Auftragsarbeit Cyberattacke

Auftragsarbeit Cyberattacke

Quelle: https://www.computerwoche.de/a/cyberattacke-am-arbeitsplatz,3098962,2

Nach der Wahrnehmung des Security-Experten hätten Unternehmen wohl erkannt, dass Social Engineering eine große Bedrohung für sie ist. Deshalb beauftragen sie Unternehmen wie Secunet damit, fingierte Angriffe durchzuführen. „Tendenziell sind das große Unternehmen und Behörden, ab 5000 Mitarbeitern aufwärts“, so Reimers. Damit die Privatsphäre gewahrt bleibt, offenbart Secunet dem Auftraggeber keine Namen von Mitarbeitern, die ihnen Tür und Tor öffnen. „Über die Tests wird dann in der Mitarbeiterzeitung berichtet, um zu sensibilisieren.“ Manche Unternehmen beauftragen Reimers mit Awareness-Kampagnen, die dasselbe Ziel haben. In diesen Schulungen erleben die Mitarbeiter, wie dreist Social Engineers vorgehen.

  1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle.

Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen.

Ein Beispiel. Ein gutaussehende junge Dame mit schwerem Gepäck, die auf die Eingangspforte zuläuft und deren Mitarbeiterausweis halb verdeckt unter der luftigen Bluse steckt, hat große Chancen, dass ihr die Tür aufgehalten wird – ohne Kontrolle versteht sich. Auf dem Gelände verliert die Dame dann mit Trojanern präparierte USB-Sticks oder legt Zeitungen aus, denen CDs beigelegt sind. Auch die enthalten bösartige Codes.

Dass Schutz vor Social Engineering notwendig ist, belegt eine Studie des Hightech-Verbands Bitkom. Danach ist die Hälfte aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. „Social-Engineering-Angriffe sind meist so professionell, dass ein Angreifer sehr gute Chancen hat, erfolgreich zu sein. Daran ändert bislang auch nichts, dass die Mitarbeiter nach negativen Erfahrungen der Unternehmen immer mehr für das Thema sensibilisiert sind“, sagt Marc Fliehe, IT-Sicherheitsexperte bei Bitkom. Etwa 20 Prozent der Befragten registrierten Fälle von Social Engineering.

Die Anatomie eines Hacker-Angriffs

Optimiert für Suchmaschinen

  • Damit die Angreifer die Systeme finden konnten, gestalteten die Forscher sie außerdem so, dass Google sie finden konnte, aber auch die Suchmaschine Shodan, die mit dem Internet verbundene Geräte aufspürt.
  • Zwei Honigtöpfe als Köder
  • Die Sicherheitsexperten stellten zwei sogenannte Honeypots auf. Dabei handelt es sich um Computersysteme, die Angreifer anlocken sollen – so wie Honigtöpfe, die eine große Anziehung auf Bären ausüben. Die Testumgebung war einer Pumpstation samt Steuerung und technischer Dokumentation nachgebildet. Eine Pumpe gab es allerdings nicht.

  • Schutz ist möglich
  • Unternehmen können ihre Industrie-Anlagen durchaus schützen. Falls möglichen, sollten sie die Systeme vom Internet trennen, rät Wilhoit. Pflicht sei der Einsatz einer Firewall. Zudem sollten innerhalb der Industrie-Anlage strenge Sicherheitsmaßnahmen eingeführt werden.
  • .

Sensibilisierung gegen Social Engineering

Die Dunkelziffer ist sehr viel höher, denn „die meisten Angriffe werden nicht bemerkt“, sagt Dirk Fox. Er ist Geschäftsführer bei Secorvo in Karlsruhe. Auch dieses Unternehmen ist spezialisiert auf IT-Sicherheit. Es führt allerdings keine Social-Engineering-Tests durch. „Ich halte es für gefährlich, das Vertrauen der Mitarbeiter auszunutzen, Misstrauen gegenüber Mitarbeitern aufzubauen und ihnen dann noch den Spiegel vorzuhalten. Andererseits erwartet man freundliches Auftreten gegenüber Kunden.“ Das passt seiner Meinung nach nicht zusammen. Awareness-Kampagnen aber bietet Secorvo auch an.

Social-Engineering-Angriffe sind nach Kenntnissen von Fox sehr erfolgreich. „Ein gut gemachter Angriff führt zu 100 Prozent zum Ziel.“ Das würden Tests belegen, die im Auftrag von Unternehmen durchgeführt wurden. Oder die einzelnen Fälle, in denen Mitarbeiter von Secorvo Social Engineering festgestellt haben. Zum Beispiel, als ein scheinbarer Lieferant mit dessen E-Mail-Adresse an die Buchhaltung schrieb, die Kontonummer habe sich geändert. Rechnungen sollen bitte künftig auf folgendes Konto überwiesen werden. Die aktuelle Rechnung war der Mail angeheftet. (fm)

GData gegen Ransomware

BCSberlin.de vertreibt Antivirus Lösungen. auch gegen Erpresser und sog. Ransomware

Ransomware

ist wohl der Schädling mit den schlimmsten Auswirkungen.
Dies ist ein Computerschädling, der Ihr System infiziert, sperrt und dann Geld dafür verlangt, dieses wieder zu entsperren.die neueste Version von G-Data schützt vor Ransomware..

 Backdoor – der Bösewicht steigt über eine Hintertür ein.
Die hat ein Programmierer bewusst offen stehen lassen. Meist handelt es sich um sogenannte Exploits, also Lücken im Betriebssystem, die den Einbruch ermöglichen.
Auch Geheimdienste nutzen diese Methode.


G DATA bekommt Champion Award für den besten Schutz gegen Malware

Auszeichnung von Techconsult

Rund 2.000 Anwender haben G DATA die besten Noten bei einer Umfrage von Techconsult im Bereich Malware-Protection gegeben. Das Unternehmen wurde dafür als „Champion“ ausgezeichnet. …mehr

Von Andreas Th. Fischer (Autor)

IT Security

Twitter

 

IT Sicherheit

Ransomware ist wohl der Schädling mit den schlimmsten Auswirkungen. Dies ist ein Computerschädling, der Ihr Systeminfiziert, sperrt und dann Geld dafür verlangt, dieses wieder zu entsperren. G-Data 2018 schützt vor Ransomware.


Man In The Middle leitet Ihre Online Überweisung um.

 

 

Sie denken, Sie haben die Seite Ihrer Bank vor sich - in Wirklichkeit sehen Sie die Seite einer täuschend echten Kopie. Der Betrrüger erfährt so Kontonummer und Passwort und braucht nur noch auf die Eingabe der Tan warten.

 

Phishing, also das Abfischen von Passwörtern

dient meist dem Einschleusen von Trojanern. Diese horchen dann Ihre Tastatur ab oder stehlen Daten.

 

 

 

 

Backdoor - der Bösewicht steigt über eine Hintertür ein.

Die hat ein Programmierer bewusst offen stehen lassen. Meist handelt es sich um sogenannte Exploits, also Lücken im Betriebssystem, die den Einbruch ermöglichen.

Auch Geheimdienste nutzen diese Methode.

 

 


Sicherheit und Qualität sind im IT Betrieb von heute nicht mehr wegzudenken. Betroffen sind Unternehmen, insbesondere Kleinunternehmen und mittelständische Betriebe.

Ich höre immer: "Die IT ist sowieso viel zu teuer für uns". Aber wie teuer sind gestohlenen Firmengeheimnisse?
Wie teuer ist es für Sie, wenn alle Kontaktdaten weg sind oder Ihre Rechner für 3 Tage stehen, weil jemand eingedrungen ist?

Auch Privatanwender sind betroffen, schon wenn Sie Bilder Ihrer Enkel und Kinder auf dem Rechner haben, erst recht, wenn Sie Online Überweisungen tätigen.

 

CUT THE INTERNET
Also, wenn Sie nicht gerade die Verbindung komplett trennen wollen, müssen Sie sich beraten lassen. Übrigens, auch wenn keine Verbindung zum Internet besteht, können immer noch Viren über USB Sticks oder sogar CDs hereinkommen. Siehe Stuxnet.

 

Ich empfehle:

Installieren Sie eine guten Virenscanner aus deutscher Produktion.
Warum?
Weil die Server in Deutschland stehen und die Datenschutzgesetze in Deutschland mit die Besten sind.
Ich empfehle G-Data. Gute Erfahrungen habe ich damit gesammelt.

Jetzt sagen viele, G-Data ist doch so langsam. Meine Antwort darauf: " Wollen Sie Viren finden oder schnell fertig sein?"

Denken Sie über eine Sandbox nach für Online Dienste, Fremdentwickler, die berühmten Inder, die alles so billig produzieren können.

Tun sie was gegen "Man In The Middle Attacks" und gegen "DDOS Attacks".

100%ige Sicherheit gibt es nicht, aber og. ist schon einiges um das Risiko zu Verringern

(siehe auch http://www.bcsberlin.com/whitebird/BCSblog/2017/09/20/it-sandbox/)

....to be continued

 

Ullrich Barmeyer
Diplom Informatiker (TUB), Diplom Ingenieur(FH)
mehr als 20 Jahre Erfahrung in IT und Elektronik

IBM, Deutsche Bank, Finanz Informatik, KfW

www.bcsberlin.de

 

IT Sandbox

Eine faszinierende Methode IT Projekte zu entwickeln ist die Sandbox.

Dabei handelt es sich wie gesagt um einen Sandkasten. Die Metapher steht dafür, dass man erst einmal sein Projekt in einer von der Außenwelt abgeschirmten Umgebung entwickelt und ggf. auch laufen lässt.

Die Gründe dafür sind vielfältig:

  • Der Entwickler soll nicht auf das Firmennetzwerk zugreifen können
  • Abstürze reißen nicht gleich andere Anwendungen mit runter (BluScreen)
  • Die Anwendung soll höchstmöglichen Schutz vor Viren und ähnlichem bieten.

Die Firma Rhode und Schwarz stellt neuerdings diese Einrichtung auch Privatanwendern zur Verfügung.

Wie kamen wir dazu?

Bisher haben wir unser Online Banking immer mit dem Browser IRON durchgeführt. Der Hersteller verspricht eine besondere HÄRTUNG gegen Angriffe von außen.
Bis wir eines Tages von unserem zuverlässigen Virenscanner von G-Data folgende Meldung bekam: 

Das bedeutet, jemand „horcht“ die Tastatur ab, keine Ahnung woher dieser Virus kam. Da wir von einigen Kunden das Sandbox Prinzip kannten, machten wir uns auf die Suche und fand die BitBox.

Was ist die Sandbox (BitBox)  und wie funktioniert sie?

Nun dieses Programm stellt ein eigenes Betriebssystem in einer Virtuellen Maschine bereit – darin ist der Internet Browser fest verdrahtet.
Mit dem Programmstart, startet also z.B ein komplett eigenes Windows oder Linux und der Benutzer sieht nach einer Minute einen neuen Browser, der keinerlei Zugriff auf den restlichen PC hat.

Die virtuelle Maschine befindet sich auf der Festplatte und ist gegen Veränderung geschützt.

Sicherlich ist das keine 100%ige Sicherheit aber die Hürde ist schon sehr sehr hoch.Selbst wenn einmal ein Virus gefangen wird: bei jedem Neustart wird die unversehrte Kopie von der Festplatte geladen. Zugriff auf den Rechner hat der Browser nur bei Downloads, z.B. von Kontoauszügen.

Weitere Themen zur IT Sicherheit:

DOS Attacken, Man in The Middle, Phishing, 

Trojaner.

Man in The Middle  

  • Hans sitzt vor seinem PC und wählt seine Bank an.
  • Bösewicht hat die Seite der Bank täuschend echt kopiert
  • Bösewicht lenkt die Anfrage von Hans auf seine Seite um und hat damit Kontonummer und Passwort
  • Bösewicht braucht jetzt nur noch eine TAN um Geld zu klauen.
  • Die TAN bekommt er, indem er einen Abbruch produziert und die TAN abspeichert, sich dann davonmacht.

Disput/Berlin zur KI

Zum Thema Künstliche Intelligenz oder Artificial Intelligence (AI) gab es gestern ein mir neues Format in der ESMT am Schloßplatz 1 im Herzen von Berlin.

In den ehrwürdigen – oder besser denkwürdigen Hallen des ehemaligen Staatsratsgebäudes wurde ein organisiertes Streitgespräch mit Pro und Kontra Teilnehmern ausgefochten.
Das Ergebnis ist ein wenig ernüchternd.

Weil hier vollkommen unterschiedliche Ebenen aufeinanderprallten. Auf der einen Seite Leute, die die KI wie die elektrische Eisenbahn hoch 3 betrachten und nicht in der Lage sind über den Tellerrand hinaus die gesellschaftliche Relevanz dieser Technik zu beachten.

Auf der anderen Seite die Mahner und zu unrecht als Technologiefeinde verdächtigten Menschen aus Kirche Politik und auch der Informatik.

Ich bin selbst Informatiker und Ingenieur und von Technik begeistert.

Wenn wir aber feststellen, dass heute KI gesteuerte Bots sich daranmachen Wahlen zu beeinflussen sollte auch der begeisterte Technikfreund begreifen, dass dies kein Peanuts ist, sondern eine große Gefahr für unser Gemeinwesen.

  • Facebook sortiert mir alle Nachrichten und Meinungen, die in mein Weltbild passen
  • wenn ich in der falschen Straße wohne, bekomme ich keinen Kredit mehr
  • Kampfdrohnen entscheiden autonom über Tötungen

Ich kann und will es einfach nicht glauben. Aber es scheint wohl wahr zu sein.

Wenn mir Google personalisierte Werbung schicken will, so regt mich das nur wenig auf. Wenn aber durch Falschmeldungen und Lügen, Leute an die Macht kommen die nur die Schöne Neue Welt wollen(Aldous Huxley). Dann macht mir das Sorgen. Fahrenheit 451 / Soylent Green / I Robot lassen grüßen.

IT Künstliche Intelligenz

Neueste Beiträge

IT Künstliche Intelligenz

Bereits in den 90er Jahren des vergangenen Jahrtausends wurde ich in der IT mit KI konfrontiert. Die Euphorie war groß.

Viele Jahre und viele neuronale Netze später machte sich Ernüchterung breit. An Beatles Texten (Hard Days Night), die ins Deutsche  übertragen werden sollten scheiterten die meisten Programme.

“I was working like a log” daraus wurde “Ich arbeitete wie ein Holzklotz”.

Das wurde überwunden, nun gab es Schachcomputer, die sogar Weltmeister schlagen konnten. Dann stellte sich aber heraus, dass es meist mit “Brute Force”-Methoden bearbeitet wurde. Der Automat bekam über fünfzigtausend Schachpartien eingespeist und natürlich sämtliche seines nächsten Gegners. Der Gegner sah aber nur sehr wenige oder gar keine des potentiellen Computer-Kontrahenten.Gut - ein olympischer Gewichtheber kann gegen einen Gabelstapler auch nicht gewinnen. Aber das ist keine Intelligenz!

Immer mehr stellte sich heraus, das wirklich intelligente Systeme so etwas wie Weltwissen benötigen. Bei der unendlichen Mehrdeutigkeit von Sprache wird das schnell klar.

Menschliche Systeme brauchen so etwa 20 Jahre, um programmiert zu werden. Durch die Mutter, die Umwelt usw. Die Datenmenge ist immens. Da muss Big-Data erst einmal mitkommen.

Jetzt haben wir ja selbstlernende Systeme, die also Ihre Fähigkeiten selbstständig und autonom verbessern können. Fehleranfällig bleiben Sie weiterhin, denn fehlerfreie Software herzustellen ist schlechterdings unmöglich. Wie viele Updates auf Ihr Smartphone bekommen sie den jeden denn Tag so? Die Codes umfassen oft zehntausen Zeilen, ein Komma an der falschen Stelle z.B. in einem Java Programm kann fatale Auswirkungen haben. Ich weiß wovon ich spreche, da ich viele Jahre solche Fehler gesucht habe. Und Software-Test ist sehr teuer.

Dann gibt es das Internet der Dinge, also viele kleine Geräte, die billig sind und über eine bescheidene Intelligenz verfügen,  aber in der Masse vernetzt sind und für uns arbeiten sollen

Vielleicht arbeiten sie aber auch gegen uns, oder kontraproduktiv. Denn dadurch dass sie billig sein müssen, werden sie unzureichend getestet und Sicherheitslücken können gar nicht zeitnah gestopft werden und sie laufen Amok.

Niemand korrigiert sie, man muss sie einfach wegwerfen und neue kaufen.

Dies soll natürlich keine Technologiekritik sein, vielmehr jedoch auf die logistischen und technischen Probleme hinweisen.

Bei den “intelligenten Häusern” in Kalifornien geht dann nachts um 2 Uhr das Licht an und die Musik auf volle Lautstärke, weil ein Hacker in China mal wieder eine Lücke entdeckt hat.

Roboter führen automatische Portscans durch und finden diese Lücken für den Hacker. Auch in Wasserwerken sind solche Lücken schon gefunden worden.

Nun werden Sie einwenden, dass große Systeme in den sogenannten “Demilitarisierten Zonen” stehen - sprich zwischen mehreren dicken Firewalls. Die sind dann zwar nicht so leicht angreifbar, die Fehler aber, die die Programmierer einbauen sind trotzdem da.

Mal ganz abgesehen von der Eigendynamik, die selbstlernende Systeme entwickeln können. [I Robot]

Ab einer gewissen Komplexität ist ein Test und eine Qualitätskontrolle einfach unmöglich.

Die Evolution war niemals zielgerichtet sondern stochastisch und das braucht Zeit.

Ich will nicht, dass mein Kühlschrank andauernd Sauerkraut bestellt nur weil ich das einmal gern gegessen habe.

weiter mit Disput/Berlin

Modelle des Managements in der IT

Die Informatiker haben immer mit dem Wasserfallmodell in der Entwicklung angefangen. Dies ist ein relativ langsamer Prozess der Systementwicklung.
Der Wasserfall konkurriert jetzt mit sogenannten agilen Methoden wie XTREME PROGAMMING, SCRUM u.v.a.m.

Im Ergebnis heißt das

  • Es gibt wesentlich kürzere Entwicklungszyklen
    • Rapid Prototyping
  • Mehr Iterationen
    • Intensive Anwendereinbindung und Veränderungsfreundlichkeit der Software
  • Hohe Verfügbarkeit und Sicherheit

Dabei tritt ein großes Problem auf:
Das ist die Qualitätssicherung.

Nachdem ein Systemdesign fertiggestellt ist, muss es qualitätsgesichert werden. Nachdem die Programierung fertig ist, müssen Unit-Tests stattfinden.

Auch ein Testkonzept muss „Hand und Fuß haben“.
Last but not Least, bevor ein System auf die Anwender losgelassen wird, sollte die Betriebssicherheit gewährleistet sein und die Benutzerakzeptanz bestehen.

Die Überlegungen dabei als Beispiel:

Ein großes IT System verschlingt etwa 1 Mio Entwicklungskosten. Die Projektleiter sind stolz, so etwas auf die Beine zu stellen. Die Entwicklung dauert etwa 1 Jahr.

Große System laufen aber durchschnittlich 9 bis 15 Jahre. (Ich meine hier nicht Smartphone Apps, sondern eher Datawarehouses und Netze mit über 2000 Usern). Nur angenomen ein System läuft 9 Jahre im Betrieb. In der Regel muss es laufend angepasst werden, weil

  • Gesetzliche Bestimmungen sich ändern
  • Hard- und Software des Providers aus der Wartung laufen
  • Geschäftsprozesse umgestellt werden

um nur einige der Bedingungen zu nennen. An laufenden Systemen Änderungen vorzunehmen kostet aber sehr viel Resourcen und Geld. Es müssen Parallelsysteme aufgebaut werden (Sandboxes), denn der Anwender will und muss ja weiterarbeiten und das Direktorium nicht auf die Reports verzichten. Kurz die Unternehmenssteuerung verlangt eine hohe Verfügbarkeit.

Schnell kommen so pro Jahr weitere 500.00 € bis 1.000.000 € zusammen.

Wenn ich das nun mit den Entwicklungskosten vergleiche fallen also nur 10% für die Entwicklung ab und 90% für den Betrieb einer IT.

...weiterlesen…

Informationsmanagement

Quality Assurance (QA)
Als die IT richtig teuer wurde weil sie in alle Unternehmensbereiche eingedrungen ist mussten Managementprozesse her.

  • Zuerst natürlich ein Technikmanagement
    • Bebauungspläne
      • Rechenzentrumsaufbau, Netze, Backups
    • Technikresourcen
      • Wieviel Speicherplatz, welche Datenbanken, welche Verfügbarkeit
    • Netze
      • Intranet vs Internet, Demilitarisierte Zonen (DMZ)
  • System-Lebenszyklen
    • Strategische Planung, Projektportfolios
    • Controlling der Weiterentwicklungsprozesse und des RZ Betriebes
    • Erfolgskontrolle der Informationssysteme
  • Management der Informations- und Wissensversorgung
    • Geschäftsprozess-Modellierung
    • Service Definition und Implementierung
    • Trennung von Entwicklung und IT Produktion