Security-Trends 2019

Das sind die wichtigsten Sicherheitstrends für 2019

Der Datenklau von zahlreichen Prominenten und Politikern durch einen 20-jährigen Hacker zeigt zweierlei: Dass es erstens mit dem Datenschutz und der Datensicherheit hierzulande immer noch recht trübe aussieht. Und dass zweitens viele Anwender für das Thema IT-Security nach wie vor nicht ausreichend sensibilisiert scheinen.

Daher folgt an dieser Stelle meine bescheidene Einschätzung, welche Sicherheitsthemen in diesem Jahr ganz weit oben stehen werden auf den Agenden der CSO und Security-Experten dieser Welt. Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Trend #1: Neue und bekannte Kennwort-Alternativen

Wie das eingangs erwähnte Beispiel des 20-jährigen Hackers zeigt, gehen vor allem Online-Anwender immer noch viel zu sorglos mit dem Schutz ihrer Webkonten um. Für viele ist es offenkundig einfach zu lästig, sich zumindest ein sicheres Kennwort auszudenken und anzuwenden. Dabei gibt es doch schon heute recht einfache Mittel, wie zum Beispiel die Zwei-Faktor-Authentifizierung. Daher wird ein wichtiger Trend das Implementieren neuer Mechanismen sein, mit denen sich Facebook, Twitter und Co. einfacher und zuverlässiger als bisher gegen Hacker absichern lassen.

Trend #2: Mit IoT-Botnetzen nach Cybergold schürfen

Kryptowährungen sind nicht nur für Erpressungsversuche à la Locky und Co. von großem Interesse für Hacker. Und was macht man, um an dieses virtuelle Geld mit geringem Aufwand heranzukommen? Genau, man lässt es sich von anderen für sich scheffeln, also ganz wie im richtigen Leben. Da gleichzeitig unsichere IoT-Geräte wie Pilze aus dem Boden schießen, werden sich findige Hacker genau diesen Umstand zu nutze machen. Und so werden IoT-Botnetze wie die Schwammerl (bayerisch für: Pilze) sprießen, um auf diesem illegalen Weg die Rechenleistung vieler Onlinerechner für das Schürfen von Cybergold zu missbrauchen. Daher wird der Absicherung von IoT-Gerätschaften und -Netzwerken eine wichtige Rolle zukommen. Was sich als echte Herkulesaufgabe herausstellen wird.

Trend #3: Online-Käufer geraten zunehmend in das Visier von Hackern

Dass das Onlineshoppen bei Amazon und Co. schon lange kein Trend mehr ist, hat sich ja herumgesprochen. Auch bei Hackern, die diesen Umstand für sich zunutze machen, indem sie das Internet nach unsicheren Onlineshops durchforsten, die beispielsweise eine Schwäche beim Kaufprozess aufweisen. Wenn auf solchen Seiten kontinuierlich dutzende von Transaktionen abgewickelt werden, bei denen Anwender ihre Zahlungsdaten hinterlassen, können diese one den richtigen Schutz relativ leicht abgefangen und zu unrechtmäßigen Zwecken genutzt werden. Das Beispiel Ticketmaster vom letzten Jahr hat gezeigt, wie einfach das manchmal ist.

Trend #4: Soundlogger werden Keylogger ablösen

Keylogger kennt man ja. Das sind diese kleinen, fiesen Programme, die Hacker auf einem Rechner installieren, um dann sämtliche Tastasturaktivitäten aufzeichnen zu können. Auf diesem Weg lassen sich allerlei Daten wie Kennwörter, Kreditkartennummer und anderes recht einfach stehlen. Allerdings weist mittlerweile nahezu jedes Anti-Malware-Programm ein Anti-Keylogger-Tool auf, sodass Hacker immer häufiger mit einer Variante aufwarten, die sich Soundlogger nennt. Damit können die Tippgeräusche der Tastatur aufgezeichnet und somit die zugehörigen Daten mittels Anschlagsfrequenz und Lautstärke identifiziert werden. Und das abzuwehren, ist nicht mehr ganz so trivial.

Trend #5: KI modifiziert bestehende Malware selbstständig

Die Künstliche Intelligenz ermöglicht viele nützliche Anwendungen. Allerdings kennen auch Hacker das Potenzial der zugrundeliegenden Technologien und werden sich diese vermehrt zunutze machen. So ist es beispielsweise teilweise schon möglich, dass sich Malware unter Zuhilfenahme von KI-Algorithmen eigenständig und in Echtzeit verändert, was die Identifikation und Eliminierung von schadhafter Software enorm erschwert.

Denkbar sind aber auch andere Ansätze, wie dies IBM im letzten Jahr erfolgreich demonstrieren konnte. Unter dem Namen „Deeplocker“ hat „Big Blue“ eine Schadsoftware entwickelt, die mithilfe von Wannacry über ein Firmennetzwerk verbreitet werden konnte. Das Perfide dabei: Erst, wenn eine bestimmte Bedingung wie die Anwesenheit eines Anwenders erfüllt wurde, hat sich Deeplocker“ eigenständig aktiviert. Auch hier kam die KI zum Einsatz.

Trend #6: Verschlüsselte Cloud-Infrastrukturen

Die DSGVO macht auch vor Cloud-Infrastrukturen halt. Leider herrscht unter vielen IT-Entscheidern immer noch der Irrglaube vor, die Daten auf ihrer Cloud-Plattform – und sei es die eigene, also private Cloud-Umgebung – sind dort vollkommen sicher. Dass dem nicht so ist, liegt eigentlich auf der Hand. Eigentlich. Und so kommt der Absicherung von Cloud-Daten eine immer wichtigere Rolle bei. Unternehmen wie Uniscon, eperi und Delphix haben hierfür die passenden Lösungsansätze in petto, wenn es um das Verschlüsseln und Verschleiern von sensiblen Daten auf Cloud-Plattformen geht.

Trend #7: DSGVO verstärkt im Fokus der Datenschützer

Ein gutes halbes Jahr ist es gerade einmal her, dass die Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Bisher wurden meines Wissens bis auf eine Ausnahme noch keine gravierenden Verstöße gemeldet und drastisch sanktioniert. Allerdings werden die Datenschützer dieser Republik die DSGVO weiterhin ernst nehmen, sodass damit zu rechnen ist, dass es nicht bei dem Fall „Knuddels“ bleiben wird. Daher sollten Unternehmen und Unternehmer das Thema Datenschutz weiterhin sehr ernst nehmen und ihre DSGVO-Hausaufgaben machen. Das Ganze zu ignorieren, wird kein probates Mittel sein.

luckycloud bietet eine sichere und komfortable Cloud-Umgebung

Nützliche Tipps für die richtige Auswahl von sicheren Cloud-Speichern

Bei der Wahl des richtigen Cloud-Service-Providers sind vor allem die Bereiche Sicherheit und Funktionalität zu beachten. Mit diesem Beitrag sollen die wichtigsten Merkmale vorgestellt und gezeigt werden, worin sich die aktuellen Cloud-Angebote unterscheiden.

Zunächst einmal sei darauf hingewiesen, dass sich Begriffe wie „sicherer Cloud-Speicher“ und „kostenloses Cloud-Angebot“ quasi gegenseitig ausschließen. Denn auch die Anbieter von vermeintlich kostenfreien Cloud-Plattformen wollen Geld verdienen. Und das tun sie beispielsweise mit dem Verkauf von Kundendaten oder dem Schalten von Werbung.

Diese und weitere Maßnahmen sind wenig vertrauensbildend, speziell im professionellen Geschäftsumfeld, und sind daher für den sicheren Umgang mit sensiblen Daten ungeeignet. Zudem verstößt das ein oder andere Geschäftsgebaren dieser Cloud-Anbieter gegen geltendes Recht wie der DSGVO.

Sicherheit first: Verschlüsselung, Zwei-Faktor-Authentifizierung und mehr

Das Thema Sicherheit von Cloud-Daten ist ein äußerst umfassendes, was dieser Blogbeitrag nicht umfassend abbilden kann. Allerdings hilft es vor allem weniger erfahrenen Cloud-Anwendern, die wichtigsten Begriffe zu kennen, um diese besser einordnen zu können.

Ende-zu-Ende-Verschlüsselung: Damit ist eine „echte“ Verschlüsselung gemeint, also während des kompletten Datenaustauschs bzw. Speichervorgangs. Es werden also sowohl die Daten auf dem Cloud-Speicher als auch der Transportweg via Internet gegen unliebsame Zugriffe von außen gesichert. Hierbei kommt meist der AES-Algorithmus zum Einsatz. Für dessen Sicherheitsstufe gilt: Je größer die zugehörige Bit-Zahl ist, desto sicherer wird verschlüsselt.

Zwei-Faktor-Authentifizierung: Das Einwählen auf dem Cloud-Speicher wird immer per Kennwort abgesichert, was aber passiert, wenn dieses in die falschen Hände gerät?! Aus diesem Grund sollte am besten eine sogenannte Zwei-Faktor-Authentifizierung eingesetzt werden, bei der neben dem Kennwort eine zweite Sicherheitsstufe eingebaut ist. Das kann das Bestätigen des Login-Versuchs per E-Mail sein, oder am Smartphone wird ein Sicherheitscode darstellt, der in ein entsprechendes Feld eingetragen werden muss.

IT-Infrastruktur in Deutschland: Alleine schon wegen der Einhaltung gesetzlicher Vorschriften sollte der Cloud-Anbieter sein Rechenzentrum entweder in Deutschland oder in einem anderen europäischen Land betreiben.

Open-Source-Software: Was für Experten selbstverständlich ist, löst bei weniger versierten Anwendern möglicherweise ein Stirnrunzeln aus: Der Einsatz von Open-Source-Software, deren Quellcode also öffentlich zugänglich ist. Die Idee dahinter ist jedoch ganz simpel: Nur, wenn ich weiß, wie ein Software-Programm funktioniert, kann ich mir auch sicher sein, dass dort alles mit rechten Dingen zugeht. Daher bauen seriöse Cloud-Anbieter auf Open-Source-Programme wie zum Beispiel Seafile, das Daten auf dem lokalen Computer mit der Cloud-Umgebung synchronisiert.

Datenschutzkonforme Datenverarbeitung: In Zeiten von DSGVO und Co. ist sie fast schon eine Selbstverständlichkeit, die datenschutzkonforme Datenverarbeitung. Denn nur dann kann man sich auch sicher sein, dass die eigenen personenbezogenen Daten und die seiner Kunden auf dem Cloud-Speicher wirklich geschützt sind.

Funktionale Aspekte wie Backups und Snapshots sind ebenfalls wichtig

Neben diesen primären, sicherheitsrelevanten Merkmalen sollte der Cloud-Anbieter der Wahl auch funktionale Aspekte wie regelmäßige Backups, Blockversionierung und Snapshots berücksichtigen. Auf Basis dieser Sicherheitsvorkehrungen kann gewährleistet werden, dass die eigenen Daten in den allerbesten Händen sind und selbst eine technische Störung auf Anwenderseite nicht sämtliche Daten im Nirvana verschwinden lässt.

luckycloud History- und Snapshot-Funktionen

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von luckycloud erstellt und veröffentlicht.

Yasser Eissa, IBM, über IBM-Cloud, Datenschutz und DSGVO

[Videochat] Yasser Eissa über IBM-Cloud, DSGVO und Datensicherheit

Ich durfte wieder einmal in den heiligen Hallen des von mir hoch geschätzten IBM Watson IoT Tower sein. Gefolgt bin ich dabei dem Ruf der Presseabteilung von IBM München, die eingeladen hatte zu einem Pressegespräch. Thema desselben: „Sicher und flexibel – die IBM-Cloud ist fit für 2018“.

Anwesend waren neben einigen Kollegen von der Presse Yasser Eissa von IBM und Patrick Palacin vom Startup-Unternehmen TeleClinic auf München. Mit beiden durfte ich im Anschluss an die sehr lebendige Diskussionsrunde ein Videointerview führen, das mir die Gelegenheit bot, jeweils drei Fragen zu stellen.

httpss://twitter.com/mhuelskoetter/status/956104942611202049

Das Gespräch mit Yasser Eissa war geprägt vom Thema „Sicherheit & Cloud“. Genauer gesagt drehte sich unser Videochat um die Fragen, …

… was der EU Cloud Code of Conduct für Europa bedeutet- und damit auch für IBM

Da gerade in Europa das Thema Datenschutz und Datensicherheit personenbezogener Daten von enormer Wichtigkeit ist, hat es sich die IBM nicht nehmen lassen, den EU Cloud Code of Conduct (EU-CCoC) über einen Zeitraum von etwa vier Jahren aktiv mitzugestalten. Seit Februar 2017 ist diese vornehmlich für Cloud Service Provider gültige Vereinbarung in Kraft getreten. Sie regelt vor allem, wie Datensicherheit und Datenschutz innerhalb der Cloud-Umgebung des jeweiligen Anbieters sichergestellt werden soll – speziell im Hinblick auf die ab 25. Mai 2018 geltenden DSGVO.

Da mit dem EU-CCoC eine Zertifizierung einher geht (die IBM bereits vorweisen kann), können Cloud-Kunden künftig sicherstellen, dass der von ihnen infrage kommende bzw. gewählte Anbieter sämtliche Maßnahmen ergreift, die die notwendigen Sicherheitsstandards im Sinne der EU-Richtlinien gewährleisten kann.

… wie IBM die Cloud-Daten ihrer Kunden vor Zugriffen von außen schützt

Hierbei stellte Herr Eissa erst einmal klar: Die Daten der IBM-Kunden gehören den Kunden selbst, und sonst niemandem! Darüber hinaus gewährleistet IBM, dass die Daten ihrer Kunden IBM Cloud-Rechenzentren in Europa ohne deren Zustimmung nicht verlassen. Zudem hat IBM im Dezember 2017 angekündigt, dass auf das IBM Cloud-Rechenzentren in Frankfurt künftig von außerhalb der EU nicht mehr zugegriffen werden kann. Damit ist der Datenzugriff auf IBM-Mitarbeiter beschränkt, die Daten sind außerdem komplett verschlüsselt.

… wie IBM seine Kunden bei der Umsetzung der zahlreichen DSGVO-Aufgaben unterstützt

Selbstverständlich wird die IBM-Cloud „DSGVO-ready“ sein – alleine schon wegen der Zertifizierung gemäß des EU Cloud Code of Conduct. Darüber hinaus können sich IBM-Kunden in Sachen DSGVO von IBM und den zuständigen Beratungsteams komplett unterstützen lassen. Aber auch erweiternde Sicherheitsmaßnahmen können mithilfe von IBM beim Kunden implementiert und installiert werden. Und diese Angebote werden laut Herrn Eissa bereits von zahlreichen Kunden in Anspruch genommen.

Die Antworten dieser drei Fragen befinden sich auch im nachfolgenden Video. Na dann: Film ab!