Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Cyber-Security - Schulungs- und Beratungsangebot – Neue Kooperation mit der weyer Gruppe in Düren

Cyber-Security - Schulungs- und Beratungsangebot – Neue Kooperation mit der weyer Gruppe in Düren

Cyber-Security - Schulungs- und Beratungsangebot – Neue Kooperation mit der weyer Gruppe in Düren


IT-Sicherheit – Datenschutz – Pen-Testing oder: Was wir von Hackern lernen können…

Die IT und die Vernetzung von unterschiedlichsten Systemen untereinander – das Internet of Things – ist eines der zentralen Themen unserer Zeit – nicht nur aus Entwicklersicht, sondern auch in Hinblick auf die IT-Sicherheit und den Datenschutz. Und so ist es nicht verwunderlich, das neben den vielen positiven Meldungen über neue Errungenschaften der Digitalisierung auch die Kehrseiten deutlich werden. Ob es angegriffene Fahrzeuge, groß angelegte Hacker-Attacken auf Telekommunikationsnetze, Datenschutzpannen und vielleicht demnächst ein Angriff auf die Strom- und Wasserversorgung oder eine Chemie-Anlage sind: IT-Sicherheit ist ein ernstzunehmendes Thema, auch wenn es von Entwicklern und Treibern der Digitalisierung oft als Hemmnis und Stolperstein auf dem Weg zu einer schnellen Lösung gesehen wird.


Ging es Angreifern in der Vergangenheit meist um das Stehlen von Geld und Daten, so bergen Angriffe auf IT-Strukturen im IoT bzw. auf OT-Systeme zusätzlich Gefahren für Leib und Leben. 
„Uns passiert schon nichts“ und „Wir sind gewohnt, mit ganz anderen Risiken umzugehen“
Viele Unternehmen und Betreiber von Industrieanlagen befinden sich in Unkenntnis der tatsächlichen Bedrohungslage bzw. Angriffsmöglichkeiten entweder in einer vermeintlichen Sicherheit oder zumindest in einer unkomfortablen Grauzone aus Unwissenheit, Unsicherheit und Restrisiko.

Funktionale Sicherheit vs. IT-Sicherheit

Selbstverständlich kennen Betreiber von Industrieanlagen die gesetzlichen und technischen Vorgaben, um die Betriebssicherheit einer Fabrik zu gewährleisten und z.B. das Austreten von gefährlichen Stoffen zu verhindern. Natürlich gibt es bei besonders gefährlichen Prozessen nicht nur eine Schutzeinrichtung und der physikalische Zugang zu Anlagen und Sicherungseinrichtungen ist selbstredend besonders geschützt und für einen Angreifer sehr schwer zu erlangen.
Aber was ist, wenn der Angreifer gar nicht vor Ort sein muss? Was ist, wenn er es schafft, Produktionsdaten aus einer Anlage über vernetzte Systeme zu entwenden oder zu verfälschen? Was ist, wenn er grundsätzliche zulässige Steuerbefehle an die Anlage sendet, die in Kombination mit anderen Angriffsvektoren für eine Störung oder gar einen Ausfall sorgen? Was ist, wenn er es schafft, eigentlich funktionierende Sicherheitsmaßnahmen bei einem Störfall zu kompromittieren und Meldeketten außer Kraft zu setzen?
Passiert schon nicht? Plastische Beispiele von tatsächlich machbaren bzw. erfolgten Angriffen werden Sie vom Gegenteil überzeugen. Betrachtet man nämlich, wie fahrlässig Systeme und Netzwerke im Bereich von Automobilen, Industriesteuerungen, Web-Anwendungen, Smart-Home und Stromversorgungsnetzen aktuell bzw. in der jüngeren Vergangenheit entwickelt wurden, ist das Vertrauen in die Betriebs- und IT-Sicherheit unbegründet.

Security by Design

Viele Schäden könnten von Beginn an verhindert werden, wenn den Entwicklern und Entscheidern ein Basiswissen an IT-Sicherheit vermittelt würde. Andere können durch den Einsatz von IT-Sicherheitsexperten in wichtigen Projektphasen erkannt und beseitigt werden. Tatsächlich sind IT-Sicherheit und Datenschutz als integrale Bestandteile einer jeden Entwicklung bereits in der Konzeptionsphase der Idee zu berücksichtigen. Das senkt nicht nur die Entwicklungskosten für diese Punkte, sondern zeigt bereits in einem frühen Stadium, ob und wo die Geschäftsidee aus Security- oder Datenschutz-Sicht angreifbar ist.
Folgen

In jüngerer Vergangenheit hat auch der Gesetzgeber erkannt, dass beim Betrieb von sicherheitskritischen Anlagen nicht nur die funktionale Sicherheit (Safety), sondern auch die IT-Sicherheit (Security) zu berücksichtigen ist. Und last but not least ist spätestens mit Einführung der DS-GVO auch das Thema „Datenschutz“ (Privacy) in der Industrieanlage angekommen.
Werden Fragestellungen rund um die IT-Sicherheit bei der Planung bzw. der Errichtung von Industrieanlagen nicht ausreichend berücksichtig, droht nun die Verweigerung der Betriebsgenehmigung allein wegen diesen „nebensächlichen“ Themen.
Und auch bei bereits bestehenden Anlagen kann ein Hacker-Angriff durch Störung der Produktion, Erpressung oder Geheimnisverrat existenzgefährdende Schadensausmaße annehmen.

Gegenmaßnahmen

Die Weyer-Gruppe berät Industriekunden bereits seit Jahrzehnten u.a. beim Erreichen eines adäquaten Schutzniveaus in Bezug auf die funktionale Sicherheit. Durch Kooperation mit dem Forensik-Spezialisten und öffentlich bestellten Sachverständigen für IT-Systeme Dipl.-Ing. Thomas Käfer, M.Sc. wurde das Beratungsportfolio auf das Thema „IT-Sicherheit und Datenschutz“ erweitert.  Im Rahmen von Schulungen, Workshops und individueller Projektberatung bietet Ihnen das Team Weyer-Käfer ab sofort hochkompetente Beratungsleistung mit Blick auf funktionale und IT-Sicherheit.
Schulungen und Workshops: Anhand von zahlreichen aktuellen Beispielen lassen sich konzeptionelle und individuelle Fehler sehr plastisch demonstrieren und geeignete Abhilfemaßnahmen diskutieren, um die Eintrittswahrscheinlichkeit derartiger Vorfälle deutlich zu senken.

Individual-Beratung: Ganz konkret für Ihre Anlage bzw. Ihr Projekt

Eine Schulung oder ein Workshop kann nur der erste sinnvolle Schritt zu mehr IT-Sicherheit sein. Ihre Anforderungen sind aber so individuell wie Ihre Anlage. Daher bieten wir im Rahmen einer Projektberatung ganz konkrete Consulting-Leistungen an, um Risiken zu identifizieren und zu bewerten und die IT-Sicherheit an Ihrem Standort zu erhöhen.

Weitere Infos siehe Website der weyer-Gruppe.

Bewerte diesen Beitrag:
Weiterlesen
1528 Aufrufe
0 Kommentare

Neuauflage Forschungsbericht Car-Forensics 5.0

Neuauflage Forschungsbericht Car-Forensics 5.0

Der Forschungsbericht Car-Forensics ist ab sofort in der 5. Auflage bei BOD oder im Buchhandel unter der ISBN 9783738635393 als eBook oder Harcover erhältlich.

Aus der im Frühjahr 2014 entstandenen Idee für die Abschlussarbeit im berufsbegleitenden Masterstudiengang Digitale Forensik an der Hochschule Albstadt-Sigmaringen ist ein umfangreiches Forschungsprojekt entstanden.

Die Erkenntnisse aus der Arbeit wurden und werden im Rahmen von Vorträgen auf Kongressen und Veröffentlichungen in Zeitschriften und Fernsehberichterstattungen einem Fachpublikum auch zur Förderung des wissenschaftlichen Dialogs präsentiert. Im Rahmen des Responsible Disclosures wurden sicherheitskritische Schwachstellen zunächst den betroffenen Firmen und Institutionen gemeldet und ihnen Gelegenheit zur Stellungnahme und Abstellen der Fehler gegeben. Hiervon wurde nicht immer zeitnah und manchmal auch gar nicht Gebrauch gemacht.

Nicht nur die Vermittlung der Ergebnisse wurde im unmittelbaren Anschluss an die Fertigstellung der Masterthesis fortgeführt, sondern es ist auch eine darauf aufbauende weitere Kooperation mit der FH Aachen eingegangen worden.

Ein Hacker gibt selten Ruhe und der Autor gehört auch eher zur hartnäckigen und unbequemen Sorte Mensch. Von daher ist es logisch, dass das Projekt Car-Forensics weitergeführt wird. Im Jahr 2016 wurden hierzu u.a. Untersuchungen am Unfallmeldedienst des Gesamtverbandes der deutschen Autoversicherer mit dem Retrofit-Adapter (Kapitel 4.4) und Analysen des Dienstes „Audi connect“ (Kapitel 5.7) vorgenommen.

Aber auch Erkenntnisse bzgl. der Zuverlässigkeit von Fahrerassistenzsystemen im Hinblick auf die zukünftige Entwicklung hin zum vollautomatisierten Fahren fanden Eingang in die forensischen Betrachtungen. U.a. am Beispiel des Audi A4 Baujahr 2017, der bereits mit einer Vielzahl von Assistenzsystemen ausgerüstet werden kann, wird gezeigt, auf welchem Qualitäts- und Funktionsniveau sich solche elektronischen Helfer derzeit bewegen und welche Probleme sich beim Bewerten von vermuteten Fehlfunktionen und Produktmängeln geben. Diese grundsätzlichen Vorbehalte und Kritik wurden im März 2018 auf traurige Weise durch den ersten tödlichen Unfall mit einem Fremdschaden – verursacht durch ein voll-automatisiert fahrendes Volvo-Fahrzeug des Fahrdienstanbieters Uber – bestätigt (Kapitel 6.4).

Aber auch andere Forscher waren fleißig und so vergeht praktisch kein Monat, an dem nicht wieder eine neue Veröffentlichung eines Problems in Bezug auf die funktionale und/oder IT-Sicherheit bekannt wird. Auch hierauf wird – ohne einen Anspruch auf Vollständigkeit – eingegangen. Last but not least hat sich auch die Gesetzeslage in Deutschland bzw. Europa in Bezug auf den Datenschutz (DS-GVO) und die Normen für die Zulassung und den Betrieb von automatisiert fahrenden Fahrzeugen verändert.

Alle diese Ergebnisse fanden Eingang in die nun vorliegende 5. Auflage des Buches Car-Forensics. Über eine Reihe von weiteren Erkenntnissen bei Penetration-Test an Fahrzeugen kann an dieser Stellen leider nicht öffentlich berichtet werden, da der Autor sogenannten NDA (Non-Disclosure-Agreements) abgeschlossen hat und es sich um Auftragsarbeiten handelt.

Mit dem Kaufpreis unterstützen Sie die Forschungsarbeit Car-Forensics, die komplett aus privaten Mitteln ohne öffentliche Förderung oder Unterstützung von Automobilherstellern oder Verbänden finanziert wurde.

Besitzer der vorherigen Versionen können gegen Zusendung eines Kaufnachweises die neue Auflage kostenlos als PDF erhalten – E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! mit dem Beleg genügt.

Bewerte diesen Beitrag:
Weiterlesen
7539 Aufrufe
0 Kommentare

Neuer Online Shop von Plum's Kaffee online

Neuer Online Shop von Plum's Kaffee online

Deutschlands älteste Kaffeerösterei hat einen neuen Online-Shop. Dank KaeferLive.

Die Abkündigung von PHP 5.X hat es ausgelöst und gemeinsam mit dem Team von Plum's Kaffee haben wir aus der Not eine Tugend gemacht und nicht nur die technische Basis erneuert, sondern gleich auch noch den Shop gestalterisch und inhaltlich auf den neuesten Stand gebracht. Und das Sahnehäubchen on top: Die Administration ist einfacher und die Kosten für die Pfege des Shops sind deutlich gesunken. Win-Win.

Ab was erzählen wir? Machen Sie sich selbst ein Bild und probieren Sie eine Tasse exzellenten Kaffee!

https://www.plumskaffee.de

 

Markiert in:
Bewerte diesen Beitrag:
Weiterlesen
5665 Aufrufe
0 Kommentare
Empfohlen

Neuer Flyer für das Seminar Car-Forensics

Neuer Flyer für das Seminar Car-Forensics

 

Seminar Car-Forensics - Automotive Security 5.0

zum Flyer...

Motivation: Durch die zunehmende Vernetzung von Fahrzeugen untereinander, mit Smartphones und zentralen Infrastrukturen (Car2X) sowie durch Erweiterungen wie Unfalldatenschreibern und das System „eCall“ bis hin zum automatisierten und autonomen Fahren muss der Fokus von reinen Fragen der Functional- und Road-Safety mehr und mehr in Richtung auf IT-Sicherheitsaspekte (Security) und Datenschutz (Privacy) erweitert werden. Das Bewusstsein über die Gefahren, die durch mangelhafte IT-Sicherheit im Automotive-Umfeld ausgehen, hat sich durch die zahlreichen Incidents und Veröffentlichungen ab 2015 spürbar verändert. Dennoch ist in vielen Bereichen der Automobilindustrie und Automotivszene die Komplexität der Herausforderung für sichere IT-Systeme im und um das Fahrzeug herum noch nicht adäquat erkannt worden bzw. findet in den Produkten und Services keine ausreichende Beachtung.

Die Speicherung und der Austausch von Fahrzeug- und Bewegungsdaten wecken Begehrlichkeiten bei Industrie, Polizei und Justiz, Versicherungen und Dienstleistern aber auch bei Kriminellen. Aus der Vernetzung und Steuerungsmöglichkeit von Fahrzeugen via Funk ergeben sich komplett neue Bedrohungsszenarien im Bereich der IT-Security mit Auswirkungen auf die Functional- und Road-Safety.

Probleme der IT an sich und mit deren Sicherheit werden durch Schwachstellen verursacht, deren Ursache fast immer mit menschlichen Fehlern zusammenhängt. Je mehr Fehler Menschen bei der Entwicklung, Integration, Administration oder Nutzung von IT machen, desto mehr Schwachstellen gibt es und umso größer ist das Risiko von Fehlfunktionen oder erfolgreicher Angriffe. Im Zeitalter der Digitalisierung kann dem nur gegengesteuert werden, wenn die Gründe für Schwachstellen - die Fehler der beteiligten Menschen - reduziert werden. Dabei ist die Sichtweise des Hackers dem Ingenieur üblicherweise vollkommen fremd. Dem kann durch das Seminar abgeholfen werden. Denn: IT-Sicherheit und Datenschutz werden von Entwicklern und Treibern der Digitalisierung oft als Hemmnisse und Stolpersteine auf dem Weg zu einer schnellen Lösung gesehen. Der Versuch, diese Punkte in fast fertige Produkte nachträglich zu integrieren oder gar „hinein zu testen“, ist zum Scheitern verurteilt bzw. erhöht die Entwicklungskosten erheblich (bei gleichzeitig geringerer Produktqualität). Tatsächlich sind sogenannte Penetration-Tests nur ein Baustein, um am Ende (regelmäßig) zu prüfen, ob das geforderte Schutzniveau auch erreicht wird.

Viele Schäden könnten von Beginn an verhindert werden, wenn den beteiligten Entwicklern und Entscheidern ein Basiswissen an IT-Sicherheit vermittelt würde. Andere können durch den Einsatz von IT-Sicherheitsexperten in wichtigen Phasen von IT-Projekten erkannt und beseitigt werden. Tatsächlich sind IT-Sicherheit und Datenschutz als integrale Bestandteile einer jeden IT-Entwicklung bereits in der Konzeptionsphase der Idee zu berücksichtigen. Das senkt nicht nur die Entwicklungskosten für diese Punkte, sondern zeigt bereits in einem frühen Stadium, ob und wo die Geschäftsidee aus Security- oder Datenschutz-Sicht angreifbar ist.

Betrachtet man, wie unbedarft und fahrlässig aktuelle Systeme und Netzwerke gerade im Bereich von Automobilen aber auch bei Industriesteuerungen, Web-Anwendungen, Smart-Home und Stromversorgungsnetzen aktuell bzw. in der jüngeren Vergangenheit entwickelt wurden, ist das Vertrauen in deren Betriebs- und IT-Sicherheit unbegründet.

Ein Ausfall bzw. Angriff auf solch ein System produziert nicht nur erhebliche Kosten und Schäden, sondern senkt die Reputation des Anbieters auf ein ggf. existenzbedrohendes Niveau. Für den Nutzer kann ein IT-Security-Incident letztlich tödlich enden.

Anhand von zahlreichen aktuellen Beispielen lassen sich konzeptionelle und individuelle Fehler sehr plastisch demonstrieren. Nach dem Motto „Niemand ist unnütz - er kann immer noch als schlechtes Beispiel dienen“ kann man daran nicht nur die Risiken demonstrieren, sondern auch geeignete Abhilfemaßnahmen diskutieren, um die Eintrittswahrscheinlichkeit derartiger Vorfälle deutlich zu senken.

Am Ende bleibt ein Rest-Risiko, das es zu bewerten und zu minimieren gilt. Hier sind vor allem die Risiken, die eine hohe Eintrittswahrscheinlichkeit gepaart mit einer hohen Schadensauswirkung haben, bevorzugt zu betrachten.

Security by Design und Privacy by Design sollten daher nicht nur leere Marketing-Schlagworte oder Normen wie beispielsweise der DS-GVO geschuldet sein, sondern tatsächlich belastbare Qualitätskriterien jeder modernen Digitalisierungsstrategie und IT-Entwicklung.

Seminarkonzept: Das Seminar „Car-Forensics - Automotive Security“ basiert auf und orientiert sich an der gleichnamigen Forschungsarbeit (Stand 05/2019 ISBN: 9783738635393) und soll vorgenannten Aspekten Rechnung tragen und zeigen, was technisch im Bereich der digitalen forensischen Auswertung der in den Kfz verbauten bzw. extern mit den Fahrzeugen gekoppelten IT-Systemen derzeit bereits möglich und zukünftig denkbar ist. In diesem Kontext wird beleuchtet, welche Rechtsgrundlagen zurzeit vorhanden und anwendbar sind und wo nach wie vor Regelungsbedarf seitens des Gesetzgebers besteht. Im praktischen Teil wird thematisiert, welche Schnittstellen die verschiedenen Systeme besitzen, die forensisch angesprochen bzw. ausgewertet werden können. Hierbei wird sowohl auf offen kommunizierte Standards und Zugänge zugegriffen als auch z.B. mittels Hacking- und Analysewerkzeugen mit Hilfe von Reverse-Engineering-Methoden eine Datenauswertung bzw. -manipulation gezeigt. Mittels Vorgehensweisen der digitalen Forensik und typischer Angreifer wird an Beispielen aus dem Automotive-Umfeld und dem Internet der Dinge visualisiert, inwieweit technische und organisatorische Sicherungen umgangen werden können bzw. welche Daten tatsächlich übertragen und gespeichert werden.

Zielsetzung: Im Seminar werden die Themen Datensicherheit und -schutz aus Sicht der Betreiber und Verwender sowie die forensischen Möglichkeiten und Rechte für Sachverständige und Ermittler beleuchtet. Des Weiteren wird ein Code of Conduct für Car2X-Kommunikation diskutiert. Die Erkenntnisse aus den verschiedenen Angriffsszenarien und Werkzeugen der Hacker können von mit der Entwicklung betrauten Ingenieuren wiederum verwendet werden, um die Systeme nicht nur in Hinblick auf die funktionale Safety sondern auch und vor allem auf die IT- und Daten-Sicherheit (Security) zu härten.

Zielgruppe: Das Seminar richtet sich gleichermaßen sowohl an Entwickler und Betreiber von Automotive-Systemen (Hard- und Software) als auch an Entscheider, die Personal- und Entwicklungsverantwortung in diesem Bereich tragen (OEM und Zulieferer). Für die unterschiedlichen Zielgruppen werden separate Workshops mit differenziertem Gesamtumfang und fachlicher Tiefe angeboten (1/2 Tag, 1 Tag und 2 Tage).

Voraussetzungen: Vorkenntnisse im Bereich der Software- und System-Entwicklung sowie der IT-Sicherheit sind wünschenswert, jedoch nicht zwingend erforderlich. Im Seminar wird versucht, das Themenfeld Car-Forensics in der Breite und dort wo nötig und sinnvoll in der erforderlichen Tiefe zu betrachten und eine für alle Teilnehmer verständliche Fachsprache zu verwenden.

Kosten: Die Kosten für ein Seminar bzw. einen Workshop differieren entsprechend der gewünschten Dauer, des Schulungsortes und des ggf. individuell angepassten Inhalts oder der Schwerpunktsetzung. Auf Anfrage erhalten Sie gerne ein konkretes Angebot incl. aller Spesen.

Vertraulichkeit / NDA: Der Referent ist bereits aufgrund seines Berufsstandes als ö.b.u.v. Sachverständiger zur Vertraulichkeit verpflichtet. So werden in den Schulungen weder Namen oder Details aus anderen Kundenprojekten kommuniziert noch werden konkrete Wortbeiträge oder Meinungen der Seminarteilnehmer aus den Diskussionen in anderen Schulungen weiter verbreitet. Erfolgt über die reine Wissensvermittlung eine individuelle Projektberatung, so ist der Abschluss eines NDA möglich.

Projektbetreuung: Auch bzw. gerade nach der Schulung steht Ihnen der Referent Thomas Käfer als kompetenter Ansprechpartner rund um die Themen IT-Sicherheit, Forensik und Datenschutz im Rahmen von Projekt- und Entwicklungsunterstützung auf Honorarbasis zur Verfügung. Seine Tätigkeiten können sowohl beratender Natur bei der Konzeption von fahrzeugnahen IT-Systemen sein als auch deren nachfolgende Bewertung z.B. im Rahmen von Security- und Privacy-Audits und Penetration-Tests beinhalten.

Vorstellung Referent:  Dipl.-Ing Thomas Käfer, M.Sc. ist mit seinem IT-Systemhaus seit 1990 selbstständig in der IT tätig. Das Tätigkeitsfeld der Firma Käfer umfasst Consulting-Leistungen im Bereich der IT-Sicherheit incl. Penetration-Testing u.a. im Automotive-Umfeld. Thomas Käfer arbeitet seit 2002 als Sachverstän­diger für Systeme und Anwendungen der Informationsverarbeitung (seit 2006 öffentlich bestellt), als IT-Consul­tant, Fachautor und beschäftigt sich vor allem mit Fragen der IT-Sicherheit, dem Datenschutz und dem Gebiet der Digitalen Forensik. Ehrenämter als Handelsrichter am Landgericht Aachen sowie als Mitglied der Vollversammlung der IHK Aachen (Ausschüsse Industrie und Technologie, Außenhandel sowie Berufsbildung) komplettieren seine Tätigkeiten. Er hat 2015 erfolgreich den berufsbegleitenden Masterstudiengang „Digitale Forensik“ als Zweitstudium an der Hochschule Albstadt-Sigmaringen in Kooperation mit der LMU München und der FAU Erlangen abgeschlossen und in diesem Rahmen eine umfangreiche Forschungsarbeit zum Thema Digitale Kfz-Forensik erstellt. Thomas Käfer beschäftigt sich regelmäßig mit Fragestellungen der IT-Sicherheit und der forensischen Auswertung von modernen Fahrzeugen und IT-Systemen, die mit diesen gekoppelt werden. Er ist Speaker auf Veranstaltungen zum Thema IT-Sicherheit und Datenschutz und hält Workshops zu diesem Thema für Automobilindustrie, Zulieferer, Behörden und Verbände und ist Mitglied der Fokus-Gruppe IT-Security im Digital Hub Aachen.

zum Flyer...

 

Bewerte diesen Beitrag:
Weiterlesen
11305 Aufrufe
0 Kommentare

Neues aus der Rubrik "IT-Sicherheit gut gemeint, aber nicht gut gemacht"...

Neues aus der Rubrik "IT-Sicherheit gut gemeint, aber nicht gut gemacht"...

Neues aus der Rubrik "IT-Sicherheit gut gemeint, aber nicht gut gemacht"... Telekom-Techniker verschickt Zugangsdaten zu einem Firmenrouter über ein "E-Mail-Encryption-Gateway" als "vertrauliche Nachricht". So weit so gut. Doof nur, dass er / das System eine Initial-Mail unverschlüsselt mit den Zugangsdaten zum Portal verschickt und dass die anschließende Registrierung komplett ohne wirkliche Authentifizierung des legitimen Empfängers passiert bzw. verifiziert wird. Ein Angreifer, der Zugang zu den Mails hat (mitliest), kann somit den Account unbemerkt kapern, bevor der echte User sein Passwort geändert hat. Damit ist das E-Mail-System nur scheinbar sicher. Und das Verfahren zeigt die Misere beim verschlüsselten E-Mail-Versand: Es ist nur dann sicher, wenn ein rel. hoher Initialaufwand betrieben wird und sich alle Seiten dann an den Sicherheitsstand halten.

 

Telekom

Bewerte diesen Beitrag:
Weiterlesen
11508 Aufrufe
0 Kommentare
Empfohlen

WDR Lokalzeit Aachen 08.01.2019 19:30 Uhr - Hackerattacke auf Prominente und Politiker

WDR Lokalzeit Aachen 08.01.2019 19:30 Uhr - Hackerattacke auf Prominente und Politiker

Am 08.01.2019 war das Reportageteam von Bettina Staubitz bei mir im Büro und hat mich zu meinen Empfehlungen zum Thema Schutz gegen Datendiebstahl und Hackerattacken befragt. Herausgekommen ist ein treffender Fernsehbeitrag für die Aktuelle Stunde des WDR (Lokalzeit Aachen), der eigentliche selbstverständige Sicherheitstipps noch einmal auf den Punkt bringt. Natürlich ist das noch bei weitem nicht alles, was man tun kan, um seine Daten zu schützen, aber die komprimierte Ausgabe ist dem Fernsehformat geschuldet. Wer mehr wissen will, weiss doch, wie er mich findet.

Ihr Thomas Käfer

Abruf in der WDR Meditathek (bis 15.01.2019): https://www1.wdr.de/mediathek/video/sendungen/lokalzeit-aachen/video-wie-schuetze-ich-meine-daten--tipps-vom-it-experten-100.html

Permalink: https://www.youtube.com/watch?v=7Vp7bC3KwHk&feature=youtu.be

Bewerte diesen Beitrag:
Weiterlesen
14119 Aufrufe
0 Kommentare

Seasons Greatings

Seasons Greatings

Liebe Kunden, Geschäftspartner und Freunde,

langsam neigt sich 2018 dem Ende entgegen und die Jahresend-Rallye ist in vollen Gange. Jetzt heißt es, den Bremsvorgang einzuleiten und rechtzeitig zum Wochenende zum Stehen zu kommen. Denn Weihnachten verträgt vor allem eines nicht: Geschwindigkeit. Nutzen Sie die Zeit zwischen den Jahren und tanken Sie Kraft im Kreis von Familie und Freunden. Ein paar Gänge herunter zu schalten wird uns allen wieder gut tun. Und dann, wenn der letzte Böller gezündet ist, ganz langsam die Systeme wieder hochfahren und anrollen. Nicht zu schnell und mit viel Drehmoment im unteren Drehzahlbereich, sodass die Kraft für einen erfolgreichen Start ins neue Jahr lange vorhält.

Vielen Dank für die angenehme und erfolgreiche Zusammenarbeit in 2018.

Ich freue mich auf 2019 und darauf, mit Ihnen wieder das eine oder andere IT-Projekt erfolgreich zu stemmen!

Und nun wünsche ich Ihnen und Ihren Familien ein frohes Weihnachtsfest und ein erfolgreiches, gesundes und glückliches neues Jahr 2019.


Würselen, im Advent 2018 - Ihr Thomas Käfer


Bewerte diesen Beitrag:
Weiterlesen
3618 Aufrufe
0 Kommentare

Goodbye Deutschland

Goodbye Deutschland

Time to say "Goodbye". Aktuell für die einstmals weltweit größte und bedeutendste Computermesse CeBIT. Diese wird nach einem offenbar katastrophalen Ergebnis in 2018 nun ganz eingestellt (Rückgang der Besucherzahlen von ca. 200.000 Besucher p.a. in den Jahren 2014-2017 auf 120.000 in 2018). Was aber auch eine saublöde Management-Entscheidung, die Messe von ihrem angestammten Platz im März auf den Juni zu verlegen. Wie habe ich im Sommer getitelt? "Stell Dir vor, es ist CeBIT und keiner hat es gemerkt." Klar gab es rückläufige Besucherzahlen. Die Digitalisierung ist auch bei den Messen angekommen und manche Information bekomme ich schneller, besser und billiger im Internet als im persönlichen Besuch einer Messe. Aber das Familientreffen in Hannover wird der Branche fehlen. Und ein wichtiges Signal geht von dem Verzicht auf die einzige weltweit relevanten IT-Messe auf deutschem Boden aus: Wir verlieren den Anschluss und landen in der digitalen Bedeutungslosigkeit. Hauptsache, wir klicken auf jeder Website diese dämlichen Cookie-Hinweise ab! Wo wollen wir unsere Ideen für die digitale Zukunft präsentieren, wenn nicht in Hannover auf der CeBIT? Aber RIP! CeBIT, Du liegst in bester Gesellschaft direkt neben dem Breitbandausbau ("Wir brauchen kein 5G an jeder Milchkanne..." Sechs. Setzen Bildungsministerin.) und der Sau "Digitalisierung", die von vielen Unwissenden durchs Dorf zu Tode getrieben worden ist (Laber, laber, laber, aber wie der Blinde von der Farbe reden).

Wie wäre es, mal Leute zu fragen, die sich damit auskennen? Ok, Gelbe Seiten sind auch Old-School, aber es gibt ja zum Glück die amerikanische Suchmaschine Google…

Mann, bin ich sauer.

 

 

Bewerte diesen Beitrag:
Weiterlesen
6070 Aufrufe
0 Kommentare

Exit Brexit – Please stay oder: Wie man als kleiner Unternehmer in der IHK Vollversammlung gehört wird

Exit Brexit – Please stay oder: Wie man als kleiner Unternehmer in der IHK Vollversammlung gehört wird

Exit Brexit – Please stay oder: Wie man als kleiner Unternehmer in der IHK Vollversammlung gehört wird


Am 30.03.2019 - also in knapp einem halben Jahr - könnte ein Horror-Szenario Wirklichkeit werden. Nicht nur dass Groß-Britannien dann tatsächlich aus dem Verbund der Europäischen Union ausscheidet, es könnte dabei auch eine harten Brexit geben, der die gesamten etablierten Handelsbeziehungen zwischen den verbleibenden 27 EU-Staaten und dem Königreich komplett zum Erliegen bringen könnte. Ohne Handelsabkommen fällt UK auf den gleichen Stand wie der Handel mit einem Dritte Welt Land. Und im Moment sieht es so aus, dass weder die europäischen noch die britischen Politiker in der Lage oder willens sind, das Problem zu lösen. Am Ende wird es bis auf ganz wenige ganz spezielle Ausnahmen nur Verlierer auf allen Seiten geben.


Wie schön wäre es doch, wenn die Briten die Idee mit dem Brexit doch noch vergessen würden und in einem zweiten Votum für den Verbleib in Europa stimmen würden. Denn wenn wir mal ehrlich sind: Wir mögen die Briten. Sie bauen tolle Autos, machen coole Musik und wir lieben ihre Schrulligkeit. Der Stadtplan von London ist uns aus dem ersten Unterrichtsjahr im Fach Englisch immer noch präsent und die Queen und die königliche Familie haben wir insgeheim auch irgendwie adoptiert. Und GB gehört zu der EU, genauso wie u.a. Frankreich, die BeNeLux-Länder oder wir Deutschen. Eine EU ohne GB ist eigentlich undenkbar. Und tatsächlich sind die Nationen wirtschaftlich so eng miteinander verknüpft, dass viele alltäglichen Produkte schlagartig nicht mehr oder zumindest nicht mehr so einfach und so preiswert zur Verfügung stehen werden. Da gibt es das Beispiel der BMW-Schraube, die im Laufe des Produktionsprozesses bis zum fertigen Mini den Kanal insgesamt vier Mal überquert. Die LKW-Schlange in Calais und Dover vor den Zollabfertigungsterminals dürfte ab April 2019 gigantisch werden.


Sicherlich ist UK nach dem Brexit nicht aus der Welt, aber es wird etwas Wichtiges in der Europäischen Union fehlen. Das Volk selber ist offenbar nach wie vor gespalten und das Votum für oder wider oder über das wie ändert sich wöchentlich. Wäre es daher nicht besser, über einen Exit vom Brexit nachzudenken? Und wenn GB bleibt, dann müssen wir gemeinsam selbstverständlich daran arbeiten, die Gründe für das Brexit-Votum zu analysieren und Missstände in partnerschaftliche Weise abstellen. Sonst bleibt das nur eine Vernunft-Ehe der Kinder wegen…


Dies Gedanken haben mich umgetrieben, als wir uns wenige Tage nach dem IHK-Außenhandelstags im Aachener Eurogress, bei dem der Brexit eines der beherrschenden Themen war, am 25.09.2018 in der Vollversammlung der IHK Aachen zur turnusmäßigen Sitzung getroffen haben. Meine Wortmeldung unter „Verschiedenes“ zu meiner Idee, mit einer Charme-Offensive seitens der Wirtschaft die Briten zu ermutigen, den Brexit noch einmal grundsätzlich zu überdenken, wurde nicht nur wohlwollend zur Kenntnis genommen, sondern Präsident Wolfgang Mainz formulierte daraus spontan einen Auftrag für die IHK Aachen. Dieser wurde in der anschießenden Abstimmung mit großer Mehrheit nicht nur angenommen, sondern nach wenigen Tagen auch umgesetzt.


Nun ist der Präsident der IHK Aachen - Wolfgang Mainz - auf dem Weg nach London, um den Aachener Appell „Please stay“ im Rahmen des Herbstempfangs der Deutsch-Britischen Industrie- und Handelskammer am 12.10.2018 nach Groß-Britannien zu tragen.


Unnötig zu sagen, dass ich ihm bei dieser Mission alle Daumen drücke (und ihm und dem IHK Hauptgeschäftsführer Michael F. Bayer wohl auch ein Bier schulde). Aber mir ist es auch wichtig zu betonen, dass der Umgang der IHK Aachen in Hauptamt und der Vollversammlung mit einer Idee eines Einzeln zeigt, dass jeder in diesem Gremium etwas bewirken kann, egal wie klein oder groß sein Unternehmen ist. Und das ist die Botschaft an die Kritiker der Kammern: Mitmachen statt meckern. Es lohnt sich.
Und nun wäre es toll, wenn unser Beitrag aus Aachen über die Grenzen der Stadt Karls des Großen hinaus Gehör finden würde und Gross-Britannien aktives Mitglied der EU bleibt und Europa weiter mitgestaltet. Auch wenn es unbequem ist.


Vielleicht mag der ein oder andere sich der Idee anschließen und die Nachrichten teilen und selber die Hand über den Ärmelkanal zu unseren britischen Freunden austrecken.
Please stay!

Würselen / Aachen, 11.10.2018 - Thomas Käfer


Mehr unter: https://www.facebook.com/brexitexitpleasestay

Bewerte diesen Beitrag:
Weiterlesen
7217 Aufrufe
0 Kommentare

Shared responsibility and development in Automotive

Shared responsibility and development in Automotive

Shared responsibility and development in Automotive

Bei der Entwicklung von Automobilen hat sich ein Verfahren der Beauftragung und Delegation von Verantwortlichkeiten etabliert. Der Autohersteller (OEM) schreibt die Entwicklung von Teilsystemen aus und beauftragt Firmen, die diese wiederum aus Modulen und Baugruppen anderer Firmen zusammenstellen. Und selbstverständlich bedienen sich auch die Komponentenlieferanten weiterer Teilelieferanten.

Die auf den ersten Blick durchaus sinnvolle Arbeitsteilung und Spezialisierung der in der Liefer- und Produktionskette beteiligten Firmen hat durchaus ihre Daseinsberechtigung, birgt aber in Hinblick auf die IT-Sicherheit des Gesamtproduktes Automobil erhebliche Risiken. Derzeit versuchen die Auftraggeber von oben nach unten ihre Zulieferer zur Implementierung von Cyber-Sicherheit in die Produkte zu verpflichten. Das kann jedoch nur bedingt gelingen, vor allem wenn jedes an der Entwicklungs- und Produktionskette beteiligte Unternehmen sein eigenes Produkt mit geheimen Know-How abkapselt.

Niemand hat dann den Gesamtüberblick über das Fahrzeug und gerade an den Übergabepunkten und Schnittstellen zwischen den Teilsystemen, Steuergeräten und Module lauern die Gefahren. Denn ein potentieller Angreifer wird sich immer das schwächste Glied in der Kette aussuchen und vielleicht an Stellen angreifen, die niemand vor ihm im Blick hatte.

Ein besserer Ansatz ist daher gerade in Hinblick auf die Härtung von komplexen Fahrzeugen der heutigen Zeit, dass die Firmen geradebei der Sicherstellung der IT-Sicherheit (Security) viel enger bei Konzeption und Entwicklung zusammenarbeiten und den bisherigen Pfad der Delegation von Verantwortlichkeiten verlassen. Das fordert ein erhebliches Umdenken in der Branche, aber es würde die IT-Sicherheit moderner Kfz erheblich verbessern.

Wen weitere Details zu diesem Thema interessieren, dem sei das vom 08. bis 10.10.2018 im Aachener Eurogress stattfindende Aachener Kolloquium Fahrzeug- und Motorentechnik empfohlen, bei dem es u.a. von Dipl.-Ing. Thomas Käfer, M.Sc. nun schon zum dritten Mal einen spannenden Einblick in die Welt der IT-Sicherheit im Automobil geben wird.

Link zur Veranstaltung: https://www.aachener-kolloquium.de/de/

Bewerte diesen Beitrag:
Weiterlesen
22153 Aufrufe
0 Kommentare