Aktuelles zum IT-Sicherheitsgesetz

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten Entwürfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklärt und festgelegt werden müssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft für Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natürlich auch sehr gefreut ;-). Weiterlesen…

Online-Shop wird mit Herabstufung bei Google-Suchergebnissen erpresst

Laut einem Bericht von Golem wird der Online-Shop Holzspielzeug- Discount.de derzeit von einem Erpresser mit der Herabstufung in den Google-Suchergebnissen erpresst. Zahlt der Shop die geforderten 5.000 Euro nicht, hat der Erpresser gedroht massenhaft Badlinks oder Spamlinks auf die Seite zu setzen. Dies führt dazu, dass Google die Seite schlechter bewertet und somit schlechter oder gar nicht mehr über Google auffindbar ist.

Dieses aktuelle Beispiel zeigt, dass Cyber Crime kein Thema nur für große Unternehmen ist. Die professionellen Kriminellen haben den Markt der kleinen und mittelständischen Unternehmen entdeckt, die zwingend für ihr Geschäftsmodell auf den Online-Shop bzw. die Erreichbarkeit über das Internet angewiesen sind. Mit der Drohung, die Seiten lahmzulegen werden im großen Stil ganze Branchen erpresst. Die Beträge sind bewusst relativ niedrig gehalten, so dass die Unternehmen geneigt sind, den Betrag zu bezahlen, um Ausfälle zu vermeiden. Die Umsatzverluste bei einem mehrtägigen Ausfall der Internetseiten wären deutlich höher als der erpresste Betrag. Kleine Unternehmen, die ihren Internetauftritt bei einem externen Dienstleister gehostet haben, stehen vor einer Zwickmühle. Eine DDoS-Attacke auf den Internetauftritt kann im schlimmsten Falle sogar dazu führen, dass der Hoster den Vertrag wegen des durch die Attacke verursachten Traffics fristlos kündigt oder eine Aufstockung des Vertrags einfordert. Auch sind viele kleine Unternehmen mangels Technik und Know How gar nicht in der Lage einen solchen Angriff abzuwehren. Vor Kurzem hat BCM-News über den DsiN-Blog berichtet, der Mittelständlern als Informationsplattform für solche Fälle dienen kann.

Hacker stehlen persönliche Daten von 1,29 Millionen SEGA-Kunden

Nachdem Sony bereits mehrfach Opfer von Hackern wurde, ist der Spielebetreiber SEGA jetzt Opfer von Hackern geworden. Von rund 1,2 Millionen Kunden der Internetseite SEGA Pass wurden Namen, Geburtsdatum, E-Mailadressen und verschlüsselte Passwörter gestohlen. Kreditkartendaten seien nicht erbeutet worden. Sega hat sich bei seinen Kunden entschuldigt und will die Sicherheit gegen Hacker jetzt verstärken.

[BBC,n24.de]

Hacker erbeuten Kreditkartendaten bei der Citigroup

Bei dem erfolgreichen Hackerangriff auf die Citigroup wurden Kreditkarteninformationen von zehntausenden Bankkunden gestohlen. Laut Angaben der Citigroup handelt es sich um Namen, Kontonummern und E-Mailadressen, nicht jedoch um Ablaufdatum und Prüfziffer der Karten, die für Online-Transaktionen benötigt werden. Die Daten von 1 Prozent der Kunden seien bei dem Einbruch in das System eingesehen worden.

Die Schwarzmarktpreise für Kreditkartendaten variieren zwischen 2 und 90 US-Dollar, abhängig von der Vollständigkeit der Daten und dem Limit der Kreditkarte. Zugangsdaten zu Konten werden mit Preisen bis zu 700 US-Dollar gehandelt.

Die Banksysteme werden mit sehr großem Aufwand gegen Hackerangriffe geschüzt. Die Hacker greifen daher eher den Rechner auf der Client-Seite oder bei Geldautomaten (Skimming) an, um an Kartendaten und Zugangsdaten zu kommen. Dass Hacker direkt in die Systeme der Citigroup eindringen konnten und Kundendaten erbeuten ist daher schon sehr bemerkenswert.

ISACA: TOP Business Technology Issues Survey 2011

ISACA hat die Ergebnisse der TOP Business Technology Issues 2011 veröffentlicht. Welche Themen bewegen die IT- Manager und IT-Verantwortlichen weltweit in den nächsten 12-18 Monaten?

Die Top seven Business Issues sind in dieser Reihenfolge:

  1. Regulatory compliance
  2. Enterprise-based IT Management and IT governance
  3. Information security management
  4. Disaster recovery/business continuity
  5. Challenges of managing IT risk
  6. Vulnerability management
  7. Continuous process improvement and business agility.

Im Bereich Disaster Recovery/Business Continuity ist das herausragende Thema die Übernahme der Verantwortung der Business Manager für dieses Thema: “business managers’ lack of awareness of their responsibility to be able to maintain critical functions in the event of a disaster, which leads to BCM not being a business-owned and business-driven process”.

Die Studie kann bei ISACA als Download bezogen werden.

Effizienzsteigerung durch Selbstbeschränkung

(Gastbeitrag von Dr. Christian Zänker)

Die Umsetzung des Business Continuity Managements leidet oftmals an mangelnder Effizienz, weil seine Schnittstellen unzureichend genutzt und nicht eindeutig definiert sind.  Ungeklärte Verantwortlichkeiten und Kompetenzen zwischen den Steuerungsfunktionen im Unternehmen führen zu Reibungsverlusten und beeinträchtigen die Qualität der erhobenen Daten und der auf ihrer Basis ermittelten Anforderungen. Weiterlesen…

Finanzagentur des Bundes nach Internetattacke offline

Die Finanzagentur GmbH am Donnerstag Opfer einer Internetattacke geworden. Ziel war eine Sicherheitslücke im Internetangebot der Finanzagentur. Die 170.000 Kunden werden die nächsten Wochen keinen Zugriff auf das Online-Angebot haben bis die neuen Geheimnummern versandt sind. Die Finanzagentur informiert auf ihrer Webseite über den Vorfall.

Bei der Finanzagentur, einer Behörde des Bundes, können Kunden kostenlos Wertpapiere des Bundes verwalten lassen. Die Behörde ist aus der Fusion mit der Bundesschuldenverwaltung entstanden.

Kostenloser Pocketguide “IT-Sicherheit für kleine und mittlere Unternehmen”

IT-Sicherheit ist nicht nur etwas für Großunternehmen. Im Gegenteil, Ausfälle,  Schäden und Betriebsunterbrechungen können kleine und mittelständische Unternehmen wesentlich schneller existentiell gefährden als Großunternehmen.

Für die Zielgruppe der kleinen und mittelständischen Unternehmen hat der Verein Deutschland sicher im Netz e.V. (DSiN) daher den kostenlosen Pocketguide „IT-Sicherheit für kleine und mittlere Unternehmen“ herausgegeben.

Das Thema Business Continuity Management kommt in diesem Pocketguide etwas kurz, aber dafür gibt es ja auch noch den BSI 100-4 als sinnvolle und ebenfalls kostenfreie Ergänzung.

Der Pocketguide kann kostenfrei auf der Webseite des DSiN e.V. heruntergeladen werden.

Virus legt Krankenhaus lahm

Über einen Virenbefall der besonderen Art in einem niederländischen Krankenhaus berichtet heise. Gegen den Computervirus waren die konventionellen medizinischen Behandlungsmethoden machtlos. Die IT-Systeme kamen laut der Meldung zum Erliegen, da der Schädling die Nutzerkonten der User sperrte. Es konnten auf Grund des Schädlingsbefalls nur noch Not-Operationen durchgeführt werden. Mittlerweile sei der Normalbetrieb nahezu wieder hergestellt.

Neuer Blog zur IT-Sicherheit: SecTank

Das IT-Security Blog SecTank ist ein neuer Blog, der über aktuelle Themen der IT-Sicherheit berichtet und auf den ich gerne aufmerksam machen will. Viel Spaß bei der Lektüre.

Aus der Vorstellung der Autoren:

Einer für alle. Alle für einen. Alle für Sie. SecTank ist ein Autoren- und Sicherheits-Spezialistenteam, das schon länger zusammenarbeitet. Wir möchten mit SecTank hauptsächlich die interaktive Kommunikation mit Ihnen. Wir werden interessante Berichte für Sie einstellen, die aktuelle Themen der Spezialgebiete unserer Autoren am Puls der Zeit behandeln. Wir möchten aufmerksam machen, Awareness schaffen, Trends festlegen, beraten und informieren. Manchmal möchten wir auch provozieren.