Security-Prognosen 2018

Das passiert (wahrscheinlich) 2018 bei Datenschutz und Datensicherheit!

| Autor / Redakteur: Michael Sutton / Peter Schmitz

IT-Sicherheit und Datenschutz, was ändert sich 2018, was bleibt wie es ist und was wird wahrscheinlich schlimmer als wir uns derzeit vorstellen?
IT-Sicherheit und Datenschutz, was ändert sich 2018, was bleibt wie es ist und was wird wahrscheinlich schlimmer als wir uns derzeit vorstellen? (Bild: Pixabay / CC0)

2017 war das Jahr der großen Ransomware-Angriffswellen, von Datendiebstählen und national betriebener Cyberspionage. Welche Systeme geraten 2018 ins Visier von Hackern und wo muss Bewegung in die Security-Technologien und Datenschutzdebatten kommen? Eine Prognose zehn möglicher Angriffsszenarien und Handlungsfelder.

Prognose 1: Der Missbrauch digitaler Assistenten

Laut den großen Technologiekonzernen stellen digitale Assistenten, wie Alexa, Siri, Google Assistant oder Cortana und die dazugehörigen smarten Lautsprecher (Amazon Echo, Google Home oder Apple HomePod) die Zukunft der Mensch – Computer Interaktion dar. Diese Geräte haben den Durchbruch auf dem Massenmarkt geschafft, denn sie sind mittlerweile viel mehr als nur ein praktisches Mittel zur Ansage des Wetterberichts oder der letzten Sportergebnisse. Diese digitalen Assistenten bilden schon jetzt offene Ökosysteme und interagieren mit anderen smarten Geräten oder Anwendungen in ihrem Umfeld.

Die Lautsprecher eröffnen mangels Sicherheitsvorkehrungen allerdings auch den Zugriff auf die digitalen Assistenten. Von wo aus ein Anwender in einer virtuellen Welt die Lautsprecher via Audiokommunikation ansteuert spielt keine große Rolle mehr. Instruktionen können auch erfolgen, wenn sich der Anwender nicht in Sprachdistanz aufhält. Anschaulichstes Beispiel dafür war im April 2017 ein Fernsehwerbespot von Burger King in den USA, in dem die Fast-Food-Kette den Ausdruck "OK Google" verwendete und damit massenhaft Aktivitäten über Google Home Lautsprecher auslöste.

Spracherkennungssoftware als Angriffsziel

Hidden Voice Commands

Spracherkennungssoftware als Angriffsziel

09.03.17 - Spracheingabe und „Always-on“ liegt voll im Trend. Amazons Echo wurde ein Bestseller. Bei mobilen Geräten haben sich die Spracherkennung-Features Cortana (Microsoft) und Siri (Apple) durchgesetzt. Jetzt ist es Forschern gelungen, die Mensch-Maschine-Schnittstelle zu korrumpieren und Malware zu verteilen. lesen

Spinnt man dieses Szenario der Sprachsteuerung aus der Ferne weiter, so stehen Hackern zwar keine Fernsehstationen zur Verfügung, aber Schaden kann auch über Telefonroboter, die Verbindungen mit Anrufbeantwortern herstellen, oder über Audioclips in Webseiten angerichtet werden. Weitergedacht könnte Malware via Exploit auf Computern verbreitet werden, die dann einen Audioclip abspielen, wenn der Anwender nicht vor dem Rechner sitzt. Auf diese Weise können von Angreifern über die Lautsprecher beispielsweise Bestellungen zu ihren Gunsten in Auftrag gegeben werden, Sicherheitssysteme außer Kraft gesetzt oder gar Türen geöffnet werden.

Prognose 2: Home Devices avancieren zum neuen Angriffsvektor auf Gebäude

Nicht nur digitale Assistenten können smarte Geräte auslösen, sondern auch jedes andere vernetzte Gerät. Dem "Smart Home" mangelt es an Intelligenz, wenn verschiedene, voneinander isolierte Netzwerktechnologien aufeinandertreffen. Der Begriff "smart" in Smart Homes kommt dann zum Tragen, wenn diese Geräte zusammenspielen und eine Kettenreaktion hervorrufen, sobald eine externe Variable ausgelöst wird. Ein Beispiel: Ein Rauchmelder ist eine wichtige Komponente für die häusliche Sicherheit. In einem verlassenen Haus bewirkt ein schrillender Alarm allerdings nichts. Anders sieht es aus, wenn der Rauchmelder vernetzt operiert und sowohl den Ursprung der Rauchentwicklung abschalten als auch die Feuerwehr benachrichtigen kann.

Der Markt rund um das Ökosystem der Smart Homes explodiert und die Geschichte hat gezeigt, dass bei derart rasanter Verbreitung neuer Technologien die Sicherheit oftmals auf der Strecke bleibt. Einige der Ökosysteme werden von unterschiedlichen Technologieanbietern zusammengewürfelt, wie beispielsweise Apple (Homekit), Google (Nest) und Samsung (SmartThings). Diese Anbieter verhängen unterschiedliche Restriktionen für die Geräte der Hersteller. Z.B. kontrollierte Apple im Namen der Sicherheit sehr streng, was innerhalb des Ökosystems zugelassen wurde. Allerdings musste der Anbieter einräumen, dass mit iOS 11 die Restriktionen gelockert und auf die zuvor eingebauten Sicherheitschips verzichtet wurde.

Diese IFTTT-Regel kann die eine vernetzte Haussicherung immer dann abschalten, wenn ein Bild auf Facebook gepostet wird.
Diese IFTTT-Regel kann die eine vernetzte Haussicherung immer dann abschalten, wenn ein Bild auf Facebook gepostet wird. (Bild: Zscaler)

Herstellerspezifische Implementierungen, wie IFTTT, versuchen eine Infrastruktur aufzubauen in der alle Produkte untereinander kommunizieren können. Auch wenn ein Produkt hohe Sicherheitsvorkehrungen implementiert hat, so können diese gegebenenfalls durch die Kombination mit anderen Produkten ineffektiv werden. Ein Beispiel: Die im nebenstehenden Bild dargestellte IFTTT-Regel kann die Sicherheit immer dann unterlaufen, wenn ein Bild auf Facebook gepostet wird, obwohl sie mit enormem Gefahrenpotenzial einhergeht.

Hacker, sie sich Zugang zu einem IFTTT-Account verschaffen, können durch solche Regeln die Sicherheitsmaßnahmen des Systems unterlaufen, die das unautorisierte Abschalten eines Alarms verhindern sollen. Knackpunkt ist, dass die Kontrollmaßnahmen von einem isolierten Betrieb des Systems ausgehen.

Prognose 3: Sicherheitsbudgets verschieben sich hin zur Erkennung von und Reaktion auf Angriffe

Die Debatten dauern an, wofür Unternehmen ihre Sicherheitsbudgets verwenden sollen. Es ist ein Trend zu beobachten, dass die Ausgaben von der Angriffsverhinderung hin zur Erkennung verlagert werden. Ursache dafür sind die nicht abreißenden Schlagzeilen von Sicherheitsvorfällen und die damit einhergehende Einsicht, dass die uneinnehmbare Festung des Netzwerks ein unhaltbarer Trugschluss ist. Unternehmen müssen sich nicht mehr die Frage stellen, ob sie Opfer von Sicherheitsverstößen werden, sondern wann. Dementsprechend werden die Ausgaben verlagert von der Verhinderung eines Verstoßes hin zu einer schnellen Erkennung von Vorfällen des Datenverlusts, so dass rasch Schadensbegrenzung betrieben werden kann.

2018 wird das Jahr, in dem die Rechnung neu aufgestellt wird. Ausgaben werden an das Ende eines Angriffszyklus verlagert, weg von vom Verhindern, hin zur Erkennung und Reaktion auf einen Angriff. Zwei Trends sind für diese Verlagerung verantwortlich: Einerseits werden Behördenauflagen aktiv, die eine Reaktion auf Datenverlust verbindlich erforderlich machen. Auch wenn global hier noch kein einheitliches Vorgehen zu beobachten ist, wird 2018 mit der DSGVO eine starke Vorgabe relevant.

Neben der Gesetzgebung wird der Schaden an der Unternehmensreputation rund um verpfuschte Reaktionen auf Datendiebstahl eine stärkere Rolle spielen. Da der Verlust von Informationen schon fast zum Alltag geworden ist, ist die Öffentlichkeit zwar nachsichtiger. Allerdings ist kein Erbarmen zu erwarten, wenn die öffentliche Meinung den Verdacht hegt, dass ein Datendiebstahl unter den Tisch gekehrt werden soll. Equifax oder Uber sind nur zwei Beispiele dafür, warum auf Vorstandsebene die Botschaft angekommen ist, dass ein Reaktionsplan im Falle eines Datenverlusts in jede Schublade gehört. Kein Unternehmen möchte als nächstes wegen mangelnder Reaktionsfähigkeit angesichts eines Diebstahls an den Pranger gestellt werden.

Intelligente Sicherheit spart Kosten!

Security-Startups im Gespräch: CS FOG

Intelligente Sicherheit spart Kosten!

27.10.17 - Unternehmen brauchen eine funktionierende IT die skalierbar ist, am Business ausgerichtet und die Unternehmenswerte effektiv schützt. Das verlangt der unternehmerische Verstand und auch der Gesetzgeber, denn Hacker und Schadsoftware sind existenzgefährdende Bedrohungen. Aber um seine IT vor Angriffen wirksam zu schützen muss man einiges an Aufwand betreiben und ein signifikantes Budget einplanen. lesen

Prognose 4: Die Datenschutzdebatte zwischen Behörden und Geräteherstellen wird wieder aufgerollt

In eine nächste Runde geht die Debatte zwischen Geräteherstellern und der Regierung hinsichtlich des Datenschutzes auf privaten Mobilgeräten nicht nur in den USA. Aufsehen erregte 2016 der Fall zwischen FBI und Apple, bei dem ein iPhone eines Verbrechers mit Hilfe eines Hacking-Tools eines Drittanbieters geknackt und entschlüsselt wurde. Im letzten Jahr war das FBI nicht in der Lage durch sein Computer Analysis und Response Team die Daten von 7500 Mobilgeräten zu analysieren, obwohl die Behörde rechtlich dazu befähigt gewesen wäre. Die US-Regierung ist sich zwar bewusst, dass sie angesichts der Snowden-Enthüllungen sensibles Terrain betritt, wenn sie die Rechte der Behörden zum Zugriff auf private Daten auf Mobilgeräten stärkt. Andererseits arbeitet sie an einer neuen Gesetzesinitiative, die die Hersteller zu schwächeren Kontrollmechanismen für verschlüsselte Daten zwingt und den Zugriff per Gesetz erlauben soll.

Apple rückte bisher nicht von seinem Datenschutz-Standpunkt ab und entwickelte mit jeder neuen Version des Betriebssystems neue Sicherheitshürden, die verhindern sollen, dass Daten vom iPhone auslesbar werden. Zuletzt wurde sogar ein Shortcut eingeführt, mit dem die biometrische Entschlüsselung deaktiviert werden kann, wenn der Besitzer Angst hat, dass sein Gerät konfisziert wird. Mit jedem neuen Vorfall rund um den Missbrauch von Waffen wird die öffentliche Diskussion zum Für und Wider des Auslesens von Handydaten erneut entfacht - nicht nur in den USA. Ebensowenig, wie Apple bisher von seiner Position des Schutzes privater Daten bereit ist abzurücken, wird die US-Regierung zurückstecken. Denn die Beschlagnahmung von Mobiltelefonen beim Grenzübergang hat sich den den vergangenen zwei Jahren bereits verdreifacht.

Sicherheit in iOS 11

Update für iPhone und iPad

Sicherheit in iOS 11

15.09.17 - Mit iOS 11 erweitert Apple die Sicherheitsfunktionen um zwei clevere Features. Zum einen lässt sich nun Touch ID schnell abschalten und die Eingabe des Passcodes erzwingen. Zum zweiten bekommen die Geräte einen SOS-Modus, der schnell einen Notruf absetzen kann. Außerdem erfordert das Verbinden mit einem PC jetzt auch auf dem iOS-Gerät die Eingabe des Sperrcodes. lesen

Prognose 5: Datenschützer fordern Restriktionen zum Teilen und Speichern von Augmented Reality

Drei Jahre nach der Übernahme von Oculus Rift durch Facebook wird noch immer darauf gewartet, dass sich Virtual Reality als Mainstream-Technologie etabliert. Augmented Reality (AR) hingegen ist bereit zum Sprung auf den Massenmarkt. Einen Vorgeschmack davon bekam die Öffentlichkeit durch den Hype rund um Pokemon Go 2016 und dank Apples Veröffentlichung des ARKit sowie Google ARCore. Augmented Reality überträgt virtuelle Inhalte auf ein Bild der echten Welt. Unabhängige Plattformen für AR, wie ARToolKit, Wikitude und Vuforia sind bereits auf den Plan getreten und Microsoft will dem Reigen mit seiner Brille (HoloLens) beitreten. Bis es soweit ist, müssen sich die Anwender noch mit ihrem Smartphone begnügen.

Auch damit geht ein Risiko für die Datensicherheit einher. Um festzulegen, welches digitale Bild wo hinzugefügt wird, nimmt das Handy Bilder der Umgebung auf und sendet diese zur Analyse an eine Cloud-basierte Engine für künstliche Intelligenz. Anbieter von Augmented Reality wollen nun die Anwender dazu motivieren, ihre mit ihren Handys aufgenommenen AR-Daten untereinander auszutauschen, um das Gesamterlebnis aller Anwender zu verbessern. Und dafür wird ein detailliertes Bild der physikalischen Umgebung jedes Anwenders eingefangen. Datenschützer sind alarmiert....

Echte Bedrohungen innerhalb der virtuellen Welt

Sicherheit und VR

Echte Bedrohungen innerhalb der virtuellen Welt

22.03.17 - Unternehmen müssen ihre Virtual Reality (VR) Anwendungen vor Sicherheitsrisiken im Netzwerk schützen. Alle neuen, vernetzten, datengestützten Technologien – darunter auch die aktuellen Virtual Reality (VR)-Anwendungen – kommen mit Sicherheitsrisiken daher. Bekannte Angriffsmethoden wie DDoS bekommen in der virtuellen Welt eine neue Plattform. Für Unternehmen gilt deswegen: Bevor sie Kunden mit neuen VR-fähigen Erlebnissen locken, sollten sie sicherstellen, dass sie sich dabei nicht unbeabsichtigt für Cyber-Attacken öffnen. lesen

Prognose 6: DSGVO greift mit empfindlichen Strafen für die Nichteinhaltung der Vorgaben und zwingt Unternehmen zum Handeln

Höchste Zeit, sich mit der EU-Datenschutz-Grundverordnung (DSGVO / General Protection Data Regulation / GDPR) vertraut zu machen. Diese Verordnung ersetzt 2018 die in die Jahre gekommene EU-Datenschutzdirektive und tritt mit dem Ziel an, die Datenschutzlage innerhalb Europas zu harmonisieren, den Datenschutz für alle EU-Bürger umzusetzen und den Umgang mit dem Datenschutz innerhalb von Organisationen umzugestalten. Diese Verordnung greift für alle EU-Mitgliedsstaaten und geht mit bedeutenden Strafen für die Nichteinhaltung einher. Was lange angekündigt war, wird im Mai 2018 in Kraft treten, so dass Unternehmen nun nicht mehr hinauszögern sollten, sich dem Thema anzunehmen.

Die DSGVO wurde im April 2016 formell vom Europäischen Parlament abgesegnet. Seitdem hatten Unternehmen eine zweijährige Übergangsphase zur Vorbereitung auf die Grundverordnung. Da die Verordnung für alle Unternehmen greift, die Daten von Europäern sammeln und verarbeiteten, sind Firmen weltweit von der Umsetzung betroffen und müssen zur Einhaltung der Vorgaben auch ihre Prozesse und Maßnahmen zur Datensicherheit überdenken. Während europäische Unternehmen bereits seit mehreren Jahren auf den Stichtag im Mai 2018 hinarbeiten, tun sich außereuropäische Firmen, bei welchen ebenfalls Handlungsbedarf besteht, schwer damit. Damit drohen empfindliche Strafen von 4% des Jahresumsatzes des vorhergegangenen Finanzjahres. Es ist schon jetzt absehbar, dass Unternehmen aufgrund der Nichteinhaltung ins Rampenlicht geraten.

Umsetzungsgesetz für EU-DSGVO verschärft Haftung

Auch Geschäftsführern und Mitarbeitern drohen Bußgelder

Umsetzungsgesetz für EU-DSGVO verschärft Haftung

13.07.17 - Mit Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Bei Verstößen drohen bis zu 20 Millionen Euro Bußgeld und sogar Freiheitsstrafen. lesen

Prognose 7: Informationskrieg: Fake News wird zum neuen Propagendainstrument

Über den Einfluss von Fake News auf den US-Präsidentschaftswahlkampf wurde viel debattiert. Fake News sind real - so viel steht fest angesichts der Zahlen, die Facebook veröffentlicht hat: 126 Millionen US-Facebook-Nutzer waren in den letzten zwei Jahren Inhalten der Internet Research Agency ausgesetzt - der russischen Troll-Schmiede, die der Regierung nahe steht. Gefälschte Inhalte kamen von tausenden russischer Facebook-Accounts. Allerdings sahen nur 11,4 Mio Nutzer diese Inhalte direkt. Der Rest kam damit durch weitergeleitete Posts in Kontakt. Der Mechanismus des Schneeballeffekts der Verbreitung funktioniert. Eine interessante Geschichte wird geteilt, unabhängig davon, ob sie auf Fakten basiert und damit ist das Verbreitungspotenzial enorm.

Die US-Gesetzgebung fordert bereits, in Fremdwährung bezahlte politische Anzeigen zu verbieten. Diese Maßnahme geht am Kern der Diskussion vorbei, denn es dreht sich hierbei nicht nur um die politische Diskussion. Ein solches Verbot würde bedeuten mit Kanonen auf Spatzen zu schießen, wobei lediglich einige wenige getroffen werden würden. Solche Regularien ließen sich darüber hinaus problemlos umgehen. Bedeutsam ist die Macht der sozialen Medien in der Beeinflussung jeglicher Entscheidungen - unabhängig von deren Quelle. Fake News spielten weltweite eine Rolle in politischen Meinungsbildungsprozessen, wie beispielsweise in Frankreich, Deutschland, auf den Philippinen, in Myanmar oder Kenia. Die Welt wurde Zeuge eines mächtigen Prozesses, der Schleusen öffnen kann.

Gehackte Wahlen

Wahl-Hacks und Bundestagswahl 2017

Gehackte Wahlen

28.07.17 - Die Digitalisierung eröffnet neue Wege für Politikmanipulation, wie die Cyber-Angriffe vor den Präsidentschaftswahlen in den USA und Frankreich zeigten. lesen

Lobbyisten aus dem In- und Ausland werden Fake News auf ihre Agenda setzen. Cyberkriminelle werden es ihnen Gleichtun, um Profit aus der Beeinflussung von Meinungen zu schlagen, beispielsweise durch den An- und Verkauf von Aktien. Dabei handelt es sich um ein riesiges Problem, für das es noch keine einfache Lösung gefunden ist. Für Facebook gilt es, die Balance zu finden zwischen dem notwendigen Eingreifen und "Big-Brother"-Verhalten, bei dem für den Anwender entschieden wird, was er sehen darf und was nicht. Ein solches Problem erfordert die Kooperation von Gesetzgebung, Justiz und Industrie für Lösungsansätze und bisher ist hier noch nicht viel geschehen.

Prognose 8: Hacking für eine gute Sache wird zunehmen

Schon 2015 gab mit den Datenverlusten von Ashley Madison und dem Hacking Team bereits einen Vorgeschmack von Hacks, die dem Aufrütteln der Gesellschaft dienen sollen. In beiden Fällen sah es so aus, als ob die Motivation der Hacker nicht in der Erpressung von Unternehmen lag, sondern vielmehr in der Bloßstellung einzelner Betroffener. In einem zunehmenden feindlich gestimmten politischen und sozialen Klima wird diese Art der Übergriffe weiter zunehmen, wobei der Einzelne ins Visier geraten, der sich vermeintlich etwas zu Schulden hat kommen lassen. 2017 war das Jahr, indem sexuelle Übergriffe von mächtigen Männern nicht länger schweigend toleriert wurden und investigativer Journalismus Anschuldigungen ans Tageslicht brachte, die das Ende für manche Karriere bedeuteten.

Gleichermaßen gibt es in der Politik ein neues Aggressionsniveau und eine Bereitschaft, "schmutzige Wäsche" von politischen Kontrahenten in der Öffentlichkeit zu waschen. In beiden Fällen ist Hacking eine mächtige Waffe und diejenigen, die zu dieser Vorgehensweise greifen sind der Meinung, dass der Zweck alle Mittel heiligt. Schnell sind in einer Situation von Ankläger und Beschuldigtem E-Mail-Accounts gehackt oder Hacker angeheuert, die in Steuerangelegenheiten von Politikern wühlen.

Wikileaks enthüllt Hacking-Tools der CIA

Zero Day Exploits und Vorgehensweisen

Wikileaks enthüllt Hacking-Tools der CIA

08.03.17 - Wikileaks hat eine neue Serie an Enthüllungen angekündigt. Unter dem Codenamen Vault 7 wollen die Aktivisten sensible Inhalte veröffentlichen, die Aufschluss über die Hacking-Aktivitäten der CIA geben. Als einer der Stützpunkte wird das US-Konsulat in Frankfurt genannt. lesen

Prognose 9: Wir werden Malware-Attacken aufbauend auf künstlicher Intelligenz sehen

Schon letztes Jahr war absehbar, dass Hacker zur effizienten Analyse von riesigen Datenvolumen aus Cyberattacken auf Machine Learning setzen. Auch wenn die Angreifer ihre Methoden nicht offenlegen, gibt es doch Beweise dafür, dass Machine Learning bei der Kompromittierung von Geschäfts-Emails zum Einsatz kommt. Die Führungsriege von Unternehmen wird dabei mit Hilfe von zielgerichtetem Social Engineering angegangen. Künstliche Intelligenz steht auf breiter Basis zur Verfügung durch die neu aufgekommenen Cloud-basierten Artificial Intelligence oder Machine Learning-Plattformen.

In einem ersten Schritt kommt Machine Learning dabei für Pre- oder Post-Prozesse zum Einsatz. In einer nächsten Stufe wird künstliche Intelligenz dazu eingesetzt werden, großangelegte Angriffe umzusetzen, die sich in ihrem Verlauf wandeln und unterschiedliche Taktiken anwenden. Auch die Skalierbarkeit künstlicher Intelligenz geht weit über das Menschenmögliche hinaus, wie Researcher von ZeroFox bereits auf der BlackHat Konferenz zeigten(pdf), als ein Mensch gegen einen Twitter Bot mit künstlicher Intelligenz antrat. Zum Sieger dieses Mensch/Maschine Kampfs wurde derjenige gekürt, der die meisten Twitter-Followers dazu bewegen konnte, auf eine URL zu klicken. Der Bot war haushoch überlegen…

Künstliche Intelligenz ist zwischenzeitlich soweit gereift, dass sie in Cyberangriffen für mehr als nur die Datenverarbeitung eingesetzt werden kann. 2017 folgten großangelegte Malware-Kampagnen von Locky bis NotPetya oder BadRabbit noch traditionellen Verbreitungswegen über bekannte Exploits und statisches Social Engineering in Emails. Das wird sich 2018 ändern, wenn wir die erste Massen-Malware sehen, deren Social Engineering nicht mehr von Menschen, sondern von künstlicher Intelligenz gesteuert wird.

Auch Hacker werden künstliche Intelligenz nutzen

Umfrage auf der BlackHat

Auch Hacker werden künstliche Intelligenz nutzen

28.09.17 - Im Rahmen der kürzlich veranstalteten BlackHat 2017 hat Cylance eine Umfrage zum Thema KI durchgeführt. Das Ergebnis: Auch Hacker werden wahrscheinlich in Zukunft auf KIs setzen. lesen

Prognose 10: 2018 wird die US-Sozialversicherungsnummer in Rente gehen

Der Datenverlust bei Equifax war aus einer Reihe verschiedener Blickwinkel bezeichnend. Nicht nur, dass die Reaktion auf den Datendiebstahl unangemessen ausfiel, sondern auch der Umfang sprengte alle Rahmen mit seinem dauerhaften Schadpotenzial. Bei den bekannten Datendiebstählen im Einzelhandel, wie Target, Home Depot oder Neiman Marcus waren die Folgen für den Endkunden nicht so gravierend, da sich Kunden- oder Kreditkarten ersetzen ließen, bzw. Schaden durch falsche Abbuchungen ersetzt wurde. Eine Kreditkarte kann leicht ausgetauscht werden, die Sozialversicherungsnummer hingegen begleitet jeden Einzelnen ein Leben lang. Da bei Equifax SSN - (Social Security Nummern) erbeutet wurden, die in den USA als Identifikation für Kreditkarten verwendet wird, war der angerichtete Schaden dauerhaft. Diese Lehrstunde führt die Gefahr, die von statischen Kennzeichen ausgehen kann, deutlich vor Augen.

Da die Mehrzahl der Sozialversicherungsnummern in den USA kompromittiert wurden, können sie nicht mehr als zuverlässiges Identifizierungsmerkmal verwendet werden. Die Politik wurde hier bereits aktiv und startete Verhandlungen über einen Ersatz dieses Systems. Allerdings wird es noch eine lange Zeit dauern, bis die Sozialversicherungsnummer aus dem Kreditprozess verschwunden sein werden. Einige Staaten sind bereits zur Einführung nationaler, elektronischer Identifikationskarten übergegangen. Mit Hilfe einer schlanken Technologie wird der statische Zahlencode durch digitale Zertifikate ersetzt, die von Natur aus dynamisch angelegt sind und damit erneuert oder ersetzt werden können. Hier wird die Gesetzgebung 2018 den Ball auf breiter Ebene ins Rollen bringen und das statische System voraussichtlich in Rente schicken.

Schlamperei mit Open Source-Sicherheitslücken

Open Source Security Management

Schlamperei mit Open Source-Sicherheitslücken

20.12.17 - Im September 2017 gab das US-amerikanische Wirtschaftsauskunftsunternehmen Equifax – quasi die amerikanische Schufa – einen großen Cybersicherheitsvorfall zu, der möglicherweise rund 150 Millionen US-amerikanische, kanadische sowie britische Konsumenten betrifft und den CEO und Chairman Richard Smith seinen Job kostete. Dieser Vorfall hätte nie passieren dürfen. lesen

Über den Autor: Michael Sutton ist CISO bei Zscaler.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45067549 / Sicherheitsvorfälle)