Wien (pts008/20.10.2015/08:30) – Wann haben Sie Ihren letzten Geschäftsbrief geschrieben? Und wann haben Sie das letzte Mal Stift und Papier dazu benutzt? Es macht nichts, wenn Sie sich nicht daran erinnern können: Digitale Kommunikation ist Teil unseres Alltagslebens, nicht nur in der Geschäftswelt. Wir haben uns so sehr daran gewöhnt, ständig online zu kommunizieren, dass offline sein sich schon fast unnatürlich anfühlt. Das heißt natürlich auch, dass wir ständig irgendwelchen Netzwerken ausgeliefert sind, vor allem dem Internet. Unsere Tür steht Tag und Nacht offen. Wir können sie nicht mehr schließen und laden somit offen auch ungebetene Gäste ein, die dieselben Netzwerke nutzen wie wir. Es ist Zeit, ernsthaft darüber nachzudenken. Was für Bedrohungen gibt es da draußen? Und wie können wir uns vor ihnen schützen?
Cyber-Kriminalität und Datenschutz
Alles ist “Cyber” heutzutage. Kriminalität genauso wie Sicherheitsbestrebungen. Das Militär verwendet das chice Wort, um ihre Strategien und Taktiken zu beschreiben. Die Politik hat das Wort entdeckt, genauso wie Journalisten und PR-Strategen. Doch der Gebrauch dieses Worts birgt Risiken, es verbirgt, wie die digitale Welt wirklich funktioniert im Nebel einer leicht mystischen Aura. Aber wenn es um die Verteidigung Ihrer Daten geht, ist Nebel das Letzte, was Sie brauchen. Sie brauchen Wissen und harte Fakten, klare Sicht. Ablenkung und Missverständnisse sind Ihre Feinde, genauso wie bedeutungslose Trendwörter.
Hive Mind Technology
Informationssicherheit ist ein weites Feld. Vor Jahrzehnten ging es nur um Systeme mit lokal gespeicherten Daten und ein junges Internet, das seine zarten Fühler ausstreckte. Natürlich gab es auch schon damals Stör- und Zwischenfälle, aber die Auswirkungen waren nicht auf der ganzen Welt zu spüren. Heute ist das anders. Wachstum hat seine Nebenwirkungen. Lang ist es her, dass Sicherheitsprobleme allein von IT- Technikern behoben werden konnten. Heute braucht man ein Team aus (internationalen) Rechtsexperten, Entwicklern, Technikern, Sicherheitsforschern, Mathematikern (wenn es um Algorithmen geht), Psychologen, Geschäftsführern, Produzenten und Regierungsbeamten. Und das ist nur die Spitze des Eisbergs.
Als Sicherheitsexperten im Juli 2015 Konstruktionsfehler in Chrysler-Jeeps offenlegten, musste der Automobilhersteller eine Rückholaktion starten, die 1,4 Millionen Autos betraf. Die Auswirkungen sind riesig. Hat ein solcher Jeep noch das Recht auf Zulassung? Wie bekommt man 1,4 Millionen Autobesitzer dazu, sich rechtzeitig um dieses Problem zu kümmern und den Konstruktionsfehler beheben zu lassen? Wer entscheidet über eine Strafe und wer bezahlt sie? Können Versicherungen höhere Preise veranschlagen für Autos, die mit einem Netzwerk verbunden sind? Große Probleme werfen große Fragen auf.
Auch wenn Sie vielleicht kein Auto haben, haben sie wahrscheinlich Haushaltsgeräte. Noch schlimmer, denn das “Internet der Dinge” dräut am Horizont. Eigentlich ist es schon da. Alles vom Toaster über die Kaffeemaschine, verbreitetem Wasserkocher, Personenwaage im Badezimmer, Glühbirne, Waschmaschine, Fernseher, Kamera, Heizstrahler, Schalter, Stecker, Mikrowelle bis zu Schuhen, Zahnbürsten, Uhren, Drohnen (eh klar) und dem Würstelgrill (komplett mit eigener Forschungabteilung), Bett, Golfschläger und vielem vielem mehr – alles ist bereits vernetzt. Sekündlich kommen neue Geräte hinzu. Werden manche dieser Geräte Fehler in sich tragen, die Ihre Sicherheit gefährden? Mit Sicherheit.
Zurück zum Geschäft
Was bedeutet das nun alles für Sie als Unternehmer? Wie sichern Sie die Daten Ihrer Organisation und Ihrer Kunden? Leider gibt es keine Lösung, die alle Gefahren, die auf sie lauern, auf einmal beseitigt. Wir haben es hier nicht mit einer Erkältung zu tun, wo Ruhe und warmer Tee reichen, um die Krankheit zu kurieren. Unternehmen benutzen eine Unmenge an verschiedenen Geräten und Software, die wiederum alle mit unterschiedlichster Software untereinander verbunden sind. Nicht einmal Sicherheitsforscher können mit der rasanten Entwicklung Schritt halten. Smartphones sind dafür das beste Beispiel. Neue Modelle, neue Apps und Operationssysteme tauchen schneller am Markt auf, als sie auf Konstruktionsfehler und Sicherheitslücken getestet werden können. Das wiederum heißt natürlich, dass es Ihnen schwer fallen wird Ihr Smartphone zu regulieren.
Und es kommt noch schlimmer. Tausende europäische Unternehmen vertrauen mittlerweile auf undurchsichtige cloud services. “cloud” ist genau so ein nebulöser Begriff wie “cyber”.
Wussten Sie beispielsweise, dass ein Großteil der cloud-Anbieter in der USA beheimatet sind und sich ihre Dienste somit nicht an das europäische Datenschutzrecht halten müssen? Die EU-Kommission hat versucht, dieses Problem zu lösen, indem sie mit den USA ein “Safe Harbour”-Abkommen getroffen hat, bei dem amerikanische Unternehmen sich freiwillig bereit erklären den europäischen Datenschutzprinzipien zu folgen. Der NSA-Skandal hat das Vertrauen in dieses Abkommen erschüttert und der Europäische Gerichtshof hat die Vereinbarung diesen Oktober widerrufen.
All dies verdeutlicht, dass Sie eine Menge darüber wissen müssen, was sich hinter der Bühne abspielt. Sie können sich nicht auf Gerüchte oder nette Anekdoten verlassen. Sie brauchen Fakten, um zu entscheiden, welche Technologie sie nutzen wollen, welche sie vermeiden sollten und wo Verbesserungsbedarf besteht. Vor allem müssen Sie sich und Ihre Entscheidungen konstant hinterfragen. Die Geschäftswelt muss dringend lernen, Fehler zuzugeben und die Umstände zu analysieren, die zu Störfällen geführt haben. Und sie muss lernen, Experten aus den verschiedendsten Forschungs- und Entwicklungsfeldern in ihre Entscheidungen miteinzubeziehen. Geben wir es zu, nicht einmal Wonder Woman oder Superman könnten die digitale Welt auf eigene Faust retten. Machen Sie nicht den Fehler zu glauben, Sie könnten es, denn der Weg zum Datenleck ist mit Selbstüberschätzung gepflastert.
Wachen Sie auf!
Die jährliche DeepSec In-Depth Security-Konferenz versucht, jeden Aspekt der Informationssicherheit in ihr Programm zu integrieren. Sie versammelt Experten aus Wissenschaft, Regierung und Wirtschaft, Anwender und Entwickler genauso wie Mitglieder der Hacking Community. Informationssicherheit ist eine Herausforderung, der man nur gemeinsam entgegentreten kann. Und auf der DeepSec geht es nicht nur um Theorie. In einem 50-minütigen Talk kann man viele Themen vielleicht nicht im Detail behandeln oder das Publikum bitten, vorgestellte Lösungen gleich selbst auszuprobieren – dafür gibt es die Workshops! Die DeepSec bietet praktische Workshops an, in denen jeder Teilnehmer selbst Hand anlegen kann und im Programm findet sich alles, was Sie wirklich brauchen: Lösungen, die wirklich funktionieren, nicht nur im Labor, sondern in Ihrem realen Umfeld und die Sie auch gleich ausprobieren können; praktische Erfahrung mit Angriffs-und Verteidigungswerkzeug, um für den nächsten Angriff gewappnet zu sein.
Die Workshops dauern zwei Tage; das bedeutet genug Zeit, um sich wirklich gründlich mit einem Thema auseinanderzusetzen und Wissen zu gewinnen. Thematisch richten sie sich an jeden, der sich gegen moderne Angriffe verteidigen will. Hier ein kurzer Überblick über die Workshops:
Cryptographic Attacks Lernen Sie alles über Attacken auf Kryptographie, die in ihren Software-Applikationen verwendet wird. Vieles hat sich in den letzten zwei Jahren verändert, und auch, wenn Sie sich mathematisch nicht weiterbilden müssen, wollen Sie Ihre Kunden sicher nicht gefährden, indem Sie veraltete Verschlüsselung verwenden.
Hacking Web Applications Nahezu jedes Unternehmen präsentiert sich heute im World Wide Web. Ihre Website ist sozusagen Ihre Vordertüre. Und diese sollte so sicher wie möglich sein, vor allem, weil sie jeder sieht. Leider denken Entwickler oft nicht außerhalb gängiger Konventionen und verlassen sich auf Annahmen, auf die man sich nicht verlassen kann: Vertrauen Sie nicht auf ihren Browser und lernen Sie, auf was sie sich bei diversen Internet Clients gefasst machen müssen. Denn Kriminelle kommen nicht immer durch die Hintertüre.
Exploiting Devices being used in the Internet of Things Eine bestimmte Art von Hardware-Prozessoren wird viel für Kontroll- und Messzwecke benutzt. Dieses Training erklärt, wie ein Prozessor funktioniert und was ein Angreifer versuchen wird, um zu erreichen, dass der Prozessor seinen Code statt Ihrem verwendet.
Testing the Security of the Next-Generation Internet Protocols (IPv6) Auch wenn Sie vielleicht keine Ahnung haben, wie die nächste Generation des Internet aussieht, benutzen Sie es schon. Jedes moderne Betriebssystem unterstützt die neuen Protokolle und sie sind standardmäßig aktiviert. Aber dass etwas funktioniert, ohne dass man etwas davon bemerkt, heißt noch lange nicht, dass man sich nicht damit beschäftigen soll. Vergessen Sie nicht, Sie müssen wissen was vor sich geht, sowohl in ihrem Betrieb wie in Ihrem Betriebssystem. Dieses Training wird ihnen zeigen, auf was Sie achten müssen, wenn Sie eine Internetverbindung herstellen.
Windows PowerShell for Penetration Testers Seine eigene Abwehr zu testen, ist immer eine gute Idee. Tun Sie es, bevor es Ihre Gegner für Sie tun. Die Methode dafür heißt “Penetration Testing”. Dieser Workshop befasst sich mit der Microsoft Windows-Plattform und ihren Werkzeugen und wie Sie diese zu Ihrem Vorteil einsetzen können.
Social Engineering and Security Awareness Das gefährlichste Gerät in Ihrem Betrieb ist das Telefon. Ein einfacher Anruf genügt oft, um die ausgeklügeltste Verteidigung Schachmatt zu setzen. Der menschliche Faktor ist nicht zu unterschätzen. Lässt nur ein Mitarbeiter sich dazu überreden, die Zugbrücke runterzulassen, nimmt das Unglück seinen Lauf. Um sich zu schützen, sollten Sie lernen, wie menschliche Interaktion funktioniert und wie Angreifer versuchen, Sie und ihre Mitarbeiter zu manipulieren. Ein ausgebildeter Psychologe wird Ihnen zeigen, wogegen Sie sich wappnen müssen und wie Sie sich am besten verteidigen.
Developing and Using Threat Intelligence Wissen Sie, wer Ihre Gegner sind und was Sie wollen? Wenn nicht, ist es Zeit, das herauszufinden. Die Technik hierfür heißt “Threat Intelligence”. In diesem Workshop lernen Sie, wie Sie Gefahren richtig einschätzen können, basierend auf den Daten die Sie selbst zur Verfügung haben.
Secure Web Development Entwickler haben einen schlechten Ruf, wenn es um Informationssicherheit geht. Dafür gibt es viele Gründe, aber Ignoranz fällt sicher nicht darunter. Sie müssen sich an bestimmte Arten der Kodierung anpassen und die richtigen Werkzeuge verwenden, um Ihren Code zu testen. Sobald Sie das getan haben, wird Ihre Software viel besser funktionieren. Dieses Training ist für jeden, der es mit Code zu tun hat, von großem Vorteil.
Practical Incident Handling Früher oder später passiert etwas. Was machen Sie dann? Haben Sie sich jemals vorgestellt, wie ein Tag in ihrer Firma aussieht, wenn der Hauptserver kompromittiert ist? Jede Organisation unterwirft sich den Brandschutzbestimmungen. Sie müssen vielleicht sogar einmal im Jahr eine Brandschutzübung absolvieren. Sie sollten auch einen digitale Brandschutzübung machen. Simulieren Sie einen Störfall und spielen Sie durch, was getan werden muss, um ihn gut zu überstehen. Solche Übungen sind sehr wichtig und Gold wert, wenn wirklich ein Schaden entsteht und sie die Behörden informieren müssen. Denn diese werden vielleicht schnelle Antworten und klare Informationen von Ihnen brauchen, bevor Sie ihnen helfen können.
Die Themen der Workshops sind vielfältig. Sie geben Ihnen eine Vorstellung davon, wo sie ansetzen müssen, wenn es um die Verteidigung Ihrer eigenen Sicherheit geht. Egal, ob Sie sich tiefergehend mit eingesetzter Technologie befassen oder sich einen strategischen Überblick verschaffen wollen. Als Unternehmer müssen Sie wissen, wie die IT in ihrer Organisation arbeitet, was ihre Schwachstellen und Stärken sind. Die Übungen in unserem Workshops werden sie vor unangenehmen Überraschungen am stressigsten Tag im Büro retten.
Melden Sie sich daher noch heute zu unseren Workshops an. Sie finden am 17./18. November statt, gefolgt von der DeepSec-Konferenz am 19./20. November. Veranstaltungsort ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien. Konferenzwebseite: https://deepsec.net/ Registrierung: https://deepsec.net/register.html Blog: http://blog.deepsec.net/
(Ende)
Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43-676-5626390 E-Mail: deepsec@deepsec.net Website: www.deepsec.net