(Quelle: Trend Micro)

Aha, da isser! Für alle, die jetzt erschrecken, weil sie dieses Bild letztens auch nach dem Websurfen auf Ihrem Rechner entdeckt haben, gibts drei gute Nachrichten:

1. Nein, Sie wurden nicht wirklich erwischt. Das ist das Werk von Kriminellen!
2. Der Trojaner beißt nicht, der will nur spielen – am liebsten mit Ihrem Geld – aber er lässt sich leicht entfernen.
3. Und das Wichtigste: es gibt auch mit dem Trojaner infizierte Webseiten, die keine zweifelhafte Herkunft haben, und deren Besuch einen nicht sofort als Latexfetischisten,  Islamist oder FDP-Mitglied outet. Das kann einem auch bei ganz ehrbaren Webseiten von Einzelhandelsunternehmen passieren. Sie können sich also entspannen, Sie haben jetzt eine Ausrede!

Ach so, ich sollte noch erwähnen, dass der Trojaner, dem Namen zum Trotz, NICHT von der Polizei stammt, sondern das Werk krimineller Hacker ist. Und eins noch: NICHT BEZAHLEN! Wenden Sie sich lieber an einen IT-Sicherheitsberater Ihres Vertrauens (kleiner Hinweis: mal bei apsec fragen!). Der kann Ihnen sagen, was zu tun ist.

So, die Shrimpscocktails sind abgeräumt, gleich ist Mittagspause. Mal schauen, was es nach der Pause Neues gibt und welche Themen der IT-Security in der Mittagspause die Gespräche beherrschen. Vielleicht ist’s ja Sicherheit beim Cloud Computing. Hybridlösungen gar. Wär ja was. Ansonsten schaue ich halt noch ein bisschen im Netz.

Upps, jetzt ist der Rechner gesperrt. Da steht, ich hätte angeblich online eine große Anzahl Erwachsenenwindeln bestellt und die Polizei hat’s bemerkt! Wusste gar nicht, dass sowas verboten ist.

Naja, geh ich halt beim nächsten Mal wieder selbst in den Supermarkt.

Huch, da hätte ich ja fast ein Thema verpasst. Verdammte Axt! By the way, was macht eigentlich Lena Meyer-Landrut? Aber das ist ein anderes Thema…

Nun also, wenn auch verspätet, zitieren wir aus der Welt online:

EU droht Firmen mit Strafen bei Datenschlamperei

Datenschutzlecks dürfen nicht mehr unter den Teppich gekehrt werden. Künftig müssen Unternehmen nach dem Willen der EU alle Attacken anzeigen. Ansonsten drohen den Firmen strafrechtliche Maßnahmen.

Die EU nimmt beim Kampf gegen Internetkriminalität die Privatwirtschaft in die Pflicht. So sollen Unternehmen verpflichtet werden, eigene Sicherheitsmaßnahmen gegen Hackerangriffe zu ergreifen.

Tun sie das nicht, drohen empfindliche Geldbußen. So steht es in einem fraktionsübergreifend vereinbarten Textvorschlag, den der zuständige Innenausschuss des Europaparlaments am Dienstag beschließen will und der “Welt Online“ vorab vorliegt.

Sollte ein Unternehmen es unterlassen, einen angemessenen Schutz für ihm anvertraute Daten zu gewährleisten und entstehe aus einem Angriff beträchtlicher Schaden , sollten Mitgliedsländer der EU „abschreckende Sanktionen ergreifen“ und es „strafrechtlich belangen“, heißt es darin. (Ende des Zitats)

Ei verbibbsch, sagt da der Sachse in uns, da fährt doch sicher allen jetzt der Schrecken in die Glieder! Haben die Knaben in Brüssel jetzt auch schon gemerkt, dass mit der IT-Sicherheit in Unternehmen etwas im Argen liegt. Ganz schon fix die Burschen, Donnerwetter!

Warum nicht mal dem Schaden vorbeugen? So zur Abwechlung.

Naja, es ist sicher löblich, dass sich das EU-Parlament jetzt des Themas annimmt und auch die Unternehmen in die Pflicht nehmen will, aber die Methoden, die das Problem in den Griff bekommen sollen, tragen doch schon jetzt bereits wieder die Charakteristiken des Scheiterns in sich. Es wird mal wieder mit Strafen gedroht, wenn man sich bei Datenschlamperei erwischen lässt und wenn dadurch ein Schaden entsteht. Die Formulierung lässt jedoch offen, wann wirklich ein Schaden entstanden ist. Wenn ein Hacker eine Firewall durchbricht und im Intranet den Plan der Werkskantine derart abändert, dass statt Schnitzel jetzt Tofuwurst auf dem Speiseplan steht? Zugegeben, das könnte in manchen Firmen zu Aufständen der Beschäftigten führen, vor allem in Nordhessen!

Oder erst, wenn Tausende von Kreditkartennummern verschwinden, wie zuletzt bei Global Payments? Und vor allem: wer nicht glaubt, Opfer einer Hackerattacke zu werden – oder auch einfach nur einer Schlamperei eines eigenen Angestellten, der es mit der IT-Sicherheit nicht so genau nimmt – der sieht auch kein gesteigertes Risiko darin, hinterher zusätzlich von der EU belangt zu werden!

Das ist die Krux, die bei allen Forderungen nach höheren Strafen, egal in welchem Zusammenhang, immer wieder das an sich löbliche Vorhaben nach mehr Schutz scheitern lässt. Solange nicht die Kontrollen erhöht werden und schon Strafen bei potenzieller Schlamperei in der Vorbeugung ausgesprochen werden, sondern erst nachdem ein Schaden wahrhaftig aufgetreten ist, solange bleibt die Strafandrohung ein zahnloser Tiger! Oder hat die Anzeigepflicht nach §42a BDSG, die seit über zwei Jahren in Kraft ist, bei Unternehmen in Deutschland etwa wirklich für einen höheren Stellenwert des Datenschutzes gesorgt? Welches Unternehmen setzt denn, wie in den technisch-organisatorischen Maßnahmen (TOM) in der Anlage zu §9 empfohlen, Verschlüsselung für alle personenbezogenen Daten ein? Wenn Sie eines kennen, sagen Sie mir bitte Bescheid, dann will ich es hier in aller Öffentlichkeit lobpreisen! Aber natürlich erst nach einer Kontrolle, ob das auch stimmt!

Wenn diese Forderung zu hoch gegriffen ist, dann dürfen sich auch alle melden, die nach der letzten Erhöhung der Bußgelde für Vergehen im Straßenverkehr tatsächlich nie wieder auf der Autobahn von hinten von einem auffahrenden Wagen angeblinkt wurden, weil Sie es gewagt hatten, mit nur 160 km/h auf der linken Spur zu fahren.

Zu gewinnen gibt’s übrigens nix. Außer Erkenntnis.

Dass Sorge um die Datensicherheit der Grund Nummer eins ist, warum Unternehmen noch nicht viel häufiger die Vorteile des Cloud Computings nutzen, ist vermutlich inzwischen allgemein bekannt. Daher ist es nicht verwunderlich, dass die Anbieter von Cloud-Services fieberhaft daran arbeiten, den Nutzern Sicherheitslösungen für Ihre Leistungen mit zu verkaufen. Dumm nur, wenn sich diese als nicht tragfähig erweisen. Vor allem Anbieter, deren Kerngeschäft nicht die IT-Security ist, glänzen häufig mit Angeboten, deren Fassade bei genauerem Hinsehen ganz schnell zu bröckeln beginnt. Jüngstes Beispiel: Apple und die iCloud.

Verschlüsselung ist gut – den Schlüssel dazu selbst behalten ist besser

Apple bietet mit der iCloud seinen Nutzern die Möglichkeit, Daten kostenlos auf Apple-Servern zu speichern und diese von überall her abzurufen. Und nicht nur das, Apple wirbt auch damit, dass diese Daten dort verschlüsselt abgelegt werden. So weit, so gut.

Bei genauerem Studium der Nutzungsbedingungen wird man jedoch stutzig, deuten einige Formulierungen doch darauf hin, dass da möglicherweise doch ein Hintertürchen besteht. Wir lesen dort: “Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Kontoinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritte weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, wenn dies gesetzlich vorgeschrieben ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche Nutzung, Offenlegung oder Aufbewahrung angemessenerweise notwendig ist, …”.

Und genau das bestätigen jetzt Untersuchungen des Fachdienstes “Ars Technica”. Apple besitzt nämlich einen Generalschlüssel zu allen verschlüsselten Daten, die in der iCloud abgelegt werden und gibt diese im Bedarfsfalle, zum Beispiel auf Anordnung staatlicher Autoritäten. Der US Patriot Act lässt grüßen.

Ganz ähnlich verfährt der beliebte Cloud Storage-Dienst Dropbox, wie wir einer Meldung des Portals www.datenschutz.de entnehmen.

Jetzt muss man fairerweise zugeben, dass gerade US Unternehmen unter dem Druck des Patriot Act möglicherweise gezwungen sind, so zu verfahren. Allerdings sollten die Nutzer solcher Dienste zweimal überlegen, ob sie die Versprechen der Anbieter zur Sicherheit ihrer Daten tatsächlich glauben. Gerade bei Verschlüsselung gilt: Verschlüsselung ist nichts, wenn man den Schlüssel aus der Hand gibt! Wirkliche Sicherheit bieten hier nur hybride Lösungsansätze, welche die Schlüsselhoheit beim  Anwender belassen. Daher traue keinem Cloud-Anbieter, der verspricht, sich um die Datensicherheit ganz alleine zu kümmern, denn das kann gar nicht funktionieren.

Cloud Security! Tolle Sache! Und ein Zug, auf den jeder gerne aufspringt, egal ob er was davon versteht oder nicht. Beweis siehe oben!

“Die Hacker-Attacke in der Kreditkartenbranche ist nach Einschätzung des Zahlungsdienstleisters Global Payments vermutlich auf Nordamerika beschränkt.

Dort seien wohl von weniger als 1,5 Millionen Kreditkartenbesitzern die Daten gestohlen worden, erklärte das Unternehmen in der Nacht zum Montag. Der Datenklau bei dem Zahlungsdienstleister, der mit den Kartenausgebern MasterCard, Visa, American Express und Discover Financial Services zusammenarbeitet, war am Freitag bekanntgeworden. Hacker hatten sich bereits Anfang März Zugang zum System von Global Payments verschafft. Der Fall wird nun federführend vom US-Geheimdient untersucht.”

Puh, da haben wir in Deutschland ja noch mal Glück gehabt. Also zurück zum Tagesgeschäft. Bei uns passiert das bestimmt nicht. Kann ja gar nicht. Und wenn doch…aber Quatsch, wir haben doch ‘ne Firewall. Und überhaupt ist jetzt Mittag. Mahlzeit!

Das große Durchatmen setzt wohl wieder ein, die übliche Reaktion, wenn man wieder mal haarscharf an der Katastrophe vorbeigeschrammt ist. Vielleicht aber auch das große Gähnen, weil die vielen Meldungen über Datenklau, Hacker und ähnlichen Unbill inzwischen so häufig sind, dass sie schon auf abgestumpfte Sinne stoßen. Außer, man ist persönlich betroffen – in dem Fall reagiert man mit Panik.

So oder so, im seltensten Fall setzt man sich mit solchen Meldungen sachlich auseinander und fragt sich: hatte ich diesmal nur Glück, oder gibt’s einen Grund, dass es einen anderen traf und nicht mich?

Daher, liebe deutsche Zahlungsdiensteanbieter, Internetshopbetreiber, Online-Händler und alle anderen, die ihr mit unseren Kreditkartendaten arbeitet, mit unseren Kontoinformationen und unseren persönlichen Daten, könnt Ihr mir garantieren, dass der nächste Hacker nicht bei Euch einbricht und meine Kreditkartennummer stiehlt?

Ja, höre ich da? Und wieso? Habt Ihr etwa hinter der Firewall noch eine zweite Verteidigungslinie? Verschlüsselung gar? Habt sogar ein PCI DSS Audit absolviert? Ohne Audit Moniten?

Tatsächlich? Na, dann will ich nix gesagt haben. Aber wehe, Ihr lügt und Reuters schreibt morgen über Euch!

Ich soll aufhören, das Thema sei inzwischen langweilig, Ihr könnt’s nicht mehr hören?

Na gut, schalten wir um zum Promiboxen.

Schlagzeilen, die selbst unserer Kanzlerin die Mundwinkel nach oben biegen könnten, ginge es nicht um die Ergebnisse der neuesten Studie des Ponemon Institutes (im Auftrag von Symantec) zu den Kosten von Datenklau.

Von IT-Sicherheitsberatern heiß geliebt wie die Frühlingssonne, bei Entscheidern in Unternehmen so beliebt wie Haselpollenallergie und daher leidenschaftlich ignoriert, liefert die bereits zum siebten (in Deutschland zum vierten) Mal durchgeführte Studie “Cost of DataBreach 2011″ auch dieses Jahr steigende Zahlen zu den Kosten, die Fälle von Datenklau in Unternehmen in unterschiedlichen Ländern produzieren. Dabei sind die Kosten, die sich aus so unterschiedlichen Faktoren wie Kosten durch Kundenverluste, Strafen bei Compliance-Verstößen, Schadensersatz und anderem zusammensetzen, gegenüber dem Vorjahr erneut gestiegen, in Deutschland um etwa 6% auf durchschnittlich 3,4 Millionen Euro pro betroffenem Unternehmen oder 146 Euro pro betroffenem Datensatz. Nur in den USA muss man noch tiefer in die Tasche greifen.

Beeindruckende Zahlen, nicht wahr? Nun ja, man könnte jetzt einwenden – und Kritiker tun das -  dass eine Stichprobengröße von 26 befragten Unternehmen nicht wirklich eine Aussage über eine gesamtdeutsche Wirklichkeit zulässt, doch kumuliert man die Ergebnisse aller Studien seit 2008 kommt man schon auf 91 verschiedene Unternehmen und die Ergebnisse weisen doch Jahr für Jahr die gleichen oder zumindest ähnliche Charakteristiken auf: auf den ersten Plätzen bei den Gründen, warum Daten in die falschen Hände geraten tummeln sich regelmäßig Fehler und Nachlässigkeiten eigener Mitarbeiter, Hackerangriffe und Schadsoftware. Nur die Reihenfolgen, wer die Gold-, Silber- und Bronzemedallie in dem Wettbewerb des Grauens abräumt, wechselt gelegentlich.

Und warum führen diese vielen Studien alle trotzdem nicht zum Umdenken in den Unternehmen, was die Verbesserung der IT-Sicherheit angeht? Zum Beispiel zur Einführung von Datenverschlüsselung? Oder zu einem vernünftigen IT-Risikomanagement?

Weil wir Mathe schon immer doof fanden und mit der Ignoranz von Statistiken späte Rache für die vier Punkte im Mathe-Grundkurs zu nehmen glauben? Oder weil wir nicht glauben können, dass eine von einem Hersteller von Sicherheitssoftware gesponserte Studie objektive Ergebnisse liefert? Oder weil wir einfach glauben, dass es immer nur die anderen trifft?

Eine Kombination aus allen drei Gründen kommt mir nicht ganz unwahrscheinlich vor.

Cloud Computing ist definitiv this year’s thing, wenn man das Rauschen im IT-affinen Medien-Blätterwald und die Flut von Veranstaltungen zum Thema Cloud Computing, die allerorten stattfinden, zugrunde legt. Wie Pilze sprießen die aus dem Boden. Auch wenn manche Zeitgenossen behaupten, das sei ja alles schon mal dagewesen, nur unter anderem Namen, so kommt man nicht umhin, zum Thema Cloud Computing einen Beitrag zu liefern, wenn man nicht als vorgestrig gelten will.

Und nach dem Motto “Klotzen, nicht kleckern” liefert apsec nicht nur einen, sondern gleich viele Beiträge. Zum Beispiel unterstützen wir das SaaS-Forum auf seiner Veranstaltungsreihe Cloud Services on Tour 2012 mit einem Vortrag mit dem Thema “Hybridlösungen für sicheres Cloud Computing am Beispiel von Microsoft SharePoint”.

Die Tour führt durch drei Städte, die erste Veranstaltung in Stuttgart hat bereits stattgefunden.

Wie, Sie haben die verpasst? Dann jetzt aber hurtig für eine der weiteren anmelden, entweder am 29.03. in Essen oder am 26.04. in Hamburg, kostet auch nix! Zu Essen gibt’s auch was!

Daten Ge-Cloud?

Ach, Sie gehören auch zu denjenigen, die Ihre Daten lieber im eigenen Haus lassen, statt sie in die Cloud auszulagern? Wieso eigentlich? Ach so, Angst vor Datenklau…man weiss ja nie, wer beim Provider Zugriff…und der US Patriot Act…und Compliance-Auflagen…aha, verstehe.

Nun ja, Sie sind in guter oder zumindest zahlreicher Gesellschaft, so denken die meisten, zum Teil nicht ganz zu unrecht. Sorge um die Datensicherheit ist der Grund Nr.1 für viele, vom Cloud Computing (noch?) Abstand zu nehmen, selbst wenn das heißt, auf die unbestreitbaren Vorteile wie Kostenersparnis und schnelle Bereitstellung von Diensten zu verzichten. Aber hier kann apsec helfen mit Verschlüsselung für die Cloud. Und mit dem Konzept der Hybridlösung.

Wie, Sie wissen nicht, was Hybridlösungen für sicheres Cloud Computing sind?

Kommen Sie einfach nach Essen oder Hamburg, dann verrate ich’s Ihnen! Einen kleinen Vorgeschmack liefert Ihnen auch unser Video.

Wissenschaftler müsste man sein! Wie lesen wir gerade in einer Pressemeldung der Ruhr-Universität Bochum? Das Bundesministerium für Bildung und Forschung fördert das Projekt „Sec²“ mit insgesamt 1,3 Millionen Euro. Bei dem Projekt „Sec²“ handelt es sich um eine Weltsensation! Die Wissenschaftler haben doch tatsächlich rausgefunden, dass man Daten, die man in der Cloud speichert, mit Verschlüsselung vor Datenklau schützen kann! Und das es besser ist, wenn man die Schlüssel für die Verschlüsselung selbst in der Hand behält, statt sie auch in die Cloud zu legen. Und dass man dazu ein Stückchen Software auf dem Client braucht, der die Verschlüsselung bzw. Entschlüsselung schon direkt auf dem Endgerät erledigt.

Public-Private-Partnership in der Wulff’schen Republik

Potztausend, wer hätte das gedacht? Diese Erkenntnis verdient doch sicher 1,3 Millionen Fördergelder vom Bund. Da zahle ich meine Steuern gerne!

Erstaunlich finde ich nur, dass dieser Tage die Firma Sophos, die sich bekanntlich vor ein paar Jahren das Sicherheitsunternehmen utimaco einverleibt hat, heftig Werbung macht für eine Software, die genau dies tut, nämlich Daten in der Cloud direkt vom Endgerät aus zu verschlüsseln. Ganz abgesehen davon, dass unser eigenes Produkt Cloud Protection das schon seit letztem Jahr tut, auch ohne Fördergelder vom Bund. Und dass das Horst Görtz Institut für IT-Sicherheit der RUB, das an dem Projekt beteiligt ist, auf den utimaco-Gründer Horst Görtz zurückgeht und die Horst-Görtz-Stiftung mit utimaco-Geldern gesponsert wird.

Bin ich paranoid, dass ich hier Verstrickungen von Politik und Wirtschaft sehe, wo sicher keine sind?

Wahrscheinlich.

Ahem…in 2008 hatte die CeBIT noch 495.000 Besucher, wie ein Blick in Wikipedia lehrt, sogar im Jahr des All-time-low, 2010, waren es noch 34.000 Besucher mehr. Die CeBIT 2012 – ein Erfolg?

Masse ist nicht gleich Klasse, aber wo keine Masse…

Zugegeben: Masse ist nicht gleich Klasse und als Nichtteilnehmer der diesjährigen Messe spreche ich hier als Blinder von der Farbe, aber ich werde das Gefühl nicht los, dass der CeBIT fernbleiben auch dieses Jahr kein Fehler war. Und das, obwohl dieses Jahr unter dem Motto “Managing Trust” das Thema Informationssicherheit ganz oben stand.

Noch einmal Ernst Raue: “Auf der Cebit hat die internationale Branche gezeigt, dass sie entschlossen ist, die Themen Vertrauen und Sicherheit zur Chefsache zu erklären”.

Sicherheit ist Chefsache!

Wirklich?

Darf ich Ihren Chef mal kennenlernen?

Aber zumindest von apsec geht keiner hin. Wir verzichten jetzt schon im dritten Jahr hintereinander auf die Teilnahme an der CeBIT und ich muss sagen, es hat uns nicht geschadet.
Der Stress, der sich sonst traditionell spätestens Ende Januar ausbreitet, der Druck, auf jeden Fall noch die Messeneuheit fertig zu bekommen, die Logistik für den Standbau, die Besetzungsplanung für die Vertriebsmannschaft, das regelmäßige Chaos am Aufbautag, die immensen Kosten und, und , und. Alles ohne uns – herrlich!

Seien wir ehrlich: Messe macht man hauptsächlich, um gesehen zu werden. Geschäftsabschlüsse oder auch nur deren Anbahnung – meist Fehlanzeige! Zumal sich die CeBIT in den letzten Jahren meiner Meinung nach immer stärker von einer B2B- zu einer B2C-Messe entwickelt hat. Wirklich voll sind nur die Hallen, in denen es die neuesten Smartphones, Plasmabildschirme oder Videospiele zu begutachten gibt. Wer, wie apsec, ein unternehmensfokussiertes Thema wie Beratung und Software-Entwicklung zur IT-Sicherheit hat, fühlt sich von den vielen, vielen Schülern, die in den Messehallen Ihren Wandertag verbringen und denen man den Weg zur Halle X, Y oder Z (da, wo es die Videospiele gibt) erklären muss, eher am Arbeiten gehindert.

Party, Party, Party – aber der Kater danach…

Früher, so Ende der Neunziger bis Anfang der Nuller, zur Zeit des großen DotCom-Booms, war die CeBIT the place to be, wenn man in der IT-Branche war. Wer nicht da war, war tot. Überall riesige Stände von Firmen, deren Namen man noch nie gehört hatte. Kostenlose Cocktails bis zum Abwinken. Direkt von der Party am nächsten Tag zum Standdienst, Brummschädel inklusive.

Viele der Firmen mit den großen Ständen von damals sind heute nicht mehr da, auch mein ehemaliger Arbeitgeber Biodata, der selbsternannte “Weltmarktführer” für Verschlüsselung nicht, mit dem ich die CeBIT-Parties einst kennenlernte. Pleite, eine nach der anderen.

apsec hat sich auch zur Zeit des großen Booms gegründet, 1998 um genau zu sein, und ist immer noch da, erfolgreich. Vielleicht weil wir rechtzeitig mit dem Feiern aufgehört und mit dem Arbeiten angefangen haben – zum Nutzen unserer Kunden.

So halten wir’s auch in diesem Jahr. Während die anderen auf der CeBIT feiern – vor allem sich selbst – tun wir was für die IT-Sicherheit unserer Kunden.

Und seien Sie mal ehrlich: gehen Sie noch auf eine Messe, wenn Sie eine IT-Lösung für Ihr Unternehmen suchen oder machen Sie es wie alle und fragen Google?

Eben!