling erlangte das Thema IT-Sicherheit einen gewissen "Glamour". Der Sidekick von Paris Hilton wurde gehackt und in direkter Folge wurden geheime Telefonnummern von VIPs im Internet veröffentlicht. Ein 17jähriger aus Massachussetts wurde nun zu 11 Monaten Jugendgefängnis verurteilt. Während der Haftzeit und zwei weiteren Jahren muss er zudem totale Abstinenz von allen Geräten, die Zugang zum Internet verschaffen könnten, üben. Eine umfangreiche Story bietet ZDNet UK.

Ps. Rolotec bietet seine Sicherheits-Dienstleistungen auch Nicht-Prominenten an.

Verfasst von Hans Fischer um 16:41 | TrackBack

07.09.2005

Info-Quellen in Sachen IT-Security

it_security_button.jpgFalls Sie konkrete Sicherheits-Fragen haben, stehen wir jederzeit und gerne für Antworten bereit. Falls Sie sich über das Thema oder Einzelaspekte informieren möchten, gibt es viele ausgezeichnete Quellen. Forrester's Security Research bietet ausgezeichnete Analysen - leider aber mehrheitlich nicht kostenlos (kleiner Tipp: Titel der gewünschten Anlayse in eine der gängigen Suchmaschinen eingeben und mit etwas Glück wird der Text - da weiterverwendet - gefunden). Kostenlos, sehr umfassend und entsprechend zu empfehlen, ist die Security-Link-Sammlung von Switch.

Gibt es Fakten, sind meistens auch Mythen nicht weit. Secure Computing hat die Top 10 der IT-Security Mythen festgehalten. Hier die deutsche Übersetzung von Handelsblatt.com.

(Bildquelle: Government Security News)

Verfasst von Hans Fischer um 09:41 | TrackBack