:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Ticker als Awareness-Tool für die eigene Webseite Risiko Informationen in Echtzeit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Egal ob es sich um die Abwehr von Schadsoftware, dass Patchen von Schwachstellen oder die Überwachung von Internet-Verbindungen handelt, man muss sich stetig darum kümmern. Gleiches gilt auch für Security Awareness! Eine effektive und aufwandsarme Methode ist es, einen Security-Ticker auf eigenen Webseiten einzubinden.
Ein Security-Ticker auf der eigenen Intranet-Webseite präsentiert den Anwendern Risiko-Informationen, Handlungstipps und interessante Neuigkeiten zu IT-Sicherheit. Der Anwender erhält so relevante Informationen, ohne ihn mit Newslettern zu bombardieren oder eine monatliche Security-Pflichtveranstaltung abzuhalten.
Bei einem Security-Ticker handelt es sich i.d.R. um ein kurzes JavaScript-Programm, das im HTML-Code der eigenen Webseite eingebunden ist. Ruft man dann per Browser die Webseite auf, wird das Script ausgeführt und zeigt eine Information und/oder Grafik innerhalb der Webseite an.
:quality(80)/p7i.vogel.de/wcms/a1/68/a168d12de48cac422fc00886a0e63a1b/30492717.jpeg "\"securityNews-Box“ bietet im Ticker Informationen zu den drei neuesten Security-Updates für verschiedene Betriebssysteme und eine Einschätzung der aktuellen Bedrohungslage.")
:quality(80)/p7i.vogel.de/wcms/05/c2/05c2f3c759cefdefddb641008380ee03/30492716.jpeg "Der Ticker von SecuTeach \"SecuTipp\" bietet kurze Texte, die ein Thema ansprechen und auf eine Lösung verweisen.")
:quality(80)/p7i.vogel.de/wcms/cb/c2/cbc287da834d5100045903bb4258d799/30492516.jpeg "Will man Tweets von bestimmten Quellen auf seiner Webseite einbinden braucht man zunächst einen eigenen Twitter-Account.")
:quality(80)/p7i.vogel.de/wcms/60/87/6087987d434ee06f28d0b605d50a4ed2/30492517.jpeg "Unter dem Punkt “Einstellungen / Widgets / Neu erstellen“ kann man dann auswählen ob man einen bestimmten Twitter-Feed wie zum Beispiel @secinsiderde nutzen will ...")
Diese Security-Information bietet sich bei Webseiten an, die im Umfeld IT Sicherheit aufgestellt sind und tagesaktuelle News zur Verfügung stellen. Auch bei Intranet-Seiten, auf denen der CISO Informationen über IT Sicherheit für die Mitarbeiter präsentieren möchte, ist ein Security-Ticker eine gute Wahl.
Bei jedem Aufruf oder Reload der Webseite wird der Security-Ticker einen aktualisierten Inhalt darstellen. Damit ist das Thema „Sicherheit“ stets im Blickfeld des Anwenders. Ein nützlicher Nebeneffekt ist, dass der Anwender die Informationen auch in seinem eigenen Umfeld anwenden kann. Damit wird langfristig auch die private Sicherheit verbessert, was letztendlich auch einem Unternehmen zugutekommt. Denn oft findet Schadsoftware über den privaten PC oder USB-Speicherstick den Weg in das Unternehmen.
Ticker-Inhalte mit Security-Bezug
Hinter einem Security-Ticker steht ein Betreiber, der die Nachrichten auswählt, aufbereitet und zur Verfügung stellt. Je nach Geschäftsmodell und Ausrichtung des Betreibers gibt es bei den Ticker-Anbietern unterschiedliche Informationsschwerpunkte. Für den DACH-Raum gibt es dabei ein überschaubares Angebot, welches aber erfreulicherweise ein breites Spektrum an Informationen abdeckt.
Informationen zu Malware bieten das „Avira Alert Panel“ der deutschen Antivirus-Firmen Avira. Auch Kaspersky Lab bietet mit seinem „VirusInformer“ relevante Informationen zu Malware.
Die neuesten Computerviren und die Top-Bedrohungen stehen dabei bei beiden Tickern im Mittelpunkt. Beide Ticker-Scripts präsentieren die Nachrichten mit Links zu Detailinformationen. Die Informationen selbst werden in einem Rahmen mit einem Hersteller-Header angezeigt.
Informationen zu Security-Updates bietet die „securityNews-Box“ vom „Marktplatz Sicherheit“ via it-Sicherheit.de. Dieser optisch ansprechende Ticker bietet Informationen zu den drei neuesten Security-Updates für verschiedene Betriebssysteme und eine Einschätzung der aktuellen Bedrohungslage. Per Link gelangt man auf die Webseite des Betreibers und erhält das ganze Set an Informationen, aus dem der Ticker nur eine kleinen Teil präsentiert.
Die securityNews-Box kann nicht für die eigenen Bedürfnisse angepasst bzw. konfiguriert werden. Das PHP-Script, welches die Informationen liefert, wird per <iframe> in der eigenen Webseite eingebunden.
Informationen zur Online-Sicherheit bietet DSiN (Deutschland sicher im Netz) mit seinem „Sicherheitsbarometer“. Eine Grafik, die mit einer Ampelfarben-Symbolik das aktuelle Risiko darstellt vermittelt ist der zentrale Bestandteil des Tickers. Die Informationsgrafik kann wahlfrei senkrecht oder waagrecht abgebildet werden, wie es besser für die Einbindung in die eigene Webseite passt.
Informationen zu Sicherheit allgemein offeriert „SecuTipp“. SecuTipp bietet kurze Texte, die ein Thema ansprechen und auf eine Lösung verweisen, wie z.B.: „Zu viele Passworte – nutzen Sie eine Passwort-Verwaltungsprogramm (Empfehlung Produktlink)“. SecuTipp gibt nur Text aus, so dass dieser passend zur Webseite (z.B. per CSS-Design) angepasst werden kann.
Informationen zu Fachbegriffen bietet das Wiki Secupedia. Dieses Nachschlagewerk unterstützt auch per „Secupedia Embedding“ einen Ticker-Mechanismus, der Inhalte aus diesem Wiki anzeigt. Dabei können alle Fachwörter als Anzeigebasis genutzt werden oder ein von drei Kategorien. Wählt man „IT-Security“, werden nur Begriffe aus diesem Themenbereich angezeigt und keine aus „Brandschutz“ oder „Security“.
Wie alle unterschiedlichen Security-Ticker auf einer Webseite aussehen, können Sie auf einen Blick auf der SecuTeach Beispiel-Webseite sehen.
Security-Informationen ohne Ticker per Twitter und RSS
Wer keinen passenden Ticker findet, kann auch auf Alternativen ausweichen. Eine mögliche Alternative ist es, die Tweets eines geeigneten Informations-Anbieters auf der Webseite einzubinden.Dazu benötigt man nur einen Twitter-Account über den man per “Einstellungen, Widgets, Neu erstellen“ ein Script zur Anzeige von Tweets auf der eigenen Webseite zu generieren.
Wählt man dann als Informationsquelle @secinsiderde aus, erhält man alle veröffentlichten Informationen von Securty-Insider.de. Sind dann alle Einstellungen getroffen, wählt man <Widget erstellen> aus und kann den generierten Code in seine eigene Webseite einbinden.
RSS-Feeds einbinden
Ebenso wie Twitter kann man auch einen RSS-Feed auf der eigenen Webseite als Security-Ticker einbinden. Üblicherweise benötigt man dafür nur einen RSS-Parser, also ein Konvertierungstool, welches aus RSS-Feeds einen darstellbaren Text generiert. Im Web ist dazu eine Vielzahl von Tools verfügbar – ggf. kann auch Ihr Web-Designer ein Werkzeug empfehlen.
Eine schnelle Umsetzung, um z.B. den RSS-Feed von Security-Insider.de auf der eigenen Webseite darzustellen bietet Feed2JS (Feeds To JavaScript).
Bei diesem Tool gibt man auf der „Build-Seite“ die gewünschte RSS-Eingabequelle an, einige optionale Parameter und erhält dann nach einem Mausklick auf „Generate JavaScript“ auf der rechten Bildschirmseite sein fertiges JavaScript.
Dieser Code kann dann wieder in die eigene Webseite eingebaut werden. Feed2JS ist ein zuverlässiges Werkzeug, allerdings gilt hier, wie bei Twitter, sollten die Services nicht zur Verfügung stehen, erfolgt auch keine Anzeige von Informationen. Wer dieses Risiko minimieren will, sollte daher mittelfristig eine Lösung einbauen, die von Dritten unabhängig funktioniert.
Tweets oder RSS-Informationen sind, abhängig vom Lieferant, ggf. nicht so spezifisch wie ein Security-Ticker, erfüllen aber prinzipiell auch den Informationsbedarf.
Sicherheitsbedenken
Die vorgestellten Security-Ticker erfordern mindestens zwei Dinge um zu funktionieren. Zum ersten eine JavaScript-Unterstützung durch den Browser und zweitens Vertrauen in den Betreiber des Ticker-Systems.
JavaScript ist inzwischen meistens aktiviert, weil viele Webseiten ohne JavaScript gar nicht mehr funktionieren. Wie es um das Vertrauen in den Betreiber aussieht, muss jeder für sich selbst entscheiden.
Generell bindet man Programmcode von einer fremden Quelle in die eigene Seite ein. Heute ist es ein guter Code, aber in einem Monat könnte dieser durch eine Cyber-Attacke ausgetauscht werden und völlig andere Inhalte liefern oder andere Aktivitäten ausführen (weiterleiten auf eine Phishing-Seite etc.). Ein derartiges Szenario ist nicht exklusiv mit einem Security-Ticker verbunden, sondern betrifft zahlreiche Fremd-Komponenten, die man einbindet.
Wer dieses Risiko minimieren will, muss entweder auf Fremd-Komponenten verzichten oder versuchen, die Fremd-Komponenten in seinem eigenen Umfeld zu betreiben. Dies wäre z.B. möglich, indem man eigene Skripte verwendet oder Fremdinhalte „mietet“ und diese dann selbst zur Verfügung stellt.
Fazit
Richtig ausgewählt und eingesetzt, können Security-Ticker dazu beitragen, Sicherheitsinformationen zu vermitteln und damit die Security-Awareness von Mitarbeitern und/oder Webseiten-Besuchern zu verbessern.
(ID:42455557)
:quality(80)/p7i.vogel.de/wcms/9c/d4/9cd47aba89f43f3c74f4bd2571701770/0110151900.jpeg "Wir stellen zehn OSINT-Tools vor, die auch für die Herausforderungen in 2023 eine wertvolle Hilfe sein können. (Bild: Who is Danny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/e1/09e137276ddb42814b7f681b0a325ce4/0109649440.jpeg "Datenschutz bei Websites lässt sich nicht nur auf die Cookie-Problematik reduzieren. Das Thema ist so vielschichtig wie auch die Gestaltung und der Betrieb von Webseiten. (Bild: Rutmer - stock.adobe.com)")