- Anzeigen -


Sie sind hier: Home

Das Magazin für alle IT-Security-Themen

Schwerpunkt

EU-DSGVO umsetzen
EU-DSGVO umsetzen EU-Datenschutz-Grundverordnung aus Sicht der SAP-Anwender, Bild: DSAG

Compliance mit der EU-Datenschutz-Grundverordnung

Ab dem 25. Mai 2018 endet die Übergangsfrist und es kommt nur noch das neue Datenschutzrecht nach der Datenschutz-Grundverordnung zur Anwendung, ergänzt durch die Regelungen des BDSG-neu und einige spezialgesetzliche Regelungen.

Laut Einschätzung von Gartner werden mehr als die Hälfte aller Unternehmen weltweit die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) zum Stichtag 25. Mai 2018 nicht einhalten können. Oftmals haben Organisationen laut IDG noch nicht mal Maßnahmen ergriffen, um die DSGVO-Anforderungen erfüllen zu können. Vielfach hapert es schon am Vermögen, DSGVO-Anforderungen exakt definieren zu können und für das eigene Unternehmen umsetzbar zu machen.

Dass auch US-amerikanische Unternehmen zukünftig die Vorgaben der DSGVO erfüllen müssen, wenn sie Daten von EU-Bürgern sammeln oder verarbeiten, macht es für internationale Konzerne nicht leichter. Eine Studie von Trend Micro und Opinium zur EU-Datenschutzgrundverordnung zeigt zudem: Die Vorgabe "Stand der Technik" verwirrt IT-Entscheider sogar und wird unterschiedlich interpretiert.

Lesen Sie mehr
(Update 5)

- Anzeigen -





  • Compliance-Magazin.de: Aktuell
  • SaaS-Magazin.de: Aktuell

Meldungen aus der GRC- und Datenschutzwelt


Besuchen Sie unser Schwestermagazin "Compliance-Magazin.de".
Lesen Sie das Neueste aus der GRC- und Datenschutzwelt.
Weiter

Meldungen aus der Cloud- und SaaS-Welt


Besuchen Sie auch unser Schwestermagazin: "SaaS-Magazin.de"
Cloud Computing, Software-as-a-Service, Outsourcing, Managed Services.
Weiter

Advertorial


BAE Systems Applied Intelligence bietet einzigartigen Schutz für Ihr Unternehmen
BAE Systems hat die größten und meist angegriffenen Nationen und Unternehmen seit über 40 Jahren gegen komplexe Bedrohungen sowohl in der physischen als auch in der digitalen Welt verteidigt und bietet ein umfangreiches Portfolio von internen, gemanagten und cloud-basierten Produkten und Leistungen, die sich im Kampf gegen die gefährlichsten Angreifer bewährt haben.

Warnungen vor Schadsoftware

  • Vertraulichen Banking-Informationen

    Eset warnt vor der neu entdeckten Banking Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

Warnungen vor Schadsoftware

  • Lücke in den Zugangssystemen

    Forscher der finnischen Sicherheitsfirma F-Secure haben eine massive Lücke in den Zugangssystemen weltweit operierender Hotelketten entdeckt, das von Angreifern kompromittiert werden kann, um sich Zugang zu allen Räumen zu verschaffen. Die Schwachstelle wurde in der Software des Schließsystems Vision by VingCard gefunden, eine Lösung, die weltweit Millionen Zimmern in hochrangigen Hotels sichert. Hersteller Assa Abloy hat inzwischen Software-Updates mit Sicherheits-Bugfixes veröffentlicht, um das Problem zu beheben. Die Sicherheitsexperten nutzten bei ihrem Angriff gewöhnliche elektronische Schlüsselkarten des Hotels. Diese waren teilweise längst abgelaufen, ausgemustert oder dienten lediglich dem Zugang zu Garagen oder Abstellräumen. Anhand der Informationen auf dem Schlüssel konnten die Experten jedoch einen Hauptschlüssel mit Zugangsberechtigungen generieren, um so jeden Raum im Gebäude öffnen zu können. Der Angriff blieb völlig unbemerkt und lies auch keine Spuren zurück.

  • Risikobasiertes Management der Schwachstellen

    Spectre und Meltdown dominieren auf Grund ihres massiven Ausmaßes seit Wochen die Schlagzeilen. Doch die Prozessor-Schwachstellen sind nicht unbedingt die einzige Gefahr für Unternehmen. Secunia Research von Flexera veröffentlichte bereits mehr als 35 Vulnerability Advisories zu Spectre/Meltdown. Davon wurden die meisten als "mäßig kritisch" bewertet, mit Kritikalitätswerten von 1 bis 3 bei max. 5 Punkten. Die mögliche Schlussfolgerung: Trotz aller Sicherheitsrisiken durch Spectre und Meltdown, stellen weitere kritische, nicht gepatchte Schwachstellen im Umfeld eine weit gefährlichere und unmittelbare Bedrohung dar.

Sponsornewsletter: Lizenzierungstrend 2015

Sponsor
Sponsor

Software und Daten müssen gegen Piraterie geschützt werden. Ohne Spezialwissen geht das nicht

Wer die Bedürfnisse der Anwender flexibel befriedigen will, muss auch sein Lizenzmanagement entsprechend flexibel gestalten. Zunehmende Flexibilität bedeutet aber auch zunehmende Komplexität. Wer beispielsweise bis 2020 kein Lizenz- und Berechtigungsmanagement-System implementiert hat, um seine IoT-Lösungen zu monetarisieren, verzichtet laut Gartner auf 20 Prozent seines potenziellen Umsatzes.
Lesen Sie mehr

Unternehmemsprofil-Teaser

  • BAE Systems: Weitere Infos

    BAE Systems liefert einige der weltweit führenden technologie-geleiteten Lösungen für Verteidigung, Luftfahrt und Sicherheit. Wir beschäftigen etwa 83.000 hoch qualifizierte Mitarbeiter in über 40 Ländern. In Zusammenarbeit mit Kunden und Partnern vor Ort entwickeln wir Produkte und Systeme, die militärische Kapazitäten bieten, nationale Sicherheit und Menschen schützen und kritische Informationen und Infrastrukturen sichern.

  • Certus Software: Weitere Infos

    Certus Software GmbH bietet zertifizierte Datenlöschungsdienstleistungen und -software. 25 Mitarbeiter in Augsburg und Ia?i, Rumänien (F&E) betreuen 900 Kunden weltweit.

  • Expert System: Weitere Infos

    Expert System ist ein führender Anbieter multilingualer Technologien für Cognitive Computing zur effizienten Analyse von Textinhalten sowie unstrukturierten und strukturierten Daten. Die hohe Leistungsfähigkeit der Softwarelösungen basiert auf Cogito, einer patentierten, multilingualen, semantischen Technologie. Cogito nutzt die Verfahren der Künstlichen Intelligenz bei der Simulation von menschlichen Fähigkeiten im Textverstehen (Semantik) kombiniert mit Verfahren des Maschinellen Lernens (Deep Learning). Das Unternehmen mit Hauptsitz in Modena, Italien, hat zahlreiche Niederlassungen in Europa sowie in den USA und Kanada. Expert System unterstützt Kunden weltweit u. a. in folgenden Branchen: Banken und Versicherungen, Life-Sciences- und Pharmaindustrie, Energie- und Medienwirtschaft sowie staatliche Organisationen.

  • macmon secure: Weitere Infos

  • Neo4j: Weitere Infos

    Die Neo4j Graph-Plattform unterstützt Unternehmen weltweit, vernetzte Daten in vollem Umfang zu nutzen und intelligente Anwendungen zu entwickeln - von KI über Betrugserkennung und Echtzeit-Empfehlungen bis zu Stammdatenmanagement.

  • Oodrive: Weitere Infos

    Oodrive ist einer der europäischen Marktführer für sichere Online-Datenverwaltung für Unternehmen. Der SaaS-Pionier betreut über 14.500 Firmen in über 90 Ländern, die mit Lösungen des Unternehmens weltweit sicher und online kollaborieren. Kleine und mittelständische Betriebe vertrauen Oodrive dabei ebenso wie Großkunden.


Viren, Malware, Trojaner

  • Bots sind auf dem Vormarsch

    Laut dem "State of the Internet"-Sicherheitsbericht zu Webangriffen 2018 von Akamai Technologies sehen sich IT-Sicherheitsverantwortliche ständig neuen Bedrohungen ausgesetzt: Vor allem Bot-basierter Missbrauch von Anmeldedaten im Gastgewerbe sowie hochentwickelte DDoS-Angriffe (Distributed Denial of Service) nehmen stark zu. Die Analyse aktueller Trends in der Cybersicherheit von November 2017 bis April 2018 zeigt, dass Sicherheitsteams, Entwickler, Netzwerkbetreiber und Serviceanbieter flexibel reagieren müssen, wenn sie neue Bedrohungen abwehren wollen.

  • Hacker lieben Kryptowährungen

    Der jüngst veröffentlichte Internet Security Report des IT-Sicherheitsspezialisten WatchGuard für das erste Quartal 2018 lässt kaum Zweifel daran, dass sich Hacker immer öfter Schwachstellen im Rahmen von Kryptowährungen zunutze machen. 98,8 Prozent aller einschlägigen Malwarevarianten wurden im Zusammenhang mit einem oft verwendeten linuxbasierten Kryptowährungs-Miner entdeckt. Darüber hinaus fällt auf, dass die Verbreitung von Malware zunehmend auf einzelne Regionen fokussiert ist. Angreifer rücken also vom Gießkannenprinzip ab und kanalisieren die Bedrohung immer gezielter. Diese Erkenntnisse basieren auf den Auswertungen der Log-Daten von knapp 40.000 WatchGuard Firebox-Appliances weltweit. Diese sind vor allem auf Seiten von kleinen und mittleren Unternehmen sowie dezentral agierenden Organisationen im Einsatz und schützen die zugrundeliegenden IT-Infrastrukturen vor mannigfaltigen Bedrohungen.

  • Kontinuierliche Angriffe aufs SWIFT-Banksystem

    Der neue "McAfee Labs Threats Report" für Juni 2018 untersucht den Anstieg und die Trends bei neuer Malware, Ransomware und anderen Bedrohungen im ersten Quartal 2018. Er verzeichnet im Durchschnitt fünf neue Malware-Samples pro Sekunde, insbesondere zunehmend in den Bereichen Krypto-Jacking und Krypto-Mining. Dabei kapern sie die Browser der Opfer oder infizieren deren Systeme, um darüber heimlich legitime Kryptowährungen wie Bitcoin zu schürfen. Diese Kategorie der Coin-Mining-Malware wuchs im ersten Quartal 2018 um 629 Prozent von rund 400.000 bekannten Samples im vierten Quartal 2017 auf über 2,9 Millionen.


Governance, Risk, Compliance, Interne Revision

Corporate Compliance Zeitschrift


Die "Corporate Compliance Zeitschrift" zeigt Haftungsfallen und bietet praxisgerechte Lösungen zur regelkonformen Führung eines Unternehmens – für kleine und mittlere Betriebe ebenso wie für Konzernunternehmen.
Die Hefte der CCZ richten sich an alle, die mit Corporate Compliance in Unternehmen befasst sind (Corporate Compliance-Beauftragte, Anti-Korruptions-Beauftragte etc.) sowie Rechtsanwälte und Juristen, die in diesem Bereich beratend tätig sind. Angesichts der Vielzahl zu beachtender Vorschriften sind Manager und Unternehmer heute einem erhöhten Haftungsrisiko ausgesetzt. Führungskräfte internationaler Firmen laufen zudem Gefahr, gegen ausländisches Recht zu verstoßen.
Lesen Sie weiter

Schwerpunkt

IT-Sicherheit im Kontext von Compliance

IT-Sicherheit ist integraler Bestandteil einer umfassenden nicht nur die IT abdeckenden Compliance-Strategie im Unternehmen. Ohne IT-Compliance sind die Compliance-Ziele eines jeden Unternehmens stark gefährdet. An der Umsetzung von Compliance im Unternehmen sind viele Abteilungen beteiligt. Dazu zählen nicht nur die Interne Revision, Rechtsabteilung, das Risiko-Management oder Anti-Fraud-Management, sondern auch die Konzernsicherheit.

Vor allem die IT-Sicherheit ist integraler Bestandteil einer umfassenden nicht nur die IT abdeckenden Compliance-Strategie im Unternehmen.
Lesen Sie mehr

Management-Briefing

Rechtskonforme Videoüberwachung
Videoüberwachung ist ein sehr sensibles Thema. Einerseits gefürchtet von den Arbeitnehmern, wenn die optische Observierung an ihrem Arbeitsplatz stattfindet, andererseits unentbehrlich für Unternehmen, Institutionen und behördliche Einrichtungen, wenn es um Sicherheits-, Überwachungs- und Kontrollbelange geht. Mit Videotechnik werden heute sowohl Arbeitsstätten und der öffentliche Bereich überwacht als auch Produktionsanlagen, Materiallager, Hochsicherheitsbereiche etc.
Lesen Sie mehr:


Malware: Hintergrundthemen

  • Phishing ist Big Business

    Sophos hat den Aufstieg von Phishing-Angriffen im letzten Jahr untersucht. Das Ergebnis: Ausgefuchste Taktiken in Tateinheit mit penetrantem Auftreten machen die neue Qualität von Phishing-Emails aus. Die Angreifer haben die Vorteile von Malware-as-a-Service (MaaS) entdeckt - ein Cousin von Ransomware-as-a-Service (RaaS), beide wohnhaft im Dark Web - um die Effizienz und das Volumen von Attacken zu steigern. Lieblings-Ziel: die Mitarbeiter. In der Simulations- und Trainings-Umgebung "Sophos Phish Threat" werden Nutzer darin geschult, wie sie Phishing-Emails erkennen können. Die gesammelten Erkenntnisse liegen nun in einem White Paper vor. Daraus geht hervor, dass die beste Verteidigung gegen Phishing-Attacken eine duale Strategie ist.

  • Android-Wurm ADB.Miner nutzt Schwachstelle aus

    Tausende von Smartphones weltweit sind von einem Android-Wurm betroffen. Schuld daran ist eine Sicherheitslücke durch eine vergessene Debug-Schnittstelle. G Data klärt über die Gefahr auf und zeigt, wie Benutzer überprüfen können, ob ihr Mobilgerät ebenfalls davon betroffen ist und falls ja, wie die Sicherheitslücke geschlossen werden kann. Ein unbekannter Dritter greift via Internet auf das eigene Smartphone zu - und das mit vollen Root-Rechten als Administrator. Was sich wie ein komplizierter und denkbar unmöglicher Fall liest, wird durch eine Android-Sicherheitslücke zum einfachen Spiel für Cyberangreifer. Dieser kann sich dank des geöffneten TCP-Port 5555 per Androids Debug Bridge-Schnittstelle (kurz: ADB) auf das Gerät einklinken. Über ADB lassen sich eine Vielzahl von Geräte-Aktionen durchführen - angefangen vom simplen Auslesen der Geräteinformationen, über den Diebstahl sensibler Daten, bis hin zu sicherheitskritischen Installationen von schädlichen Programmen.

  • Käufer können eigene Bot-Shops aufsetzen

    Netscout Arbor, Sicherheitsspezialist für DDoS-Abwehr-Lösungen, warnt vor dem Malware-Downloader Kardon Loader. Dieser ermöglicht den Download und die Installation anderer Malware wie etwa Banktrojaner, Ransomware oder Trojaner zum Daten- und Identitätsdiebstahl. Downloader sind ein wesentlicher Teil des Malware-Ökosystems. Sie werden oft von spezialisierten Hackern entwickelt und unabhängig vom jeweiligen Trojaner vertrieben. Kardon Loader wird seit Ende April vom Nutzer "Yattaze" ab 50 US-Dollar in Untergrund- und Hacker-Foren als kostenpflichtiges Open-Beta-Produkt beworben. Kardon Loader soll zudem Bot-Store-Funktionalitäten bieten. So können Käufer eigene Bot-Shops aufsetzen. Es ist davon auszugehen, dass die Malware ein Rebranding des ZeroCool-Botnets ist, das vom gleichen Akteur entwickelt wurde.

  • Vermeintlicher VPN-Dienst namens "s5mark"

    Bitdefender hat einen für Werbebetrug entwickelte Malware entdeckt, die seit 2012 aktiv ist. Die Malware, von Bitdefender "Zacinlo" getauft, ist eine Rootkit-basierte Adware, die auf einem konfigurierbaren und hoch modularem Design aufbaut, das seine Funktionalität über Skripte und Konfigurationsdateien jederzeit erweitern kann. Ein mit Zacinlo infizierter PC öffnet entweder unsichtbare Browserinstanzen, um Werbebanner darin zu laden und Klicks auf diese zu simulieren, oder es tauscht die im Browser geladenen Anzeigen mit den Anzeigen des Angreifers aus, so dass die Betrüger im Hintergrund Werbeeinnahmen sammeln.

  • Android Remote Administration Tools (RATs)

    Eset warnt vor der mobilen Malware "HeroRat". Sie nutzt das Protokoll des beliebten Messengers Telegram, um Kontrolle über Android-Smartphones zu erlangen und sie fernzusteuern. Der gefährliche Schädling ist Teil einer ganzen Familie von Android RATs (Remote Administration Tools), die Eset-Sicherheitsforscher bereits im August 2017 entdeckt hatten. Im März dieses Jahres wurde der Quellcode kostenlos in verschiedenen Telegram-Hacking-Kanälen verfügbar gemacht. Daraus entwickelten sich dann parallel Hunderte Varianten der Malware, die sich nun in freier Wildbahn im Umlauf befinden.

  • Malware über Spear-Phishing-Dokumente

    Die Experten von Kaspersky Lab haben herausgefunden, dass die hinter dem Bedrohungsakteur 'Olympic Destroyer' stehende Hacker-Gruppe noch aktiv ist. Olympic Destroyer wurde im Zusammenhang einer Attacke auf die Eröffnungsfeier der Olympischen Winterspiele in Pyeongchang bekannt. Scheinbar visieren die Angreifer nun Organisationen in Deutschland, Frankreich, der Schweiz, den Niederlanden, der Ukraine und Russland an, die mit dem Schutz vor chemischen und biologischen Bedrohungen zu tun haben.

  • Versteckte Schadsoftware in Apps bei Google Play

    Symantec hat 38 schädliche Apps im Google Play Store gefunden, die als Spiele- oder Wissens-Apps getarnt sind. Da ihr Icon nach der Installation nicht auf dem Startbildschirm (Home Screen) sichtbar ist, scheinen sie nicht vorhanden zu sein. Gleichzeitig werden ihre Nutzer dazu aufgefordert, eine andere App von Google Play zu installieren, die Werbung anzeigt. Die Apps wurden im Dezember 2017 im Play Store veröffentlicht, wurden aber alle entfernt, nachdem Symantec Google informiert hatte. Die Mehrheit der Benutzer dieser Apps kam aus den USA, Großbritannien, Südafrika, Indien, Japan, Ägypten, den Niederlanden und Schweden. Die Apps wurden insgesamt auf mindestens 10.000 Geräten installiert.

Literatur

Fachbücher

  • IT-Security und Datenbanksicherheit

    Mit "SQL-Hacking: SQL-Injection auf relationale Datenbanken im Detail lernen, verstehen und abwehren" erscheint aus dem Franzis Verlag das praktische Lehr-, Anleitungs- und Anwendungsbuch, um cyberkriminelle Angriffe durch Hacker auf stationäre und mobile Webanwendungen und Datenbanken zu erkennen, zu beseitigen und ihnen vorzubeugen. Thematisch aktuell für alle SQL-Datenbanken mit zusätzlichem Spezialwissen zu Oracle, MS SQL Server, MySQL und PostgreSQL.

  • Sich vor Cyber-Angriffen schützen

    Mit dem Verwischen der Grenzen von realer und virtueller Welt wird das Internet zum Tummelplatz für Cyberkriminelle: Mit gezielt schädigenden Aktionen fügen sie Laien, Unternehmen oder ganzen Regierungen eines Landes großen Schaden zu. Der international anerkannte Security-Experte Eddy Willems hat sich das Ziel gesetzt, das Management von Unternehmen, Politiker und Regierungsvertreter sowie Endverbraucher dahingehend aufzuklären - und zwar über die IT-Fachwelt hinaus. Mit dem notwendigen Wissen ausgestattet ist der Leser des Springer-Sachbuchs Cybergefahr in der Lage, Gefahren in der digitalen Welt zu erkennen und sich vor Cyber-Angriffen zu schützen. Die Lektüre setzt dabei keinerlei Vorkenntnisse voraus - ganz gleich ob Lösungen für PC, Smartphone oder ganze Firmennetzwerke gesucht werden.

- Anzeigen -





© Copyright IT SecCity.de;
PMK Presse, Messe & Kongresse Verlags GmbH,
2002 - 2017

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -