Dipl.-Phys. Oliver Schonschek

Security by Design versteht sich als Integration von Sicherheitsaspekten in alle Phasen der IT – von der Anforderungsanalyse, über die Durchführung von Tests bis hin zur Inbetriebnahme. Fehler und Schwachstellen sollen von vorneherein reduziert und eine nachhaltige Sicherheit mit Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität erreicht werden. Wie sieht dies konkret in der Praxis aus? Das Interview von Insider Research mit Alexander Bluhm und Steffen Ullrich von genua liefert Antworten.

Ein Blick auf die Datenschutz­verletzungen in 2023 zeigt in Deutschland noch deutlichen Handlungsbedarf, auch wenn Datenpannen in anderen EU-Ländern weitaus mehr Schlagzeilen machten. Wir geben einen Überblick über akute Datenschutz-Probleme, die deutsche Aufsichtsbehörden beanstandet haben. Die Höhe der Bußgelder ist dabei nur ein Indiz für die weiterhin bestehenden Herausforderungen im Datenschutz und bei der Umsetzung der DSGVO (Datenschutz-Grundverordnung).

Sicherheit ist eine zentrale Grundlage der Digitalisierung. Kommt die Sicherheit nicht schnell genug voran, kann es auch keinen nachhaltigen Digitalisierungsschub geben. Sicherheit muss deshalb einfacher, aber auch verlässlicher sein, damit man ihr wirklich vertraut. Wie kann man dies in der Praxis erreichen? Das Interview von Insider Research mit Arved Graf von Stackelberg von DriveLock liefert Antworten.

Ein Blick zurück: 75 Prozent der im Auftrag von Barracuda Networks befragten Unternehmen erlebten innerhalb von zwölf Monaten mindestens einen erfolgreichen E-Mail-Angriff. Die Wiederherstellung kostete im Schnitt mehr als eine Million US-Dollar. Worauf muss sich die Cybersicherheit für 2024 einrichten? Was wird sich ändern? Das Interview von Insider Research mit Stefan Schachinger von Barracuda Networks liefert Antworten.

Das Datenschutzkonzept für 2024 sollte nicht nur die Prognosen für die Cyberbedrohungen im Blick haben und berücksichtigen. Auch die Planungen und Prioritäten der Datenschutzaufsichtsbehörden können Unternehmen dabei helfen, den Datenschutz für das neue Jahr weiterzuentwickeln. Wir geben einen Überblick, was sich Aufsichtsbehörden für das Jahr 2024 vornehmen.

Berufliche Mail-Postfächer werden immer voller, so der Digitalverband Bitkom. Durchschnittlich 42 Mails beruflich pro Tag, die geschäftliche Mail-Kommunikation ist auf einem Höchststand. Gleichzeitig nehmen die Cyberangriffe über E-Mail weiter zu. Doch in vielen Unternehmen kommt die Sicherheit von E-Mails nicht voran. Wie kann man möglichst einfach für E-Mail-Sicherheit sorgen? Kann die Cloud helfen? Das Interview von Insider Research mit Günter Esch von SEPPmail liefert Antworten.

Die Unternehmen in Deutschland sehen sich großen Security-Herausforderungen gegenüber, wie zunehmende Bedrohungen durch Ransomware, steigende Risiken durch KI (Künstliche Intelligenz) und die Umsetzung von Compliance-Vorgaben wie die neue NIS2-Richtlinie der EU. Das neue eBook zeigt, wie ein umfassender, intelligenter Cyberschutz an allen Fronten helfen kann.

Data Security Posture Management (DSPM) bietet Transparenz darüber, wo sich sensible Daten befinden, wer Zugriff auf diese Daten hat, wie sie verwendet wurden und wie der Sicherheitsstatus der gespeicherten Daten ist. Doch wie funktioniert das in der Praxis? Das Interview von Insider Research mit Sebastian Mehle von Varonis liefert Antworten.

Die Art und Weise, wie wir Künstliche Intelligenz (KI) angehen, wird die Welt definieren, in der wir in Zukunft leben, so die EU-Kommission. Mit dem KI-Gesetz (AI Act) will die EU weltweit Vorreiter bei der Festlegung von KI-Vorschriften sein. Doch welche Rolle spielen dabei EU-Datenschutz und Datenschutz-Grundverordnung (DSGVO)? Aufsichtsbehörden sehen klaren Handlungsbedarf.

Die NIS2-Richtlinie enthält rechtliche Maßnahmen zur Steigerung der Cybersicherheit in der EU. Dazu gehört auch eine neue, persönliche Haftung von Führungskräften, wenn bestimmte Vorgaben von NIS2 verletzt werden. Wie aber schützt man sich vor den steigenden Cyberrisiken und den neuen persönlichen Risiken? Hier hilft ein All-in-One-Paket aus Cyberschutz und Cyberversicherung.

Blickt man auf die Cyberbedrohungen, die 2024 besondere Aufmerksamkeit bekommen sollten, erkennt man einen Wandel bei den Angriffswerkzeugen, bei den Angriffswegen und bei den Tätergruppen. Die Veränderungen sind so massiv, dass die Cybersicherheit reagieren muss, um die Cyberrisiken wirklich adressieren zu können. Das neue eBook liefert einen Überblick.

Das Data Privacy Framework für bestimmte EU-US-Datentransfers ist nicht die einzige Entwicklung, die den Datenschutz beeinflusst. Änderungen an der Datenschutz-Grundverordnung (DSGVO) und dem Bundes­daten­schutz­gesetz (BDSG) stehen an. Unternehmen sollten diese wichtigen Veränderungen frühzeitig in den Blick nehmen, um ihr Datenschutzkonzept aktuell zu halten.

Die jährlichen Schäden der deutschen Wirtschaft durch Datendiebstahl, Spionage und Sabotage betragen bereits 206 Milliarden Euro, so Bitkom. Das Interesse an einer Cyberversicherung ist hoch, auch im Mittelstand. Doch kleine und mittlere Unternehmen konnten bisher kaum die Anforderungen erfüllen, um versicherbar zu sein. Hier hilft ein All-in-One-Paket aus Cyberschutz und Cyberversicherung.

Während man früher den Schutz der Geräte oder Anwendungen in den Fokus stellte, denken heute viele Unternehmen, die Daten müssen geschützt werden. Dabei darf man aber nicht vergessen, wie die Angreifenden an die Daten gelangen, durch Diebstahl und Missbrauch von Identitäten. Was also muss geschehen, um Identitäten und damit auch Daten besser zu schützen? Das Interview von Insider Research mit Wolfgang Halbartschlager von Proofpoint liefert Antworten.

Industrie 4.0 ist keine Zukunftsvision mehr, sondern in immer mehr Industrieunternehmen reales Beispiel dafür, wie industrielle Prozesse effizient und effektiv ablaufen können. Sie kann aber nur dann dauerhaft gewinnbringend sein, wenn die vernetzten Abläufe gegen Cyber-Angriffe geschützt sind. Wie kann man für eine sichere Digitalisierung im Maschinenbau sorgen? Das Interview von Insider Research mit Christoph Schambach von secunet Security Networks AG liefert Antworten.

Der aktuelle Cost of a Data Breach Report des Ponemon-Instituts zeigt, dass die deutschen Unternehmen im Schnitt 182 Tage benötigten, um Datenlecks aufzudecken und einzudämmen, immer noch viel zu lang. KI und damit Datenanalysen hatten den größten Einfluss auf die Geschwindigkeit, mit der die Unternehmen Datenlecks erkennen und eindämmen könnten. Wie aber helfen Daten genau dabei, Daten zu schützen? Das Interview von Insider Research mit Matthias Canisius von SentinelOne liefert Antworten.

Leider sind nicht nur die Cyberrisiken sehr komplex, auch die Security kann es sein, alleine schon durch die Vielzahl an Security-Tools, die Unternehmen inzwischen einsetzen. Ein neuer Ansatz für eine umfassende Cybersicherheit ist gefragt. Wie sollte der aussehen? Welche Vorteile bietet ein Plattform-Ansatz und was sollte eine Security-Plattform alles können? Das Interview von Insider Research mit Sven von Kreyfeld von Forescout liefert Antworten.

Unternehmen sollten um die Bedeutung von Security Awareness für die Umsetzung der NIS2-Richtlinie und der darauf fußenden deutschen Gesetzgebung wissen. IT-Sicherheitstrainings waren schon immer wichtig, doch mit NIS2 kommen hierzu konkrete Forderungen auf die betroffenen Unternehmen zu. Was wird genau gefordert? Und wie können Security Services bei der Umsetzung helfen? Das Interview von Insider Research mit Christian Laber von G DATA liefert Antworten.

Nicht nur die Cyberbedrohungen sind sehr komplex, auch die Security ist es oftmals. Es stellen sich viele Fragen: Wie sieht die Cyberbedrohungslage aus? Welche Schutzdimensionen müssen berücksichtigt werden? Und was bietet dafür ein All-in-One Cyberschutz? Kann dadurch die Komplexität in der Security gesenkt und die Komplexität der Cyberbedrohungen beantwortet werden? Das Interview von Insider Research mit Waldemar Bergstreiser von Kaspersky liefert Antworten.

Aus Fehlern lernen, das sollte man auch im Datenschutz noch mehr beherzigen. Es sind nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern führen, die Probleme im Datenschutz offenlegen. Es lohnt sich, weitere Fälle anzusehen, von denen die Aufsichtsbehörden berichten. Wir nennen konkrete Beispiele, aus denen man seine Lehren für den eigenen Datenschutz ziehen kann.

In Sachen IT-Sicherheit können sich KI-Modelle als nützliche Werkzeuge erweisen, so das BSI. Sie können zum Beispiel beim Erkennen von Phishing-Mails hilfreich sein. In gleichem Maße bergen KI-Modelle aber auch Risiken. Wie beeinflusst KI und speziell ChatGPT die Cybersicherheit heute, wie wird sie dies in Zukunft tun? Das Interview von Insider Research mit Michael Veit von Sophos liefert Antworten.

Cyberattacken werden ausgefeilter. Das dezentrale, mobile Arbeiten hat die Angriffsfläche weiter vergrößert. Nur wenn das Endgerät und damit die Hardware sicher ist, kann ein Business-PC wirklich sicher sein. Doch was macht Hardware-Sicherheit aus? Wie integriert man Sicherheit direkt in die Hardware? Und was bietet hier die Intel vPro-Plattform? Das Interview von Insider Research mit Frank Kuypers von Intel Corporation liefert Antworten.

KI ist ein zweischneidiges Schwert in der Security, sie kann bei der Aufdeckung von Vorfällen und bei der Automatisierung von Security-Prozessen helfen. Sie ist aber auch ein mächtiges Werkzeug in den Händen der Cyberkriminellen. Da stellt sich die Frage, wie KI in der Cybersicherheit zu bewerten ist und welche Bedeutung sie erlangen wird. Das Interview von Insider Research mit Kevin Schwarz von Zscaler liefert Antworten.

Für viele Unternehmen steht bald die technische und organisatorische Umsetzung der Anforderungen, die die NIS2-Richtlinie mit sich bringen wird, an. Es gibt neue und verschärften Pflichten. Stichworte sind hier Angriffserkennung und Meldung von Vorfällen. Wie können hier Managed Security Services wie MEDR helfen? Das Interview von Insider Research mit Thomas Siebert von G DATA liefert Antworten.

Mitarbeiter sind ein wichtiger Erfolgsfaktor für ein hohes Maß an Informationssicherheit in einer Institution, so das BSI. Die Voraussetzung dafür ist, dass es ein Sicherheitsbewusstsein innerhalb der Institution gibt. Darüber hinaus sollte eine Sicherheitskultur aufgebaut und im Arbeitsalltag mit Leben gefüllt werden. Doch was macht eine Sicherheitskultur aus und wie schafft man diese im eigenen Unternehmen? Das Interview von Insider Research mit Dr. Martin J. Krämer von KnowBe4 liefert Antworten.

Unternehmen brauchen eine neue Sicht bei der Überwachung von Netzwerken. Die Sicherheit konzentriert sich zu sehr auf die Analyse von Protokolldateien, die nicht immer deutlich machen, wo im Netzwerk die tatsächlichen Gefahren liegen. Kommt es zu einem Angriff, werden die Anzeichen und Spuren nicht schnell genug gesehen. Was sollte sich bei der Netzwerküberwachung ändern? Und was hat das alles mit einer Überwachungskamera zu tun? Das Interview von Insider Research mit Helmut Wahrmann von NetWitness liefert Antworten.

Unter Cyberresilienz kann man sich die Widerstandskraft von Unternehmen bei Cyberbedrohungen vorstellen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) erklärt: Der Begriff ‚Cyber-Resilienz‘ meint Robustheit in Krisenlagen in dem Sinne, dass zu jeder Zeit eine gewisse IT-Grundfunktionalität gewährleistet ist. Was brauchen Unternehmen dafür? Wie kann man Cyberresilienz erreichen und auch messen? Das Interview von Insider Research mit Robert Stricker von Materna liefert Antworten.

Eine FTAPI-Studie zeigt einen klaren Nachholbedarf beim sicheren Datenaustausch. Als Gründe nennt die Studie zu hohe Kosten, Komplexität oder ein fehlendes Bewusstsein für die Relevanz eines sicheren Datenaustausches. Höchste Zeit also über die Bedeutung der Sicherheit beim Datenaustausch und damit auch gerade über Verschlüsselung und Krypto-Agilität zu sprechen. Hier ist das Interview von Insider Research mit Marco Wolff, Tech Lead im FTAPI Development.

Cyberattacken werden immer ausgefeilter. Das dezentrale, mobile Arbeiten hat die Angriffsfläche weiter vergrößert. Nur wenn die Hardware sicher ist, kann ein Business-PC wirklich sicher sein. Die Intel vPro-Plattform sorgt für integrierte Security und ermöglicht neuartige Sicherheitsfunktionen der Betriebssysteme.

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des allgemeinen Cybersicherheitsniveaus in der EU, so die EU-Kommission. Welche Vorgaben bestehen konkret zur Steigerung der Cybersicherheit? Wer ist von den rechtlichen Vorgaben betroffen? Und wie sieht dies mit der Umsetzung in Deutschland aus? Das Interview von Insider Research mit Andreas Lüning von G DATA liefert Antworten.

Anwendungen wandern nun vermehrt in die Cloud, um Remote Work zu vereinfachen. Dabei muss von Beginn an die Sicherheit der Cloud-Apps im Fokus stehen, denn nun sind die Anwendungen den Cloud-Risiken ausgesetzt. Security-by-Design ist für Cloud-Apps besonders wichtig. Automatisierte Security-Checks können helfen, die Sicherheit bereits während der Entwicklung zu überprüfen.

IT-Sicherheit reicht vom Schutz einzelner Dateien bis hin zur Absicherung von Rechenzentren und Cloud-Diensten. IT-Security gehört zu jeder Planung und Maßnahme in der IT und ist grundlegend für die Compliance im Unternehmen.

Die Cybersicherheit ist im Zeitalter dateiloser Bedrohungen, zielgerichteter Angriffe und APTs angekommen. Die zunehmende Remote Arbeit und die Nutzung von Home-Offices machen die Lage nicht einfacher. Gleichzeitig gibt es einen eklatanten Mangel an Cybersecurity-Ressourcen. Wie kommt man da raus? Das Interview von Insider Research mit Peter Aicher von Kaspersky liefert Antworten.

Malware, auch Malicious Software oder Schadsoftware, gehört zu den größten Risiken für IT-Systeme und Daten. Bei der Erkennung und Abwehr von Malware müssen die Besonderheiten der verschiedenen Malware-Arten berücksichtigt werden.

Das Vertrauen in Cloud Computing steigt. Selbst sensible Daten und kritische Geschäftsanwendungen wandern in die Cloud. Doch eine sichere Cloud-Migration und Cloud-Applikation sind keine Selbstverständlichkeit. Unternehmen als Cloud-Nutzer sind gefordert, mehr für ihre Cloud-Sicherheit zu tun. Dabei helfen erprobte Lösungen und Best Practices für die Cloud Security.

Viele Unternehmen befürchten Datenschutzverstöße bei dem Einsatz neuer Technologien. Doch in Wirklichkeit gibt es bei klassischen Verfahren wie E-Mail und Fax immer noch viele Probleme. Die Aufsichtsbehörden berichten über entsprechende Versäumnisse im Datenschutz, die sie festgestellt haben. Wir geben einen Überblick, worauf man im Datenschutz bei Mail und Fax besser achten muss.

Die Datenverarbeitung im Beschäftigungskontext gehört zu den Mängelschwerpunkten im betrieblichen Datenschutz. Die Aufsichtsbehörden berichten von zahlreichen Praxisfällen, in denen die typischen Fehler der Unternehmen sichtbar werden. Beschäftigtendatenschutz muss noch stärker in den Fokus. Der richtige Umgang mit Bewerberdaten ist nur ein Beispiel von vielen.

Das Projekt „EIDI“ (Effektive Information von Betroffenen nach digitalem Identitätsdiebstahl) hat das Ziel, über den Diebstahl digitaler Identitäten zu informieren, ohne dass man sich für einen entsprechenden Monitoring-Dienst angemeldet hat. Dr. Matthias Wübbeling von der Universität Bonn hat uns Einblicke in das Projekt und die Verwendung der Resultate gegeben.

Das IT-Sicherheitsgesetz verlangt von Betreibern kritischer Infrastrukturen, kurz KRITIS, dass sie ihre Netze besser schützen und Angriffe melden. Doch wer genau ist Teil von KRITIS? Und welche Konsequenzen hat das IT-Sicherheitsgesetz für andere Unternehmen?

Während die gezielten Cyberattacken auf Produktionsumgebungen zunehmen, suchen die gefährdeten Industriebetriebe immer noch die passenden Security-Strategien für die OT (Operational Technology). Die bloße Übertragung der IT-Sicherheitskonzepte auf die OT führt nicht zum Erfolg. Spezielle Security-Maßnahmen sind erforderlich, die aber auch bereits auf dem Markt verfügbar sind.

Datendiebstahl, Datenklau, Datenmanipulation, Verschlüsselung von Daten durch Ransomware oder Datenverlust, alle diese Vorfälle werden datenschutzrechtlich als Datenschutzverletzung eingestuft. Meldungen über Datenschutzverletzungen häufen sich und viele Studien untersuchen die Konsequenzen eines Datenverlusts. Doch was genau versteht man eigentlich unter einer Datenschutzverletzung?

Zur Cybersicherheit gehört das Notfallmanagement dazu. Mit der richtigen Vorbereitung und den passenden Security-Lösungen lassen sich IT-Notfälle wie eine Malware-Infektion besser bewältigen und die Folgeschäden minimieren. Selbst fortschrittliche Attacken können schneller erkannt und abgewehrt werden, wenn Unternehmen mit Notfällen rechnen und ihre Security danach ausrichten.

Werden Attacken auf Endgeräte erst spät erkannt, kann der Schaden für das betroffene Unternehmen immens sein. Der Endpoint-Schutz muss deshalb um den Bereich der Erkennung und Abwehr von Angriffen erweitert werden. Um Anzeichen für Attacken möglichst zu erkennen, bevor sie den Endpoint erreichen, sollten die Möglichkeiten von XDR (Extended Detection & Response) genutzt werden.

Jeder CISO muss jetzt zum Transformational CISO werden, sagt Forrester Research. Doch diese Transformation ist schwierig, denn aktuell ändern sich viele Security-Strategien. CISOs wissen kaum, wie sie sich ausrichten sollen. Dabei kommt es nun auf eine klare Linie in der Cybersecurity an. Wir geben einen Überblick, wo CISOs nun stehen und wohin sie sich ausrichten müssen.

Anonymisierung personenbezogener Daten ist der Königsweg im Datenschutz. Besonders wichtig ist die Anonymisierung der Daten, wenn Datenbanken bei Testprojekten genutzt werden. Verschiedene Datenbank-Module und spezielle Tools helfen bei der Erzeugung anonymer Daten nach Datenschutz-Grundverordnung (DSGVO / GDPR). Wir geben einen Überblick und nennen die Datenschutzforderungen.

Das Europäische Forschungsprojekt TITANIUM (Tools for the Investigation of Transactions in Underground Markets) hat Lösungen entwickelt, die Kriminelle und Angreifer daran hindern sollen, die Blockchain-Technologie für kriminelle Zwecke einzusetzen. Im Projekt wurden Schritte unternommen, um sicherzustellen, dass die Instrumente EU-Datenschutzbestimmungen (DSGVO) entsprechen.

Viele Cyberattacken werden zu spät erkannt. Maßnahmen zur Minderung der Folgeschäden haben dann nur noch wenig Erfolg. Meldepflichten nach Datenschutz-Grundverordnung (DSGVO) und KRITIS-Vorgaben können nicht fristgerecht eingehalten werden. Höchste Zeit, die eigene Cybersicherheit im Bereich Detection and Response auszubauen oder XDR-Services (Extended Detection and Response) zu nutzen.

Angesichts der rasant steigenden Homeoffice-Nutzung und gleichzeitig zunehmenden Cyberangriffen gilt es, die Sicherheit auf neue Füße zu stellen. Der Schutz muss bei den Daten ansetzen, nicht bei den Standorten. Wie schafft man eine datenzentrierte Sicherheit? Das Interview von Insider Research mit Michael Scheffler von Varonis liefert Antworten.

Ransomware-Attacken sind sicher keine Unbekannten für Security-Verantwortliche. Immerhin werden sie inzwischen zu den häufigsten Angriffen gezählt. Doch ist eine Online-Erpressung auch eine Datenschutzverletzung nach Datenschutz-Grundverordnung (DSGVO), die Sanktionen der zuständigen Aufsichtsbehörde nach sich ziehen könnte? Allerdings!

Die Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV) sowie das Bundeskriminalamt (BKA) warnten, dass deutsche Unternehmen mit Sitz in China möglicherweise mittels der Schadsoftware GOLDENSPY ausgespäht werden. Wie wurde diese Spyware entdeckt, was macht sie und wie kann man sich schützen? Das Interview von Insider Research mit Fred Tavas von Trustwave liefert Antworten.

Die EU-Kommission hat die bereits erwartete Evaluierung der Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Die Reaktionen reichen von Lob bis zur tiefen Enttäuschung. Für Unternehmen lautet die Botschaft, dass es auf allen Ebenen noch viel zu tun gibt. Helfen können dabei Instrumente der DSGVO, die bisher kaum Beachtung finden und deren Nutzung die EU-Kommission empfiehlt.

Die Forderung nach Datenschutz durch Technikgestaltung (Privacy by Design) hat eine zentrale Bedeutung in der Datenschutz-Grundverordnung (DSGVO). Leider richtet sich die DSGVO aber gar nicht an die Hersteller, sondern an die Anwender. Ein aktuelles Schreiben des Europäischen Datenschutzausschusses (European Data Protection Board) macht dies nochmals deutlich.

Wer Cyber-Attacken früher erkennen und abwehren will, muss die Ziele und das Vorgehen der Angreifer verstehen und die Abwehr danach ausrichten. Die Lockheed Martin Cyber Kill Chain ist ein mehrstufiges Modell zur Analyse von Attacken und zum Aufbau der Abwehr entlang der Angriffsschritte.

CISSP, CSP, CEH: Security-Zertifizierungen für Personen. Mancher Security-Praktiker belächelt sie, manches Stellenangebot fordert sie explizit. Wer sich als Security-Experte zertifizieren lassen will, hat es in jedem Fall nicht leicht, denn es gibt eine Vielzahl an unterschiedlichen Zertifizierungsstellen, Trainingsanbieter und Zertifizierungen.

Die steigenden Risiken durch die Digitalisierung sind vielen Unternehmen durchaus bewusst, doch es mangelt an einer professionellen Bestimmung und Priorisierung der Gefahren aus dem Cyberraum. Das neue eBook untersucht, welche Bedeutung Cyber-Risiken haben, wie sie sich besser bewerten lassen und was speziell für Endpoints zu beachten ist, wenn es um die Cyber-Risiken geht.

Compliance in der IT ist für jedes Unternehmen Pflicht. Der Datenschutz ist dabei nur ein Beispiel. Vor jedem IT-Projekt muss geprüft werden, welche rechtlichen und vertraglichen Anforderungen bestehen und zu erfüllen sind.

Hacker schicken Angriffs-Mails gezielt an spezielle Mitarbeiterinnen und Mitarbeiter. Es geht zunehmend um Attacken auf einzelne Beschäftigte, die Very Attacked People (VAP). Wie aber sorgt man hier für den richtigen Schutz, den digitalen Personenschutz? Das Interview von Oliver Schonschek, Insider Research, mit Hannes Schneider von Proofpoint liefert Antworten.

Ein Botnetz besteht aus schlecht geschützten IT-Systemen, die durch Malware oder automatisierte Angriffe über das Internet gekapert und zu kriminellen Zwecken missbraucht werden. Bislang bestand ein Botnet meist aus Desktop-Computern, inzwischen gehören aber auch IP-Kameras, Smartphones und Smart-TVs zu den Zielen der Cyberkriminellen.

Gesundheitsdaten unterliegen nach Datenschutz-Grundverordnung (DSGVO) einem besonderen Schutz. Werden die Daten für eine längere Zeit gespeichert, muss dieser Schutz auch gewährleistet sein, wenn durch Quantum Computing die Verschlüsselung in Gefahr geraten könnte. Das Forschungsprojekt PQC4MED arbeitet an einem Schutzkonzept, damit Gesundheitsdaten langfristig geschützt bleiben.

Fehladressierte Schreiben, offene E-Mail-Verteiler und Rechner-Infektionen mit Schadsoftware gehören ebenso zu den häufigen Datenschutz­verletzungen nach Datenschutz-Grundverordnung (DSGVO / GDPR) wie verlorene USB-Sticks. Dabei sind Diebstahl und Verlust von unverschlüsselten Datenträgern nicht die einzigen Datenschutzmängel, die die Aufsichtsbehörden beklagen.

Social Engineering ist keine neue Bedrohung, aber eine mit hohem kriminellen Erfolg. Die Angreifer setzen auf psychologische Tricks und nutzen unsere Schwachstellen als Menschen aus. Wie kann man sich besser schützen? Was muss geschehen, um die Schwachstelle Mensch zu patchen? Das Interview von Insider Research mit Christine Kipke und Detlev Weise von KnowBe4 liefert Antworten.

Netzwerksicherheit sorgt nicht nur für die sichere Vernetzung innerhalb von Unternehmen, sondern spielt auch für die Anbindung mobiler Nutzer, für das Internet of Things (IoT) und für Cloud Computing eine zentrale Rolle.

Cybersecurity wird in vielen Unternehmen zu technisch gesehen. Cyber-Angriffe gelten zwar den Daten und IT-Systemen, doch sie starten meistens mit dem Versuch, einzelne Benutzer, Administratoren oder Entscheider zu manipu­lieren und auszutricksen. Deshalb muss die Security auch für die Awareness neue Verfahren einsetzen, nicht nur im technischen Bereich.

2019 waren 90 Prozent der Unternehmen mit BEC- und Spear-Phishing-Angriffen konfrontiert, so eine Proofpoint-Studie. 86 Prozent berichten von Social-Media-Angriffen. Obwohl die Angriffsmethoden bekannt sind, haben sie weiterhin bei vielen Unternehmen Erfolg. Warum ist das so? Das Interview von Insider Research mit Michael Heuer von Proofpoint liefert Antworten.

Viele Internetnutzer verwenden ein und dasselbe Passwort für mehrere Accounts. Werden die Passwörter bei einem Online-Dienst gestohlen, sind viele weitere Zugänge des Nutzers bedroht. Davon kann auch das Active Directory (AD) im Unternehmen betroffen sein. Erfahren Sie, wie Sie die gefährliche Nutzung kompromittierter Passwörter im AD verhindern können.

Auch die Operational Technology (OT) wird durch Schadsoftware bedroht. Aber häufig kann oder darf kein Virenschutz auf den Fertigungssystemen installiert werden. Alleine die Abkapselung vom Internet reicht dann nicht, denn Malware findet ihren Weg. Doch spezielle Sicherheitsverfahren können für den nötigen Malware-Schutz auch bei OT sorgen, auch ohne Installation.

IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst.

Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf.

Ein neuer Vorschlag für die E-Privacy-Verordnung (ePVO) rüttelt an der notwendigen Einwilligung für Cookies. Doch während die Speicherung von Cookies leichter werden könnte, wollen Browser-Anbieter in Zukunft Dittanbieter-Cookies nicht mehr unterstützen. Doch eigentlich geht es nicht um Cookies oder keine Cookies, es geht um klare Vorgaben und die Information der Betroffenen.

Häufig wird behauptet, der Datenschutz behindere die Nutzung neuer Technologien. Dabei verlangt die Datenschutz-Grundverordnung ausdrücklich den Stand der Technik bei Schutzmaßnahmen. Entsprechend haben sich Aufsichtsbehörden für den Datenschutz auch bereits mit dem Thema Quanten-Computer befasst. Dies zeigt beispielhaft, wie man im Datenschutz neue Technologien bewertet.

Notfallmanagement und regelmäßige Übungen sind noch nicht überall Standard, so ein Ergebnis der Cyber-Sicherheitsumfrage des BSI (Bundesamt für Sicherheit in der Informations­technik). Dies soll durch den geplanten BSI-Standard 200-4 anders werden. Dabei spielt das Stufenmodell für den Einstieg ins BCM (Business Continuity Management) eine wichtige Rolle.

Die Zahl der Baustellen im Datenschutz wird nicht weniger, scheint es. Die Datenschutz­folgen eines harten Brexit sind nur ein Beispiel. Umso wichtiger ist es, die richtigen Prioritäten im Datenschutz zu setzen. Das beste Instrument dafür ist die Datenschutz-Folgen­abschätzung, für die es ein auch kostenloses Tool und zahlreiche Hilfestellungen gibt.

Scheinbar fruchten viele Schulungsmaßnahmen für Security nicht: Die Zahl der erfolgreichen Cyberattacken und die verursachten Schäden steigen und steigen. Was kann man tun, damit die so wichtige Schulung für Security zum Erfolg wird, also wirklich zum Schutz beitragen kann? Das Interview von Insider Research mit Christine Kipke und Detlev Weise von KnowBe4 liefert Antworten.

Die durch 5G mögliche digitale Transformation soll viele gesellschaftliche, wirtschaftliche und administrative Bereiche vorantreiben. Industrie 4.0 ist nur ein Beispiel. Die Sicherheit von 5G steht entsprechend im Fokus vieler Diskussionen in Politik und Wirtschaft. Dabei muss aber die richtige Sicht auf 5G-Sicherheit eingenommen werden, wie das neue eBook zeigt.

Was versteht man eigentlich unter Sicherheitskultur? Warum ist sie wichtig für den Erfolg der Cybersicherheit? Und was kann man tun, um für eine gute Security Culture im eigenen Unternehmen zu sorgen? Das Interview von Oliver Schonschek, Insider Research, mit Christine Kipke und Detlev Weise von KnowBe4 liefert Antworten.

Je digitaler die Finanzwelt wird, desto mehr gewinnt das Thema IT-Sicherheit an Bedeutung, so die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Wie sieht die Bedrohungslage im Banking-Bereich konkret aus? Wie kann die Security im Finanzwesen verbessert werden? Das Interview von Insider Research mit Gerhard Giese von Akamai Technologies GmbH liefert Antworten.

Anfang Juni 2021 hat die Europäische Kommission zwei neue Sätze von Standardvertragsklauseln im Bereich Datenschutz angenommen. Doch was sind überhaupt Standardvertragsklauseln, was sind die Neuerungen und welche Folgen haben sie für notwendige Schutzmaßnahmen bei E-Mail, Cloud und File-Transfer? Das Interview von Insider Research mit Stephan Heimel von SEPPmail liefert Antworten

Nicht alleine die Höhe des verhängten Bußgeldes macht deutlich, dass es sich um eine schwerwiegende Verletzung des Datenschutzes nach DSGVO (Datenschutz-Grundverordnung) handeln kann. Ein Blick auf die Datenschutzverletzungen, die im Jahr 2021 bekannt geworden sind, machen dies deutlich. Unternehmen sollten diese Vorfälle nutzen, um die eigenen Datenschutz-Prozesse zu hinterfragen.

Die letzten Wochen und Monate haben sich sowohl Wirtschaftsverbände und Datenschutz-Vereinigungen als auch die Aufsichtsbehörden für den Datenschutz zu ihren Erfahrungen und Wünschen geäußert, was an der Datenschutz-Grundverordnung (DSGVO / GDPR) geändert werden sollte. Einiges davon hätte man bereits angehen können, anderes müsste den langen Weg der EU-Gesetzgebung gehen.

Häufig wird behauptet, der Datenschutz behindere die Nutzung neuer Technologien. Dabei verlangt die Datenschutz-Grundverordnung ausdrücklich den Stand der Technik bei Schutzmaßnahmen. Entsprechend haben sich Aufsichtsbehörden für den Datenschutz auch bereits mit dem Thema Quantencomputer befasst. Dies zeigt beispielhaft, wie man im Datenschutz neue Technologien bewertet.