Kategorie: Sicherheit

Aktuelle News und Infos rund ums Thema IT-Security

ISO 27001 und C5: – Entmystifiziert, Anwendbar und Kontinuierlich Verbessert

veröffentlicht am: 27. Februar 2025 unter: News Sicherheit

ISO 27001 und C5: Dein Sicherheits-Game-Changer – Entmystifiziert, Anwendbar und Kontinuierlich Verbessert

Zertifizierungen im Bereich der Informationssicherheit können abschreckend wirken. Begriffe wie „ISO 27001“ und „C5“ schwirren im Raum, komplexe Anforderungen scheinen sich aufzutürmen, und die Angst vor einem unüberschaubaren Aufwand hält viele Unternehmen davon ab, den nächsten Schritt in ihrer Sicherheitsstrategie zu gehen. Aber keine Sorge, dieser Artikel ist Dein persönlicher Guide, um diese vermeintlichen Hürden zu meistern und die Vorteile einer Zertifizierung für Dein Unternehmen zu nutzen. Denk dran: Informationssicherheit ist nicht statisch, sondern ein Prozess der kontinuierlichen Verbesserung.

Was sind ISO 27001 und C5 überhaupt?

  • ISO 27001: Die internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie legt fest, wie Du Informationssicherheit in Deinem Unternehmen planst, umsetzt, überwachst und kontinuierlich verbesserst. Kurz gesagt: Dein Fahrplan für einen umfassenden Schutz Deiner Daten, der sich stetig weiterentwickelt.
  • C5 (Cloud Computing Compliance Controls Catalog): Ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Standard speziell für Cloud-Sicherheit. Er hilft Cloud-Anbietern und -Nutzern, ein angemessenes Sicherheitsniveau in der Cloud zu gewährleisten. Quasi das „TÜV-Siegel“ für Deine Cloud-Dienste. Wichtig: C5 ergänzt ISO 27001 und ist kein Ersatz dafür.

Warum solltest Du Dich damit beschäftigen?

  • Vertrauen und Transparenz: Eine Zertifizierung signalisiert Kunden, Partnern und Investoren, dass Du Informationssicherheit ernst nimmst. Das schafft Vertrauen, Transparenz und verschafft Dir einen Wettbewerbsvorteil gegenüber Unternehmen ohne Zertifizierung.
  • Risikominimierung: ISO 27001 und C5 helfen Dir, Risiken zu identifizieren, zu bewerten und zu minimieren. Konkret schützt Du Dein Unternehmen vor Datenverlust durch Ransomware-Angriffe, unbefugtem Zugriff auf Kundendaten in der Cloud und anderen Bedrohungen.
  • Compliance und Prozessoptimierung: In vielen Branchen sind Zertifizierungen mittlerweile Pflicht. Mit ISO 27001 und C5 erfüllst Du regulatorische Anforderungen (ISO 27001 dient als Basis für Standards wie TISAX oder PCI DSS) und optimierst gleichzeitig Deine internen Prozesse.
  • Neue Anregungen: Ergänze die Vorteile um den Punkt der Prozessoptimierung. Durch die Implementierung eines ISMS werden interne Prozesse oft effizienter und transparenter.

Praxisnahe Tipps für die Umsetzung:

  1. Fang mit einer Gap-Analyse klein an: Du musst nicht gleich alles auf einmal umsetzen. Starte mit einer Gap-Analyse, um die größten Lücken in Deiner bestehenden Sicherheitsarchitektur zu identifizieren.
  2. Nutze Vorlagen, Tools und Rahmenwerke: Es gibt zahlreiche Vorlagen, Checklisten, Software-Tools und Rahmenwerke wie das NIST Cybersecurity Framework oder COBIT, die Dir die Umsetzung erleichtern.
  3. Beziehe Deine Mitarbeiter aktiv ein und mache sie zu Sicherheitsexperten: Informationssicherheit ist eine Teamaufgabe. Schaffe Bewusstsein, biete Schulungen und Workshops an, und beziehe Deine Mitarbeiter von Anfang an aktiv mit ein.
  4. Hol Dir Unterstützung und nutze Vorab-Audits: Scheue Dich nicht, externe Berater hinzuzuziehen. Sie bringen Expertise und Erfahrung mit und können Dir wertvolle Tipps geben. Nutze die Möglichkeit eines Vorab-Audits, um Schwachstellen vor der eigentlichen Zertifizierung zu erkennen.
  5. Bleib am Ball und plane regelmäßige interne Audits: Informationssicherheit ist ein kontinuierlicher Prozess. Überwache Dein ISMS regelmäßig und passe es an neue Bedrohungen an. Plane regelmäßige interne Audits ein, um die Wirksamkeit des ISMS zu überprüfen und Verbesserungspotenzial zu identifizieren.

Checkliste: Die ersten Schritte zur Zertifizierung

  • Stakeholder-Analyse: Identifiziere alle relevanten Stakeholder (intern und extern) und berücksichtige ihre Sicherheitsanforderungen.
  • Bestandsaufnahme: Analysiere Deine aktuelle Sicherheitslage. Wo stehst Du? Welche Lücken gibt es?
  • Risikobewertung: Identifiziere die größten Risiken für Deine Informationen.
  • Konzeption: Entwickle ein ISMS, das auf Deine individuellen Bedürfnisse zugeschnitten ist.
  • Schulung: Plane regelmäßige Schulungen für alle Mitarbeiter.
  • Umsetzung: Setze die geplanten Maßnahmen um.
  • Notfallplanung: Entwickle einen Notfallplan für den Fall eines Sicherheitsvorfalls.
  • Überwachung: Überwache Dein ISMS regelmäßig und passe es an.
  • Kontinuierliche Verbesserung: Plane regelmäßige interne Audits ein, um die Wirksamkeit des ISMS zu überprüfen und Verbesserungspotenzial zu identifizieren.
  • Zertifizierung: Lass Dein ISMS von einer akkreditierten Zertifizierungsstelle prüfen und zertifizieren.

Fazit:

ISO 27001 und C5 sind keine unüberwindbaren Hürden, sondern wertvolle Investitionen in die Zukunft Deines Unternehmens. Sie schützen nicht nur vor Risiken, sondern schaffen auch Wettbewerbsvorteile, fördern das Wachstum und sorgen für das Vertrauen Deiner Kunden. Starte noch heute und mach Deine Informationssicherheit zum Game-Changer! Für weitere Informationen stehe ich Dir gern zur Verfügung.

(Image by freepik)

Die dunkle Kunst der Manipulation: Wie Trickbetrüger Deine Psyche hacken

veröffentlicht am: 23. Februar 2025 unter: Sicherheit

In einer Welt, in der Informationen Gold wert sind, haben Trickbetrüger ihre Methoden verfeinert, um an Deine wertvollsten Daten zu gelangen. Dabei setzen sie auf ausgeklügelte psychologische Tricks, die selbst die Vorsichtigsten unter uns in die Falle locken können. Sei wachsam, denn die nächste Attacke könnte näher sein, als Du denkst.

Die Macht der Autorität

Erinnerst Du Dich an den Fall des falschen Microsoft-Mitarbeiters, der 2022 für Schlagzeilen sorgte? Ein Betrüger gab sich als Support-Mitarbeiter aus und überzeugte ahnungslose Opfer, ihm Fernzugriff auf ihre Computer zu gewähren. Das Resultat: Gestohlene Bankdaten und leere Konten. Die Täter nutzten geschickt unseren antrainierten Respekt vor Autoritäten aus.

Tipp: Vertraue niemals blind jemandem, nur weil er vorgibt, eine Autoritätsperson zu sein. Verifiziere immer die Identität, bevor Du sensible Informationen preisgibst.

Die Kunst des Social Engineering

Christopher Hadnagy, ein renommierter Experte für Social Engineering, beleuchtet in seinen Büchern die psychologischen Mechanismen, die Trickbetrüger ausnutzen. In seinem Werk „Social Engineering: The Science of Human Hacking“ erklärt er:

„Social Engineering ist die Kunst, menschliches Verhalten zu manipulieren, um ein bestimmtes Ziel zu erreichen.“

Hadnagy betont, dass Betrüger oft auf grundlegende menschliche Eigenschaften wie Hilfsbereitschaft, Neugier oder Autoritätsgläubigkeit abzielen. In „Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails“ warnt er:

„Die erfolgreichsten Phishing-Angriffe spielen mit unseren Emotionen und unserem Vertrauen in scheinbar vertrauenswürdige Quellen.“

Diese Einsichten helfen Dir, die Taktiken der Betrüger besser zu verstehen und Dich dagegen zu wappnen. Hadnagy empfiehlt:

„Entwickle eine gesunde Skepsis. Hinterfrage unerwartete Anfragen, vor allem wenn sie dringend erscheinen oder nach sensiblen Informationen fragen.“

Der Enkeltrick 2.0

Stell Dir vor, Du erhältst eine WhatsApp-Nachricht von einer unbekannten Nummer: „Hallo Mama, mein Handy ist kaputt. Das ist meine neue Nummer. Kannst Du mir bitte Geld leihen?“ Das Landeskriminalamt Niedersachsen warnte im März 2023 vor dieser neuen Variante des Enkeltricks. Allein in diesem Bundesland gab es über 1.300 Fälle, bei denen Betrüger so mehr als 2,5 Millionen Euro erbeuteten.

Der Zeitdruck-Trick

„Nur noch heute! Schnell handeln!“ – Kennst Du solche Phrasen? Betrüger setzen oft auf künstlichen Zeitdruck, um rationales Denken auszuhebeln. Ein prominentes Beispiel ist der „CEO Fraud“, bei dem sich Kriminelle als Vorgesetzte ausgeben und dringende Überweisungen anordnen. 2021 verlor ein deutsches Unternehmen so mehrere Millionen Euro.

Tipp: Nimm Dir Zeit zum Nachdenken. Legitime Anfragen vertragen in der Regel einen kurzen Aufschub zur Überprüfung.

Falsche Polizisten am Telefon

„Hier spricht die Polizei. In Deiner Nachbarschaft wurde eingebrochen. Wir müssen Deine Wertsachen sicherstellen.“ So oder ähnlich beginnen oft Anrufe von Trickbetrügern. Das Polizeipräsidium Unterfranken berichtete im Januar 2024 von einer Welle solcher Anrufe. In einem Fall verlor ein 82-Jähriger so 45.000 Euro.

Das Prinzip der Reziprozität

Hast Du schon einmal eine „kostenlose“ Dienstleistung angeboten bekommen, nur um dann nach persönlichen Daten gefragt zu werden? Dieses Prinzip der Gegenseitigkeit nutzen Betrüger aus, um an Deine Informationen zu kommen. Ein Beispiel sind gefälschte Gewinnspiele in sozialen Medien, die 2023 vermehrt auftraten.

Tipp: Sei vorsichtig bei unerwarteten Geschenken oder Gewinnen. Oft steckt mehr dahinter, als auf den ersten Blick ersichtlich ist.

Gefälschte Paket-SMS

Du bekommst eine SMS: „Dein Paket wurde nicht zugestellt. Bitte klicke hier, um die Zustellung zu organisieren.“ Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte im Dezember 2023 vor solchen SMS. Klickst Du auf den Link, installierst Du unwissentlich Schadsoftware, die Deine Bankdaten ausspäht.

Die Macht der sozialen Bestätigung

„Tausende zufriedene Kunden können nicht irren!“ – Solche Aussagen sprechen unser Bedürfnis an, uns der Masse anzuschließen. Phishing-Kampagnen, die sich als populäre Dienste tarnen, nutzen diesen Trick. 2022 fielen so zahlreiche Nutzer auf eine gefälschte Netflix-Kampagne herein, die Kreditkartendaten abgriff.

Tipp: Lass Dich nicht von Zahlen blenden. Überprüfe immer die Quelle und die Echtheit von Angeboten.

Das Ausnutzen von Emotionen

Angst, Gier oder Mitgefühl – starke Emotionen können unser Urteilsvermögen trüben. Denk an die Welle von Betrugsversuchen während der COVID-19-Pandemie. Kriminelle gaben vor, für Hilfsorganisationen zu sammeln und erbeuteten so sensible Daten und Geld von gutgläubigen Spendern.

Tipp: Bleib sachlich, besonders wenn Gefühle im Spiel sind. Überprüfe Spendenaufrufe immer bei den offiziellen Organisationen.

Praktische Tipps zur Selbstverteidigung

Basierend auf Hadnagys Erkenntnissen hier einige praktische Tipps:

  1. Vertraue Deinem Bauchgefühl: Wenn etwas seltsam erscheint, ist es das wahrscheinlich auch.
  2. Verifiziere unerwartete Kontakte: Rufe die Organisation oder Person unter einer Dir bekannten Nummer zurück.
  3. Sei vorsichtig mit persönlichen Informationen: Überlege zweimal, bevor Du sensible Daten preisgibst.
  4. Bleib informiert: Lerne über aktuelle Betrugsmaschen und teile Dein Wissen mit anderen.

Hadnagy betont in „Human Hacking: Win Friends, Influence People, and Leave Them Better Off for Having Met You“:

„Wahres Social Engineering sollte Menschen helfen und sie besser zurücklassen, als man sie vorgefunden hat.“

Indem Du Dich mit den Techniken der Betrüger vertraut machst, kannst Du nicht nur Dich selbst, sondern auch Deine Mitmenschen schützen.

Fazit: Bleib skeptisch und informiert

Die Tricks der Betrüger werden immer raffinierter, aber mit Wachsamkeit und kritischem Denken kannst Du Dich schützen. Christopher Hadnagy fasst es treffend zusammen:

„Bildung ist der Schlüssel zur Verteidigung gegen Social Engineering. Je mehr wir verstehen, wie diese Angriffe funktionieren, desto besser können wir uns dagegen wappnen.“

Denk immer daran: Wenn etwas zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch. Informiere Dich regelmäßig über aktuelle Betrugsmaschen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet dazu wertvolle Ressourcen. Und vergiss nicht: Deine persönlichen Daten sind Dein wertvollstes Gut im digitalen Zeitalter. Schütze sie, als hinge Dein Leben davon ab – denn in gewisser Weise tut es das.

Bleib sicher und skeptisch!

QR-Codes sind ja so bequem – ABER auch sicher?

QR Code fotografierende Lady
veröffentlicht am: 24. Januar 2022 unter: News Sicherheit


QR = quick response oder „quite risky“
Die kleinen Dinger sind ja so bequem und allgegenwärtig, aber wie kann man sich schützen? Genau darüber informiert der Artikel.
Kaspersky Deutschland verweist in dem Blogbeitrag auch auf den zunehmenden Missbrauch von QR-Codes hin.

Bildquelle:Technology vector created by stories – www.freepik.com

Cyberabwehr für KMU? – Ist das erforderlich?

veröffentlicht am: 22. Januar 2022 unter: News Sicherheit

Immer wieder höre ich die Aussage – „Wir sind so klein, wer sollte sich für uns interessieren“
Aber ist diese Aussage in Zeiten von APT ( Advanced Persistent Threats), allgegenwärtiger Ransomware und vielen anderen Schadsoftwareprodukten wirklich zutreffend?
Ich sage klar – NEIN!

Auch ein aktueller Artikel von security-insider.de beschäftigt sich damit. Schaut doch einfach mal rein.

Windows-Schadsoftware kann jetzt auch macOS treffen

veröffentlicht am: 23. Juli 2021 unter: News Sicherheit

Das Onlineportal heise.de verweist in einem Artikel auf die Möglichkeit von Schadsoftware für Geräte die unter macOS laufen.
https://heise.de/-6145193
So wird einmal mehr deutlich, dass der Mythos vom ach so sicheren MAC leider keinen Bestand hat.

Auf dem Weg zum Superhelden ;-) – Freiräume nutzen

veröffentlicht am: 4. April 2020 unter: News Sicherheit
Man vector created by freepik – www.freepik.com

Jetzt ist die Zeit – ich nutze die Freiräume sehr intensiv zur Weiterbildung und Qualifikation, um den Kunden der mytag GmbH noch besser Unterstützung bieten zu können.
Das bedeutet, lernen, testen, Prüfungen absolvieren. In der vergangenen Woche lag der Schwerpunkt auf der Sicherung der Daten.
Egal wo die Dokumente und Daten entstehen, ob zu Hause im Homeoffice oder im Büro, für den Fall der Fälle ist ein Backup sinnvoll.
Kommt es zu einem Ausfall, dann ist es egal ob die einzelne Datei oder möglicherweise der ganze PC / Server benötigt wird. Dank unserer Hilfe sind alle Daten perfekt gesichert und stehen kurzfristig wieder zur Verfügung.

Wie das geht zeige ich Euch gern persönlich oder in einer Onlinepräsentation.

Ist Ihr Zugang dicht?

veröffentlicht am: 31. März 2020 unter: News Sicherheit

Ein Virus stellt unsere (Arbeits-)Welt auf den Kopf: In Zeiten von Covid-19 muss ein ganzes Land von einem Tag auf den anderen ins Home-Office. Machen auch Sie sich nicht nur Gedanken um die Gesundheit Ihrer Mitarbeiter, sondern auch um die Sicherheit Ihrer Daten und Systeme? Vom VPN-Tunnel bis zu Cloud- oder Web-Anwendungen – gerade jetzt sollten die Zugänge dichthalten und Fremdzugriffe verhindert werden.

In Fragen IT-Sicherheit können Sie sich auf uns verlassen! Mit ESET Secure Authentication in idealer Kombination mit Yubikey von Yubico machen Sie Ihr Unternehmen binnen einer Stunde an- und zugriffssicher. Dafür stellt ESET seine Multi-Faktor-Authentifizierung für sechs Monate kostenlos zur Verfügung und wir stellen Ihnen gern zum Test die erforderliche Hardware von Yubico bereit. Profitieren Sie von:

  • Unkompliziertes Management: Innerhalb weniger Minuten einsatzbereit mit zentraler Verwaltung über eine Web-Konsole
  • Keine zusätzliche Hardware-Anschaffungen nötig: Integration in bestehende Smartphones, FIDO-Hardware (Yubikey) oder andere Tokens
  • Verschiedene Authentifizierungsoptionen: z.B. Push-Benachrichtigung oder Einmal-Passwort
  • Weiter Anwendungsbereich: Desktop-Logins, SingleSignOns, Cloud- und Web-Applikationen wie Office 365 oder Dropbox, VPNs uvm.
  • Passwortlose Anmeldung: Dank Einbindung von FIDO-Sticks (Yubikey) oder Windows Hello sowie Unterstützung der Smartphone-eigenen Authentifizierungsoptionen (Touch ID, Face ID oder Android Fingerprint)

Sie möchten ESET Secure Authentication testen? Gerne stelle ich Ihnen die kostenlose Vollversion für 180 Tage bereit.

Bei weiteren Fragen stehe ich gerne zur Verfügung.

Leitlinien zu Heimarbeit und Datenschutz veröffentlicht Plötzlich Heimarbeit und niemand kümmert sich dabei um Datenschutz. Das Landeszentrum für Datenschutz Schleswig-Holstein hilft weiter.

veröffentlicht am: 25. März 2020 unter: News Sicherheit

24.03.2020 15:36 UhriX Magazin

Das iX Magazin informiert über erste Reaktionen der Datenschützer auf die aktuelle Situation.
Hier die Links zum Artikel und zu den Vorgaben der Datenschutzbehörden

iX-Magazin

Regeln und Maßnahmen für das Arbeiten zu Hause

Sonderinformationen zum Datenschutz in Sachen Corona

Homeoffice wird durch Coronavirus zum Ziel von Hackern

veröffentlicht am: 23. März 2020 unter: News Sicherheit

Es kommt wie es zu erwarten war. Homeoffice wird für viele Firmen und deren Angestellte zum Alltag. Dadurch steigt auch die Gefahr, dass die Mitarbeiter eines Unternehmens Opfer von Phishing-Attacken und Hackern werden.

Was kann das Unternehmen tun, um trotzdem ein Höchstmaß an Sicherheit zu bieten. Die G DATA CyberDefense AG , deren Partner wir sind, hat hilfreiche Informationen für jedermann bereitgestellt.
G DATA CyberDefense AG

  • Stellen Sie den Mitarbeitern für die Heimarbeit firmeneigene Geräte zur Verfügung. Firmendaten haben auf Privatgeräten nichts zu suchen. Ebenso sollten Privat-PCs niemals über VPN ins Firmennetz gestellt werden, da niemand gewährleisten kann, dass alle Rechner die Sicherheitsvoraussetzungen erfüllen. 
  • Aktivieren Sie auf Home-Office-Geräten die Festplatten-Verschlüsselung. So führt selbst der Verlust eines Gerätes nicht zu einem Datenschutzproblem. 
  • Stellen Sie ein VPN für die Verbindung ins Firmennetz zur Verfügung.
    So macht es keinen Unterschied, ob ein/e Mitarbeiter/in im Büro oder am heimischen Schreibtisch sitzt. Hier ist zuerst die IT-Abteilung gefragt, die die Zugänge lizenzieren, einrichten und bereitstellen müssen.
  • Aktivieren Sie die Mehrfaktoranmeldung für das VPN.
    Auch dies ist Aufgabe der IT-Abteilung.  Es gibt verschiedene Möglichkeiten, vom Einsatz von Hardware-Tokens zum Beispiel in Form eines USB-Sticks bis zur OTP-App. Diese generieren für jede Anmeldung ein einmaliges und nur für die jeweilige Anmeldung gültiges Passwort. 
  • Definieren Sie klare Anforderungen für Zugriffe. Ein VPN-Zugang nützt nichts, wenn ein Mitarbeiter/eine Mitarbeiterin nicht auf Dateien innerhalb des Netzwerkes zugreifen bzw. Anwendungen remote nicht nutzen kann.
  • Konfigurieren Sie (falls vorhanden) auch die VoIP-Telefonie so, dass sie aus der Ferne funktioniert. Alternativ: Richten Sie entsprechende Rufumleitungen ein. 
  • Falls es nicht möglich ist, dem jeweiligen Mitarbeiter ein entsprechend vorkonfiguriertes Notebook zur Verfügung zu stellen: Auch ein Remotedesktop-Server (auch Terminalserver genannt) ist im Notfall eine gangbare Lösung. Hier gilt es nur, entsprechende Serverkapazitäten und ausreichend Bandbreite zur Verfügung zu stellen.
    Doch Vorsicht: Nur einen RDP-Server ins Netz zu stellen, kann zur Falle werden. Viele Sicherheitsvorfälle aus der jüngeren Vergangenheit lassen sich auf unzureichend abgesicherte RDP-Server zurückführen. Ideal wäre in diesem Fall eine Kombination aus RDP und VPN. So muss ein Mitarbeiter sich zunächst mit einem Unternehmens-VPN verbinden, um schließlich auf den Terminalserver zu kommen.
  • Verwenden Sie eine sichere Chat-Umgebung für den nonverbalen Austausch der Kollegen. Idealerweise sollte hier eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommen. Viele Chat-Umgebungen lassen außerdem den sicheren Austausch von Dateien zu.

Und beachten Sie immer – auch wenn Sie zu Hause sitzen – Sie sind immer mit dem Firmennetzwerk verbunden.