Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Cyber Security von Produktionsanlagen

weyer

Durch eine Kooperation mit der weyer-Gruppe Düren, habe ich mein Tätigkeitsfeld im Bereich der Digitalen Forensik auf den Bereich Cyber Security von Produktionsanlagen erweitert.

Hier bieten wir als Team folgende Leistungen an:

 

  • Aufnahme und Aufteilung der Betriebsbereiche / Anlagen in überschaubare Einheiten (Sektionierung) zur Analyse der notwendigen Maßnahmen
  • IT-Risikobeurteilung (z. B. nach NA 163 / IEC 62443 / DIN ISO 27001)
  • Ableitung und Priorisierung von Maßnahmen
  • Unterstützung bei der Umsetzung von Maßnahmen
  • Einarbeitung in das Gesamt-Sicherheitskonzept der Anlage: Verbindung zur klassischen Prozesssicherheit bzw. zur funktionalen Sicherheit mit den Anforderungen und Maßnahmen, die sich aus der IT-Beurteilung ergeben
  • Beratung von Equipment-Herstellern hinsichtlich Cyber Security
  • Penetrationstest, kurz Pentest(ing): Wir übernehmen eine umfassende Sicherheitsprüfung aller Systembestandteile und Anwendungen eines Netzwerks (Rechner, Maschinen, Produktionsanlagen etc.) mit den Methoden, die ein Angreifer bzw. Hacker anwenden würde, um in ein System einzudringen. Mehr Informationen dazu finden Sie hier.
  • Digitale Forensik bzw. IT-Forensik:

 

Weitere Infos finden sie hier: https://www.weyer-gruppe.com/anlagenbetreiber-und-investoren/cyber-security-produktionsanlagen/

 

Weiterlesen
  686 Aufrufe
  0 Kommentare
686 Aufrufe
0 Kommentare

Unter neuen Vorzeichen - Titelbeitrag in den Wirtschaftliche Nachrichten der IHK Aachen 06-2020

Wirtschaftliche Nachrichten 06-2020

Unter dem Titel "Der Daten-Detektiv" berichten die Wirtschaftlichen Nachrichten der IHK Aachen in der Ausgabe Juni 2020 über die Unternehmungen und den Werdegang von Thomas Käfer.

Mit dem einen oder anderen Augenzwinkern ist daraus ein kurzweiliger und gut gelaunter Artikel geworden, der die Darwinsche Theorie, dass die Spezies überlebt, die sich an wechselnde Bedingungen am besten anpasst, perfekt belegt.

Zum Artikel: https://www.aachen.ihk.de/blueprint/servlet/resource/blob/4811502/b83a0769d73c2573a82f991cfadae0d8/wn-06-2020-data.pdf

 

Weiterlesen
  1042 Aufrufe
  0 Kommentare
1042 Aufrufe
0 Kommentare

Pressekonferenz der Cybersecurity Fokusgruppe des digitalHubs Aachen zum Thema Corona-App

200420_digitalHUB-Fokusgruppe-Cybersecurity-verffentlicht-Konzeptpapier-Social-Distance-Scanner-002

digitalHUB-Fokusgruppe Cybersecurity veröffentlicht Konzeptpapier zur IT-Sicherheit bei „Corona-Apps“

Social Distance Scanner – Chancen und Risiken der Tracking-Apps

Aachen, 20. April 2020: Die Fokusgruppe Cybersecurity des digitalHUB Aachen e.V., ein Zusammenschluss von IT-Sicherheitsspezialisten aus Unternehmen und Organisationen der Region, hat heute im Rahmen einer Pressekonferenz in der digitalCHURCH in Aachen ihr Konzept vorgestellt, in welchem sie Ansätze für Tracking-Apps zur Eindämmung von COVID-19 diskutiert und bewertet. In ausgewählter Runde und unter Beachtung der aktuell geltenden Abstandsregelungen stellten Dr. Walter Plesnik, Thomas Käfer und Prof. Dr. Marko Schuba aus der Fokusgruppe Cybersecurity im digitalHUB Aachen e.V. der Presse ihre Ausarbeitungen vor. Eingeleitet wurde die Veranstaltung von Dr. Oliver Grün, Vorstandsvorsitzender des digitalHUB Aachen e.V. und Präsident des Bundesverbandes IT-Mittelstand e.V.: „Wir freuen uns, dass sich die Fokusgruppe Cybersecurity aus unserem digitalHUB Aachen mit ihrem Diskussionspapier in den aktuellen Diskurs um die Corona-Apps einbringt“, sagt Dr. Oliver Grün. „Das Beispiel der Arbeitsgruppe spiegelt wider, wie interdisziplinär wir im digitalHUB Aachen mit über 300 digitalaffinen Mitgliedsunternehmen ehrenamtlich zusammenarbeiten.“


Tracking-Apps als Teil der Exitstrategie aus dem „Shutdown“

Der Einsatz von Apps zum Nachvollziehen von Infektionsketten findet aktuell trotz datenschutzrechtlicher Bedenken immer mehr Befürworter aus Politik und Wissenschaft. Er wird vor allem als vielversprechende Möglichkeit gesehen, die Ausbreitung der COVID-19-Pandemie bei gleichzeitiger Lockerung der derzeit geltenden Maßnahmen wie Ausgangsbeschränkungen und Kontaktsperren einzudämmen. Die Tracking-Apps stellen die physische Nähe von Personen untereinander fest, werten Infektionswege aus und informieren Kontaktpersonen von Infizierten ohne zeitliche Verzögerung. Durch die schnelle Isolation von Corona-positiven Personen kann eine weitere Ausbreitung des Virus begrenzt werden. Ein sogenannter „Shutdown“, wie wir ihn zurzeit erleben, könnte damit verhindert bzw. bei gleichzeitig breitem Einsatz von Testverfahren wieder beendet werden.

Umgang mit datenschutzrechtlichen Bedenken

„So vielversprechend die Tracking-Verfahren zur Eindämmung von Pandemien sind, so problematisch sind sie auch aus rechtsstaatlicher Sicht, da sie tief in das Recht auf Privatsphäre eingreifen“, sagt Dr. Walter Plesnik, Sprecher der Fokusgruppe Cybersecurity im digitalHUB. „Um dem Missbrauch der flächendeckenden Überwachung von Bürgern vorzubeugen, ist es aus Sicht unserer Fokusgruppe absolut essenziell, dass beim Einsatz solcher Technologien Privatsphäre, Datenschutz und IT-Sicherheit bei der App-Entwicklung von Beginn an und im Sinne der Benutzer berücksichtigt werden“, fährt er fort.

Realisierung erfordert hohes Maß an Funktionalität und Sicherheit

„Mit unserem Diskussionspapier möchten wir die App-Entwicklungen zum Thema Social Tracking im Gesundheitswesen beratend unterstützen und einen Beitrag zu einer kurzfristigen Umsetzung einer solchen App leisten. Auch wenn derzeit schon erste Versionen existieren, bedarf es einer stetigen Weiterentwicklung der Apps, um Anforderungen an Funktionalität und Sicherheit gerecht zu werden“, sagt Marko Schuba aus der Fokusgruppe Cybersecurity. „Daher haben wir in einem kleinen Experten-Team selbst einen Vorschlag für die Umsetzung einer derartigen App entwickelt, der die technischen, organisatorischen und rechtlichen Aspekte diskutiert und berücksichtigt. Wir betrachten IT-Sicherheit und Datenschutz als Enabler für eine Lösung und nicht als Einschränkung. Erst der Einsatz von anerkannten und etablierten Techniken der IT-Security wie Verschlüsselung, Hashing und Anonymisierung, machen die Lösung überhaupt möglich, hebt Thomas Käfer, ebenfalls Mitglied der Fokusgruppe hervor.

Weitere Statements zum Diskussionspapier:
„Die Region Aachen verfügt über eine ausgeprägte IT-Kompetenz und liegt mit rund 11.500 Beschäftigten in der Informations- und Telekommunikationsbranche über dem NRW-Durchschnitt. Dieses enorme Potenzial zu nutzen, ist somit folgerichtig“, sagt Michael F. Bayer, Hauptgeschäftsführer der Industrie- und Handelskammer (IHK) Aachen und Vorstandsmitglied im digitalHUB Aachen e.V. „Die Gruppe von IT-Experten des digitalHUB Aachen hat ein Konzept entwickelt, wie man diese Apps datenschutz- und IT-sicherheitskonform gestalten kann, damit möglichst viele Menschen diesen Apps vertrauen und daran teilnehmen. Ich freue mich, dass die Technologieregion Aachen zu diesem sehr aktuellen Thema einen wertvollen Beitrag leisten kann“, lässt Marcel Philipp, Oberbürgermeister der Stadt Aachen, in einem Pressestatement mitteilen.

Das vollständige Konzeptpapier „Social Distance Scanner – Mit Digitalisierung und IT-Sicherheit gegen „Corona“ finden Sie hier.

Der digitalHUB Aachen e.V.

Der Verein digitalHUB Aachen (www.aachen.digital) setzt sich für die Digitalisierung der Wirtschaft und der öffentlichen Hand der Region Aachen ein. Mitglieder sind Mittelstand, Industrie, Startups und Institutionen, welche die Ziele des Vereins unterstützen. Das Digitalisierungszentrum des digitalHUB Aachen bringt Startups und IT-Mittelstand (digitale „Enabler“) mit klassischem Mittelstand und Industrie als Anwender (digitale „User“) in der digitalCHURCH zusammen, um gemeinsam neue digitale Geschäftsmodelle zu entwickeln und zu realisieren. Unterstützt wird dies durch Region und Wissenschaft („Supporter“). So wird euregional eine „Aachen Area“ als digitales Innovationsland geschaffen. Das Digitalisierungszentrum des digitalHUB Aachen ist Teil der Initiative „Digitale Wirtschaft NRW (DWNRW)“ und eines von sechs geförderten Zentren für die digitale Wirtschaft in NRW.

Die Fokusgruppe Cybersecurity im digitalHUB Aachen e.V.

Die Fokusgruppe besteht aus ca. 30 mittelständischen Unternehmen aus dem Raum Aachen, die sich direkt und indirekt mit den Themen der IT-Sicherheit und des Datenschutzes beschäftigen. Ein Kernteam von zehn Personen aus dieser Gruppe trifft sich regelmäßig, um aktuelle Themen zu diskutieren und Workshops zu organisieren. Durch die Teilnahme an Symposien und Vortragsveranstaltungen sowie durch Initiativen wie die Beratung bei der Entwicklung von Apps auf fachlicher Ebene, trägt die Fokusgruppe dazu bei, das Thema Cybersecurity zu einem Leuchtturmprojekt des digitalHUB werden zu lassen. Die Mitglieder der Gruppe arbeiten ehrenamtlich.

Pressekontakt:
digitalHUB Aachen e.V.
Karin Bönig
Jülicher Str. 72a
52070 Aachen
T: +49 241 89 438 526
F: +49 241 89 438 599

 

Teaserbild: v.l.n.r.: Dr. Oliver Grün, Vorstandsvorsitzender des digitalHUB Aachen e.V. und Präsident des Bundesverbandes IT-Mittelstand e.V.; Dr. Walter Plesnik, Sprecher der Fokusgruppe Cybersecurity im digitalHUB Aachen e.V. und Geschäftsführender Gesellschafter des Ing.-Büro Dr. Plesnik GmbH; Prof. Dr. rer. nat. Marko Schuba (FH Aachen), Mitglied der Fokusgruppe Cybersecurity im digitalHUB Aachen e.V.; Thomas Käfer, Inhaber und Geschäftsführer von Käfer IT Systeme e.K. und Mitglied der Fokusgruppe Cybersecurity im digitalHUB Aachen e.V. Bildquelle: digitalHUB Aachen e.V.

Weiterlesen
  1345 Aufrufe
  0 Kommentare
1345 Aufrufe
0 Kommentare

Mit IT-Sicherheit gegen Corona

T1
An dieser Stelle mal etwas Konstruktives von mir zum Thema Corona und wie wir der Lage vielleicht Herr werden können.
 
Ich habe zusammen mit einer Handvoll Security-Experten der Fokusgruppe Cybersecurity im digitalHub Aachen in den vergangenen zwei Wochen an einem Konzept mitgewirkt, wie man eine App so gestalten kann, dass sie uns bei der Eindämmung der Pandemie hilft und Freiheiten zurückgibt und auf der anderen Seite Grundrechte, Datenschutz, Privatsphäre und IT-Sicherheit gewahrt bleiben. Wir hoffen nun, dass unsere Arbeit von den verantwortlichen öffentlichen Stellen wahrgenommen und berücksichtig wird. Daher darf der Link gerne geteilt werden.
 
Abstract:

Zur Eindämmung der COVID-19-Pandemie („Corona“) ist das Wissen um Kontakte zu infizierten Personen von entscheidender Bedeutung. Aufgrund der Schwierigkeit, solche Kontakte zurückzuverfolgen, kommen vermehrt Vorschläge auf, das Potenzial existierender Technologien wie Smartphones für diesen Zweck zu nutzen.

Die physische Nähe von Personen untereinander könnte auf diese Art automatisiert festgestellt und Infektionswege ausgewertet werden. Dies könnte nicht nur für die aktuelle COVID-19-Situation, sondern auch für zukünftige Pandemien entscheidend dazu beitragen, die Ausbreitung zu verlangsamen.

Um dem Missbrauch einer flächendeckenden Überwachung von Bürgern vorzubeugen, müssen beim Einsatz solcher Tracking-Technologien Privatsphäre, Datenschutz und IT-Sicherheit von Beginn an und im Sinne der Benutzer berücksichtigt werden.

Generell sind zwei wesentliche Anwendungsfälle bzw. Use-Cases zu berücksichtigen: Die statistische Gesamtbetrachtung, die eine globale Bewertung der Pandemieentwicklung und -ausbreitung ermöglicht und die individuelle Bewertung des persönlichen Infektions-Risikos für den einzelnen Nutzer.

Die Fokusgruppe Cybersecurity des digitalHUB Aachen, ein Zusammenschluss von IT-Sicherheitsspezialisten aus Unternehmen und Organisationen der Aachener Region, hat es sich zum Ziel gesetzt, die Entwicklung datenschutz- und IT-sicherheits-konformer Tracking-Lösungen zu unterstützen und vorgeschlagene Ansätze diesbezüglich zu bewerten.

Daraus ergeben sich eine Reihe von Anforderungen, die bei der Entwicklung zu beachten sind. Aus der Fokusgruppe heraus wurde das hier vorliegende Diskussions-Papier erstellt, anhand dessen nun im Verlauf der weiteren Arbeit diskutiert werden kann, wie man eine derartige App und deren zentrale Datenhaltung aufbauen könnte, um die Persönlichkeitsrechte der Nutzer zu wahren. Dazu stellt das Dokument verschiedene, technisch denkbare Lösungsansätze vor und bewertet die jeweiligen Vor- und Nachteile.

Mit diesem Wissen und anstehenden Diskussionspunkten möchte sich die Gruppe nun in die Entwicklung derartiger Lösungen einbringen. Hierbei sollen auch andere, sich derzeit in der Entwicklung befindliche und in den Medien diskutierte Lösungsansätze genauer betrachtet, diskutiert und bewertet und diesen Gruppen eine Zusammenarbeit angeboten werden. Ziel ist es, die Expertise der Fokusgruppe Cybersecurity im Bereich der IT-Sicherheit und des Datenschutzes für den Nutzer in die App einfließen zu lassen. Die Gruppe geht davon aus, dass es unabhängig von bereits auf dem Markt befindlicher Apps Gründe geben wird, diese um weitere Funktionen zu erweitern und somit stetig einen Beitrag an diesen Entwicklungen leisten zu können.

Das Dokument erhebt nicht den Anspruch, alle rechtlichen, technischen und organisatorischen Aspekte vollumfänglich und abschließend zu beschreiben, sondern wird laufend fortgeschrieben (Work in Progress). Die Fokusgruppe lädt dazu ein, hierzu in Dialog zu treten (Request for Comments).

Das komplette Paper zum Download: PDF – Social Distance Scanner – Mit Digitalisierung und IT-Sicherheit gegen ‘Corona‘

Weiterlesen
  1430 Aufrufe
  1 Kommentar
1430 Aufrufe
1 Kommentar

Finger Weg von Handy-Daten!

FingerWeg
Finger weg von den Handy-Daten.
 
So fängt die Aufweichung der Rechtsstaatlichkeit und die staatliche Überwachung an. Und wer glaubt, der Zweck heilige die Mittel oder dass der Staat die Maßnahmen nur zur Corona Bekämpfung nutzt und danach die Maßnahmen wieder einstellt, der glaubt auch, die Erde wäre eine Scheibe.
 
... und wie es besser geht, sieht man hier ...
 
Weiterlesen
  1005 Aufrufe
  0 Kommentare
1005 Aufrufe
0 Kommentare

Gastbeitrag im CHEManager: Digitalisierung in der Industrie – aber sicher (doch)

CHEManager

Am 18.03.2020 hat die Zeitschrift CHEManager den Gastbeitrag von Dipl.-Ing. Thomas Käfer, M.Sc. veröffentlicht: Digitalisierung in der Industrie – aber sicher (doch)

Die Digitalisierung durchdringt alles: Früher isolierte Systeme werden vernetzt und gleichzeitig werden Angriffe auf IT-Systeme zu einer immer realeren und schwerwiegenderen Bedrohung.

Also sollte man davon am besten die Finger lassen, lieber weiterhin auf isolierte und vollständig abgeschottete Systeme setzen und sie durch geheime, eigenentwickelte Sicherheitsmaßnahmen so schützen, dass niemand sie (unbefugt) nutzen kann? „Digitalisierung“ ist auch nur so eine Modeerscheinung! Dann wäre man Unterlasser und nicht Unternehmer.

[hier weiterlesen]: https://www.chemanager-online.com/themen/anlagenbau-komponenten/digitalisierung-der-industrie-aber-sicher-doch

 

 

Weiterlesen
  979 Aufrufe
  0 Kommentare
979 Aufrufe
0 Kommentare

TERMIN auf 2021 VERSCHOBEN: Versicherungstag 2020 der IHK Koblenz, IHK Trier, dem BVK Koblenz-Trier e.V. und dem BWV Koblenz e.V. am 02.04.2020

Vallendar

ABSAGE: Der Versicherungstag 2020 muss wegen der Corona Krise leider in diesem Jahr entfallen, ist aber für 2021 mit gleichem Programm geplant.

 

Versicherungstag 2020

Am 2. April 2020 findet der 12. gemeinsame Versicherungstag der IHK Koblenz zusammen mit der IHK Trier, dem BVK Koblenz-Trier e.V. und dem BWV Koblenz e.V. statt.

Der Versicherungstag beginnt um 09:30 Uhr und findet statt in der Stadt- und Kongresshalle Vallendar, Hellenstraße 67, in 56179 Vallendar.

Wir freuen uns auf aktuelle Vorträge und einen anregenden Erfahrungsaustausch.

Näheres entnehmen Sie bitte dem Flyer zum Versicherungstag.

Gerne können Sie sich bis zum 26.03.2020 hier anmelden.

Weitere Informationen:

www.ihk-koblenz.de (Dok.-Nr. 3639074)

www.ihk-trier.de (Dok.-Nr. V-20068)

Die Teilnahme an der Veranstaltung ist für die IHK-, BVK-und BWV-Mitglieder sowie deren Mitarbeiter kostenfrei

PROGRAMM

9:30 - 10:00 Uhr Get together

10:00 - 10:10 Uhr: Ralf Löhmar, Vizepräsident der IHK Koblenz - Begrüßung

10:15 - 11:15 Uhr: Prof. Dr. Florian Elert, HSBA Hamburg School of Business Administration  - Auswirkungen der digitalen Trans-formation auf das Versicherungsgeschäft

  • Veränderungen durch die Digitalisierung für die Produktangebote und Absatzkonzepte
  • Auswirkungen der Entstehung von Plattformen und Ökosystemen auf das Versicherungsgeschäft
  • Grundlagen zu den Themen Digitalisierung, Plattformen und Ökosystemen, insbesondere für Versicherungsvermittler
  • Herausforderungen und Chancen für Vermittler und Versicherer

11:25 - 13:00 Uhr: Dipl. Ing. Thomas Käfer, M.Sc.  - IT-Sicherheit – Datenschutz – Pen Testing im Fokus des Versicherungsvertriebs

  • Problematisierung von IT-Sicherung und Datenschutz
  • Was ist digitale Forensik
  • Beratungsansatz, Gefahrenabwehr und Absicherung des Restrisikos (Cyberversicherung)
  • Umsetzung im Versicherungsvertrieb

13:00 - 14:00 Uhr: Mittagsimbiss

14:00 - 16:00 Uhr:  Samuel Koch, Autor - Steh auf Mensch!

16:00 Uhr: Ende der Veranstaltung

Referenten

Prof. Dr. Florian Elert

Prof. Dr. Florian Elert verantwortet die praxisorientierte Lehre und Forschung im Bereich Versicherungsmanagement an der HSBA Hamburg School of Business Administration und ist Leiter des Bachelorstudiengangs Versicherungsmanagement. Zusätzlich zu seiner Lehr-tätigkeit führt er Workshops, Seminare, Einzeltrainings für Entscheider sowie Studien für die Versicherungswirt­schaft an der HSBA durch und referiert regelmäßig auf Branchenveranstaltungen. Seine Forschungsschwerpunkte umfassen die Themen: Auswirkungen der Digitalisierung auf die Geschäftsmodelle in der Versicherungswirtschaft, digitale Transformation von Versicherungsunternehmen und Vertrieben sowie Geschäftsmodellinnovation in der Assekuranz.

Dipl. Ing. Thomas Käfer M.Sc.

Dipl.-Ing. Thomas Käfer, M.Sc. ist öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwen­dungen der Informationsverarbeitung und beschäftigt sich seit 1990 u. a. mit seinem IT-Systemhaus neben klassischen Aufgabenstellungen aus der PC-, Netzwerk-und Portal-Technik vor allem mit Fragen der IT-Sicherheit und der digitalen Forensik. Im Sommer 2015 hat er den berufsbegleitenden Master-Studiengang „Digitale Foren­sik“ erfolgreich abgeschlossen und in diesem Kontext u.a. eine Forschungsarbeit zum Thema Digitale KFZ-Forensik erstellt, die seither fortgeführt wird. Als Fachautor und Speaker auf zahlreichen IT-Security-Events tritt er zum Thema Cyber-Security in Erscheinung.

Samuel Koch

„Steh auf Mensch!“ – der Titel seines Vortrags passt auf kaum einen anderen so sehr wie auf Samuel Koch. Wer nach einem Schicksalsschlag wie dem Unfall bei „Wetten, dass..?“ nicht den Lebensmut verliert, muss wohl das Geheimnis der Resilienz kennen – der inneren Wider­standsfähigkeit, die gerade in aller Munde ist. Vor dem Hintergrund seiner eigenen Erfahrungen und unzähligen Gesprächen mit Todkranken und Topmanagern, Flüchtlin­gen und Häftlingen wirft Samuel Koch spannende Fragen auf: Was gibt Menschen wirklich die Kraft, immer wieder aufzustehen? Kann man Resilienz lernen und wenn ja, braucht es dazu vielleicht andere Ansätze als bisher gedacht? In seinem Vortrag „Steh auf Mensch!“ wird Samuel Koch diese Fragen thematisieren und von seinen eigenen Erfahrungen berichten.

Weiterlesen
  817 Aufrufe
  0 Kommentare
817 Aufrufe
0 Kommentare

1. IDA Tagung - Digitalisierung aus eigener Kraft - VERSCHOBEN

ida

UPDATE: Wegen Corona ist die Veranstaltung auf unbestimmte Zeit verschoben. Ein neuer Termin wird noch bekanntgegeben.

Am Freitag 20. März 2020 veranstaltet das Institut für Digitalisierung Aachen (IDA) von 8:30 bis 15:30 Uhr in der FH Aachen Gebäude D - Eupener Strasse 70 die erste Fachtagung zum Thema "Digitalisierung aus eigener Kraft". Mit von der Partie ist u.a. Thomas Käfer als Redner zum Thema IT-Security "Digitalisierung aber sicher (doch) - Keine Digitalisierung ohne IT-Security".

Hier geht es zur Anmeldung:

Hier können Sie den Flyer mit dem Programm herunterladen:

 

Weiterlesen
  799 Aufrufe
  0 Kommentare
799 Aufrufe
0 Kommentare

WDR Lokalzeit Aachen - 06.02.2020 zum Cyber-Angriff auf die Uni Maastricht

WDR0602020

Das WDR Fernsehen mit dem Team von Bettina Staubitz war heute wieder einmal gerngesehener Gast und hat mich zu meiner Meinung zu dem Cyber-Angriff auf die Uni Maastricht und die Lösegeldzahlung befragt.

Die Story:

Zur Weihnachtszeit 2019/2020 hat es die Universität Maastricht erwischt. Ein Mitarbeiter hatte offenbar Wochen vor dem eigentlichen Angriff eine Mail mit Schad-Software geöffnet und so konnte sich eine Hackergruppe anschließend tief in das IT-System der Hochschule einnisten. Als sie genügend Ressourcen für die Attacke offenbar unbemerkt übernommen hatten, schlugen sie in einer konzentrierten Aktion zu und legten nach Uni-Angaben mehrere Hundert Rechner durch Verschlüsselung der Daten und Systeme lahm.

Die Uni Maastricht hat nach eigenen Angaben 30 Bitcoins (umgerechnet ca. 197.000 €) als Lösegeld bezahlt und im Gegenzug den Schlüssel zum Entschlüsseln der Systeme bekommen. Glück gehabt, denn das war wahrscheinlich wirtschaftlich die beste Entscheidung.

Ein funktionierendes Backup und ein vorher ausgearbeiteter Incident Response Plan hätte die Folgen vermutlich besser mildern können. Und natürlich, die Systeme besser gegen Schad-Software abzusichern und die Mitarbeiter zu schulen. Nachher ist man schlauer…

Die Sendung wird am 06.02.2020 ab 19:30 in der WDR Lokalzeit Aachen ausgestrahlt.

Beitrag in der Mediathek (zeitlich begrenzt): https://www1.wdr.de/mediathek/video/sendungen/lokalzeit-aachen/video-lokalzeit-aus-aachen---540.html

Weiterlesen
  1124 Aufrufe
  0 Kommentare
1124 Aufrufe
0 Kommentare

BSI verabschiedet sich von der Empfehlung zum regelmäßigen Passwortwechsel

Fotolia-Password

Da stehen dem IT-Sicherheitsexperten die Haare zu Berge

BSI verabschiedet sich von der Empfehlung zum regelmäßigen Passwortwechsel

Das BSI erklärt laut WDR2, dass das ständige Ändern von Passwörtern die Sicherheit verschlechtert. Das ist nur die halbe Wahrheit. Man sollte schon mal zwischen 1234, 12345 und 123456 wechseln...

... und im Ernst: Passwörter nie zu ändern, wäre genauso schlecht.

Im aktuellen IT Grundschutzkompendium 2020 des BSI verabschiedet sich das BSI von der bisherigen Empfehlung, Passwörter regelmäßig zu ändern: IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.

Richtig ist: Das regelmäßige Ändern von Passwörtern in zu kurz bemessenen Zeitabständen (z.B. jedes Quartal) ist tatsächlich kontraproduktiv, denn User neigen dazu, die Passwörter nur geringfügig abzuändern, damit sie sich diese merken können und produzieren damit meist eine gewisse Systematik (Passwort2019, Passwort2020, Passwort 2021 etc.). Oder sie können sich das neue Passwort nicht merken und kleben es per Haftzettel an den Monitor. Am Ende nervt die Pflicht zum ständigen Wechsel und die Akzeptanz von IT-Sicherheit leidet.

Falsch ist: Passwörter muss man nun gar nicht mehr ändern oder kann sie jahrelang benutzen (wenn sie ausreichend lang und komplex sind) bzw. die Passwortlänge von mindestens 8 Zeichen wird nicht mehr explizit gefordert. Auf diese Schlussfolgerung kommen die Medien, wie u.a. der WDR2 in seinem Beitrag am 05.02.2020 im Hörfunk durch eine medientypische Verkürzung der Sachlage.

Wenn es den Verdacht gibt, dass Passwort könnte kompromittiert worden sein, dann muss es sofort geändert werden. Und auch eine Mindestlänge muss es nach wie vor haben. Für Passwörter bis zu 8 Zeichen existieren sogenannte Rainbow-Tabellen mit vorberechneten Hash-Werten. Damit kann man ein verschlüsselt (gehasht) abgelegtes Passwort im Klartext durch Nachschlagen in der Rainbow-Datenbank ermitteln, wenn man einen Hash-Wert (oder gar eine ganze gehashte Passwortliste) erbeutet hat. Und: Mit entsprechender Rechenleistung kann man Passwörter auch systematisch durchprobieren (Brute Force Attacke). Beides funktioniert aber nur mit Passwörtern bis etwa zur Länge von 8 Zeichen. Darüber wird der Rechenaufwand bzw. der benötigte Speicherplatz so groß, dass er i.d.R. nicht mehr handhabbar ist (wächst exponentiell mit Anzahl der möglichen Zeichen und Stellen). Daher bleibt die Empfehlung, Passwörter möglichst lang zu wählen (z.B. größer 10 Zeichen). Das geht ganz einfach mit einem persönlichen Merksatz, von dem man die ersten beiden Zeichen jedes Wortes in Gross-Kleinschreibung incl. Satzzeichen und Ziffernaustausch als Passwort nimmt. Beispiel: „Heute ist ein schöner Tag, um sich ins Freibad zu legen.“ ergibt das sehr sichere Passwort „Heis1scTa,umsiinFrzule.“ (bitte diesen Satz jetzt nicht verwenden…)

Benutzer sollten ihre Passwörter in angemessener Zeit (entsprechend dem persönlichen Schutzbedarf) dennoch ändern, da mit der Zeit die Gefahr steigt, dass ihr Passwort in einer (schlecht gesicherten) geleakten bzw. kompromittierten Passwortdatenbank aufgetaucht ist und damit Einzug in eine Wörterbuchattacke hält oder gezielt in Verbindung mit dem ebenfalls erbeuteten Benutzernamen zu einem konkreten Angriff benutzt wird (Erbeutetes Mail-Passwort des Benutzers wird z.B. in Amazon oder Ebay als Login versucht).

Und es gibt einen weiteren gewichtigen Grund, warum Betreiber von IT-Systemen an einem regelmäßigen Passwortwechsel festhalten sollten. Passwörter werden gerade bei Funktions-Accounts oft von mehreren Personen benutzt bzw. sind den Kollegen bekannt. Scheidet ein Mitarbeiter aus dem Unternehmen aus, so hat er oft mit den alten - nie gewechselten - Passwörtern auch anschließend noch lange Zeit Zugriff auf die Daten und Systeme. Oder man denke an Situationen, wo Passwörter für einen externen Zugang geleakt worden sind, weil ihn mehrere Menschen kennen. So funktionieren dann Zugriffe auf eigentliche geschützte Bereiche dauerhaft mit nicht geänderten Passwörtern. Sollte alles nicht so sein – ist aber in der Praxis oft so.

Die Realität ist also meist etwas komplexer, als in einem 3 min – Beitrag oder ein paar Sätzen erklärbar (und auch als dieser Beitrag beschrieben kann). Man sollte sich dadurch also nicht zu falschen, voreiligen Schlüssen verleiten lassen. Man kann ja „zur Not“ jemanden Fragen, der sich damit auskennt…

Fazit: Passwörter ausreichend lang und komplex wählen, geheim halten und bei Verdacht sofort und ansonsten in angemessenem Zeitraum (z.B. alle 1-2 Jahre) ändern. Bei Funktions-Accounts, die ggf. von mehreren Benutzern genutzt werden (wenn sich das nicht vermeiden lässt) sollte der Zeitraum kürzer sein bzw. der Wechsel muss initiiert werden, wenn ein Benutzer aus der Runde ausscheidet.

Quellen der Berichterstattung u.a.

Heise:

https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

WDR:

https://www1.wdr.de/nachrichten/rheinland/bsi-it-grundschutz-kompendium-100.html

BSI IT Grundschutz Kompendium 2020

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.html

Weiterlesen
  1293 Aufrufe
  0 Kommentare
1293 Aufrufe
0 Kommentare

By accepting you will be accessing a service provided by a third-party external to https://www.kaeferlive.de/