Aktuelles aus dem Bereich IT-Sicherheit & WeEncrypt.

Start Blog

In eigener Sache: Pressemeldungen zu WeEncrypt und AnkhLabs

0

An dieser Stelle berichten wir über aktuelle Pressemeldungen und Nachrichten rund um AnkhLabs und WeEncrypt.

Artikel auf infopoint-security: “AnkhLabs: Homeoffice erfordert mehr intuitive und anwenderfreundliche Software”, 22.12.2020

https://www.infopoint-security.de/ankhlabs-homeoffice-erfordert-mehr-intuitive-und-anwenderfreundliche-software/a26135/

Artikel in kmuRundschau: “Konsequent für den Anwender – Nutzerfreundliche E-Mail-Verschlüsselung”, Ausgabe 4/2020

Artikel auf ComputerWeekly.de: “Mit E-Mail-Verschlüsselung digitale Werte schützen”

https://www.computerweekly.com/de/meinung/Mit-E-Mail-Verschluesselung-digitale-Werte-schuetzen

Interview mit IT-Business, 11. November 2020

https://www.it-business.de/kleines-startup-mit-grossen-plaenen-a-978552/

Pressemeldung zur Erweiterung von WeEncrypt für Microsoft Outlook für den Transfer von großen Dateien, 28. Oktober 2020

Über die Erweiterung von WeEncrypt für Microsoft Outlook für den Transfer von großen Dateien berichten unter anderem: Presseportal, IT-Administrator

Pressemeldung zur Zusammenarbeit mit PR-Agentur Akima, 24. September 2020

Über die Zusammenarbeit von AnkhLabs GmbH mit der PR-Agentur Akima GmbH berichten unter anderem: Marketing-Börse, PR Journal, openPR, Mittelstand Café, firmenpresse

Interview mit startupvalley.news,
22. September 2020

Wir freuen uns sehr über die Veröffentlichung des folgenden Interviews:

Vielen Dank an Sabine Elsässer und StartupValley.news für das Interview!

Pressemeldung zum Angebot der kostenlosen Lizenz von WeEncrypt Mail für Privatpersonen,
15. September 2020

Über das Angebot der kostenlosen Lizenz von WeEncrypt Mail für Privatpersonen berichten unter anderem: Presseportal, Portal der Wirtschaft, firmenpresse, it-i-ko.de, html-open.

Pressemeldung zum Release von WeEncrypt Mail,
15. und 16 Juli 2020

Über den Release von WeEncrypt Mail berichten unter anderem: Infopoint Security, Fair-News, it-i-ko.de, firmenpresse.

Pressemeldung zur Partnerschaft mit MRM Distribution,
22. Juni 2020

Über die Partnerschaft mit MRM Distribution berichten unter anderem: it-i-ko.de, Pressebox, ChannelPartner, ICT.

Quo vadis “Made in Germany”?

0

“Made in Germany” – Seit Jahrzehnten gilt diese Kennzeichnung als Qualitätssiegel für Waren und Produkte aus Deutschland. Doch war das immer schon so? Und gilt es auch weiterhin in Zeiten der Globalisierung? Wofür steht “Made in Germany” im 21. Jahrhundert?

Vorsicht deutsch!

Mit der Kennzeichnung “Made in..” wurden Ende des 19. Jahrhunderts Importwaren nach Großbritannien versehen, um in Zeiten steigender Importe ausländische von heimischen Produkten zu unterscheiden. “Made in Germany” sollte die britischen Konsumenten vor minderwertigen und billigen Waren sowie Plagiaten aus Deutschland warnen (Mehr dazu: “Wie aus einem Warnzeichen ein Qualitätssiegel wurde“). Nach dem 2. Weltkrieg, im Zuge des deutschen Wirtschaftswunders, wandelte sich die Kennzeichnung dann zu einem Qualitätssiegel. “Made in Germany” stand nunmehr für Qualität und Verlässlichkeit.

Auf Erfolgskurs

Mit dem wirtschaftlichen Aufschwung in den 1950er Jahren werden deutsche Waren und Produkte zu Exportschlagern. Deutsche Hersteller überzeugen seither den weltweiten Markt mit Innovationsgeist, Zuverlässlichkeit und Qualität. Selbst in Zeiten einer starken europäischen Gemeinschaft hat “Made in Germany” nicht an Strahlkraft verloren. So kann sich 2004 eine gemeinsame Kennzeichnung “Made in EU” nicht durchsetzen. Das Herkunftsland bleibt weiterhin ein Gütesiegel, gerade wenn es sich dabei um Deutschland handelt. Nach einer internationalen Studie aus dem Jahr 2019 führt Deutschland die Rangliste der Herkunftsländer in der Wahrnehmung der (internationalen) Konsumenten klar an. Produkte “Made in Germany” genießen weiterhin hohes Ansehen.

Wieviel deutsch ist deutsch?

Doch wann ist ein deutsches Produkt auch wirklich “deutsch”? Zwar regelt dies in Deutschland kein Gesetz, doch ziehen EU-Verordnungen sowie diverse Rechtsprechungen hier einen ungefähren Rahmen. In der so genannten “allgemeinen Verkehrsanschauung” müssen demnach die wesentlichen Bestandteile eines Produkts in in Deutschland entstanden sein. Langläufig wird dies mit ca. 45% der Wertschöpfungskette beziffert, jedoch reicht das im Sinne vieler Gerichte nicht aus. Entscheiden sei ein vielmehr, dass die für die Kaufentscheidung ausschlaggebenden Merkmale eines Produktes in der Bundesrepublik Deutschland entstanden sein müssen (mehr Urteile dazu lesen Sie hier nach). Deutsch ist also nicht gleich deutsch.

Globalisierung vs. buy local?

Hier stellt sich die Frage: Kann in einer globalisierten Gesellschaft überhaupt noch eine “reine” (Produkt-)Herkunft existieren? Und ist dies im 21. Jahrhundert überhaupt noch ein erstrebenswertes Gut? Gerade der interkulturelle Austausch und die internationale Spezialisierung sind es doch, die unsere gesellschaftliche und industrielle Entwicklung befördern. Auf Herstellerseite kommen wir daher nicht umhin, länderübergreifend zu agieren. Zulieferer, Dienstleister, Logistiker – schnell ist man bei der Herstellung eines Produktes auf internationalen Flächen unterwegs. Neben der Ressourcenbeschaffung ist es aber oftmals auch der kalkulatorische Antrieb, der uns den inländischen Produktionsraum verlassen lässt.

Gleichzeitig wächst seitens des Konsumenten das Bedürfnis nach lokalen Produkten und Herstellern. Hier sind mehrere Faktoren ausschlaggebend. Das Einzelhandels-Sterben, die Monopolisierungstendenzen großer Konzerne (v.a. von Online-Giganten), aber auch Skandale in Produktionsketten (z.B. in der Bekleidungsindustrie). Im digitalen Produkt- und Dienstleistungsbereich ist es nach diversen Leaks die Sorge um die eigenen Daten, die viele User inzwischen intensiver darauf achten lassen, wo, wie und durch wen die Verarbeitung und Speicherung derselben erfolgt.
All diese Faktoren haben in den letzten Jahren eine Strömung erstarken lassen: buy local. Regionalität, Nachhaltigkeit, Standortstärkung und Herkunftsnachweise spielen nun eine deutlich größere Rolle als die noch vor einigen Jahren herrschende “Geiz ist geil”-Mentalität, die alle diese Aspekte zugunsten des größten Sparpotentials verblassen ließen.

Wie lassen sich beide Entwicklungen verbinden? Wohin steuern wir mittelfristig? Quo vadis, “Made in Germany”?

Globalisierung UND buy local!

Die gute Nachricht: Globalisierung und buy local-Gedanke schließen sich nicht grundsätzlich gegenseitig aus. Warum nicht das Beste aus beiden Welten verbinden? Günstig produzieren muss nicht billig (um jeden Preis) heißen. Qualitätsanspruch ist inzwischen ein Verkaufsargument, die Herkunft bzw. der Verkaufsort spielen eine immer größere Rolle in der Vermarktung eines Produkts. Wie so oft: Die Mischung macht’s!

Made in Germany in neuem Glanz

Doch was spricht für den Produktionsstandort Deutschland? Ganz ehrlich: Mit niedrigen Produktionskosten punkten wir nicht.
Das moderne “Made in Germany”-Siegel sticht weiterhin vor allem durch Qualität hervor: Unsere verlässliche Infrastruktur, unser Leistungsstreben und unser hoher Anspruch an Produkte und Leistungen, unsere Ergebnisorientiertheit, unsere nachhaltige und zukunftsorientierte Ausrichtung, unser Rechtssystem, unsere Weltoffenheit und unsere gesellschaftlichen Werte und Normen. Das sind herausragende Merkmale, die Produkte “Made in Germany” besonders machen.

Cybersicherheit made in Germany

Als SaaS-Unternehmen, dass sich mit Cybersicherheit befasst, sind uns diese Aspekte wichtig und teuer. Datensicherheit, Rechtskonformität und Benutzerfreundlichkeit stehen bei unseren Produkten im Vordergrund. Wir und unsere Produkte sind “Made in Germany” und darauf sind wir stolz. Testen Sie uns gerne oder sprechen Sie uns an! Mehr Informationen auf weencrypt.de.

Übrigens: AnkhLabs ist Mitglieder der Allianz für Cyber-Sicherheit (ACS) des Bundesamts für Sicherheit in der Informationstechnik. Die ACS, ihre Mitglieder und Partner leisten einen wertvollen Beitrag für mehr Cyber-Sicherheit am Wirtschaftsstandort Deutschland.

Social Engineering (Teil 3): Wie kann ich mich schützen?

0
Social Engineering - Abwehr

In unseren letzten beiden Beiträgen (Teil 1 und Teil 2) haben wir das Phänomen Social Engineering erklärt sowie die häufigsten Methoden beschrieben. In unserem letzten Teil erläutern wir die wirkungsvollsten Schutzmaßnahmen.

Woran kann ich Social Engineering- Attacken erkennen?

  • Werfen Sie einen Blick auf die Absender-Adresse. Oft verrät die Adresse, ob es sich um eine gefälschte Identität handelt.
  • Prüfen Sie das Linkziel, indem Sie mit der Maus über die Linkzeile gehen ohne zu klicken. Hier können Sie sehen, ob sich eine verdächtige Adresse hinter einem scheinbar harmlosen Link verbirgt.
  • Achten Sie auf die Rechtschreibung: Gefälschte E-Mails fallen oftmals durch Rechtschreibfehler auf.
  • Seien Sie vorsichtig bei unerwarteten E-Mails. In den meisten Fällen verbergen sich dahinter Cyber-Attacken.
  • Fühlen Sie sich unter Druck gesetzt, schnell handeln zu müssen, kann dies ein Indiz für einen Angriff sein.

Wie soll ich bei einem vermeintlichen Angriff vorgehen?

  • Führen Sie bei Unsicherheit den 3-Sekunden-Check durch: Kennen Sie den Absender? Haben Sie eine Nachricht von ihm erwartet? Ist der Betreff sinnvoll?
  • Informieren Sie Ihre Vorgesetzen und die IT-Abteilung. Lieber einmal zu oft gezweifelt als Opfer einer Attacke werden.
  • Lassen Sie Links ggf. von der IT-Abteilung prüfen.
  • Nehmen Sie mit dem Absender direkt Kontakt auf (am besten persönlich oder telefonisch), um die Echtheit der E-Mail bestätigen zu lassen.
  • Verifizieren Sie Geldtransferaufforderungen auf jeden Fall durch persönliche oder telefonische Rückfrage.
  • Bei einer telefonischen Rückfrage ist wichtig, dass Sie die Ihnen bekannte Rufnummer anrufen – und Sie rufen an!
  • Lassen Sie sich nie unter Druck setzen!
  • Informieren Sie im Zweifel die Behörden (Polizei oder LKA).

Welche Maßnahmen kann ich gegen erfolgte Attacken ergreifen?

  • Sollten beispielsweise Angreifer erfolgreicher Gelder abgegriffen haben, ist schnelles Handeln gefragt. Setzen Sie sich umgehend mit Ihrer Bank in Verbindung und versuchen Sie, die Gelder rücktransferieren zu lassen.
  • Informieren Sie umgehend Ihre IT-Abteilung, Vorgesetzen und Kollegen, um weitere Attacken zu vermeiden.
  • Informieren Sie umgehend die Behörden! Je schneller die Polizei ermitteln kann, desto höher sind die Chancen, die Kriminellen festzusetzen.

Wie kann ich mich im Vorfeld gegen Attacken schützen?

  • Awareness ist das A und O im Schutz gegen Social Engineering. Schulen Sie Ihre Mitarbeiter regelmäßig. Je stärker der Faktor Mensch ist, desto geringer die Angriffsflächen. Es gibt zahlreiche Schulungsmöglichkeiten, Test-Angriffs-Szenarien und Informationenmöglichkeiten. Nutzen Sie sie!
  • Richten Sie ein internes Kontrollsystem für Zahlungsanweisungen ein (Vier-Augen-Prinzip).
  • Richten Sie mit Ihrer Bank geeignete Schutzmechanismen gegen ungewollte Überweisungen ein.
  • Halten Sie Ihre IT-Sicherheitssysteme auf dem neuesten Stand.
  • Testen Sie Ihre IT-Sicherheitssysteme regelmäßig.
  • Seien Sie zurückhaltend mit der Veröffentlichung von Unternehmensdaten und -informationen in den sozialen Netzwerken oder am Telefon. Schulen Sie diesbezüglich auch Ihre Mitarbeiter.
  • Geben Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail weiter.
  • Bereiten Sie sich auf einen Schadensfall vor, um schnell reagieren zu können. Erstellen Sie einen Notfall-Plan.

Fazit

Augen auf im Straßenverkehr! Was für die analoge Welt gilt, sollte auch für die digitale gelten. Bleiben Sie kritisch und aufmerksam. Lassen Sie sich nicht von Ihren Prinzipien abbringen oder unter Druck setzen.

Bereiten Sie sich und Ihre Organisation auf solch einen Fall vor: Die Frage ist nicht ob, sondern wann es passiert!

Social Engineering (Teil 2): Die häufigsten Methoden

0
Social Engineering - Die häufigsten Methoden

In unserem letzten Beitrag haben wir das Phänomen Social Engineering erläutert. Wie ein Angriff generell geplant wird und abläuft, lesen Sie dort. In diesem Beitrag gehen wir auf die häufigsten Methoden des Social Engineering ein. Ein paar Beispiele aus den vergangenen Jahren finden Sie in diesem Beitrag zum Nachlesen.

Phishing

Unter Phishing (zusammengesetzt aus “fishing” und dem “P” von “password”) versteht man einen Angriff, bei dem vertrauliche Angaben (Passwörter, Zugangsdaten oder andere Authentitfizierungsmerkmale) erlangt oder Malware, z.B. Ransomware oder Trojaner, installiert werden sollen. Echt wirkende E-Mails fordern die attackierten Personen beispielsweise auf, über eine Link diese Informationen preiszugeben. Oftmals ist die Zielseite gut gefälscht und sieht aus wie das Original. Zu erkennen ist die Fälschung in der Regel an dem Domainnamen, der von der originalen Seite abweicht (z.B. www.amazone.com, www.facebokk.de). E-Mail-Angriffe sind nach wie vor die bevorzugte Angriffstaktik.

Spear-Phishing

Eine besondere Form des Phishing ist das Spear-Phishing, ein gezielter Angriff auf Einzelpersonen oder -gruppen. Dieser erfolgt mittels personalisierter E-Mail oder sogar einer telefonischen Kontaktaufnahme mit dem gezielten Opfer. Vorausgehend sammeln die Angreifer oftmals über einen längeren Zeitraum Informationen, z.B. über Social Media oder telefonische Anfragen. Mit diesem Hintergrundwissen überwinden sie Misstrauensbarrieren und gelangen an sensible Daten. Gerne geben sich Angreifer dann entweder als kompetente Vertrauensperson (z.B. Administrator, Mitarbeiter einer bekannten oder vertrauten Firma wie z.B. Microsoft) oder einfache Hilfskräfte (z.B. Aushilfen, Sekretäre) aus. In beiden Fällen beugen sie meist weiteren Nachfragen vor. So kann ein Angreifer beispielweise als IT-Administrator getarnt auffordern, Zugriffsrechte zu ändern oder eine (Schad-)Software zu installieren, um ein IT-Problem zu lösen. So gelangt er an die gewünschten Passwörter. Diese Methode ist zwar aufwendiger für den Angreifer, hat jedoch eine deutliche höhere Erfolgschance.

CEO-Fraud

Der CEO-Fraud (deutsch “Cheftrick”) oder auch die Fake-President-Methode, zielt in der Regel auf die Transaktion von Gelder ab. Ein Mitarbeiter erhält eine vermeintliche E-Mail von seinem Vorgesetzen, in dem dieser in in einer dringlichen und oftmals auch geheimhaltungsbedürftigen Sache bittet, umgehend einen Finanztransaktion durchzuführen. Diese Methode wenden Betrüger gerne zum Jahreswechsel an, die Dringlichkeit wird dann mit Termindruck begründet. Zudem nutzen sie die Abwesenheit um die Feiertage und das damit verbundene Fehlen eines direkten Austausches als Tarnmantel. In Corona- und damit verbundenen Homeoffice-Zeiten hat die Methode unter anderem deshalb einen weiteren Schub erhalten.

Und die Betrüger werden immer einfallsreicher, die Mittel immer ausgereifter. Ein besonders tückischer Fall: Inzwischen haben es Cyber-Kriminelle sogar schon geschafft, mittels KI-Software technisch die Stimmen von Führungskräften zu imitieren. Damit konnten sie den Angriff telefonisch durchführen und so das Vertrauen der Mitarbeiter ausnutzen.
Ein weiterer außergewöhnlicher Fall ereignete sich bereits 2017. Hier gaben sich Angreifer als Vertreter der Bundeskanzleramts aus und versuchten Gelder für Erpressungsforderungen angeblich entführter Bundesbürger zu erschleichen.

Wie kann ich mich vor Social Engineering schützen?

Geeignete Maßnahmen, die bereits im Vorfeld die Gefahr von Social Engineering-Angriffen minimieren, erläutern wir in unserem nächsten Beitrag.

Social Engineering (Teil 1): Der digitale Enkeltrick

0
Social Engineering

Social Engineering – schon einmal gehört? Wahrscheinlich sind Ihnen bereits Varianten zwischenmenschlicher Manipulationsmethoden untergekommen, die unter dem Oberbegriff Social Engineering zusammengefasst werden. In drei Beiträgen erläutern wir den Angriffsablauf, die häufigsten Methoden und wie Sie sich schützen können.

Was ist Social Engineering?

Eigentlich stammt der Begriff Social Engineering aus der Sozial- bzw. Politikwissenschaft und beschreibt Maßnahmen, die das gesellschaftliche Verhalten Einzelner zugunsten der Änderung sozialer und politischer Strukturen beeinflussen sollen. Populär wurde die Methode ab den 1970er Jahren im Zuge der Optimismus- und Behaviourismus-Bewegung.

Heute wird der Begriff im Zusammenhang mit (IT-)Sicherheit verwendet. Methoden zur Manipulation des Verhaltens einer Person, um an vertrauliche Informationen oder Daten zu kommen oder ein bestimmtes Handeln zu provozieren (z.B. die Herausgabe von Finanzmitteln oder Passwörtern) werden heute unter dem Oberbegriff Social Engineering zusammengefasst. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt, werden dabei gerne “menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt.” Der Faktor Mensch ist hierbei das Einfallstor für Angriffe. Da die menschlichen Denkprozesse (zum Glück!) nicht voll automatisiert ablaufen, können Social Engineers genau an dieser “Schwachstelle” ansetzen.

Wie funktioniert Social Engineering?

In der Regel erzeugt der Angreifer eine Stresssituation, die eine schnelle Entscheidung sowie ein umgehendes Handeln der Zielperson provozieren soll. Ähnlich wie beim sogenannten “Enkeltrick“. Nachfragen bei Vorgesetzen, Kollegen oder der IT sollen damit möglichst unterbunden werden. Eine gute Tarnung, z.B. durch ein gut gefälschtes Profil, ist ein weiterer Teil der Angriffsstrategie. Das reicht von einer Fake-Website bis hin zu einer erfundenen Identität z.B. eines Geschäftspartners. Unterstützt wird der Angriff zudem durch das soziale Setting zwischen Angreifer und Zielperson. Hat der Angreifer eventuell im Vorfeld schon eine Beziehung zum “Opfer” aufgebaut oder verfügt über detailliertes Wissen, senkt dies die Misstrauensschwelle. Eine andere Strategie, wie Angreifer kritische Rückfragen vermeiden, ist es, sich als Aushilfe, Experte oder wichtiger Entscheider auszugeben. In beiden Fällen können Nachfragen in der Regel erfolgreich abgeblockt werden.

Wie läuft ein Angriff ab?

Angriffe im Bereich Social Engineering laufen in der Regel nach folgendem Muster ab:

  1. Auswahl des Zielunternehmens: Der Angreifer wählt ein für seine Ziele attraktives Unternehmen aus.
  2. Analyse des Ziels / Auswahl der Zielperson: Der Angreifer analysiert das Umfeld und die Struktur des Unternehmens. Er eruiert mögliche Einfallstore, Schwachstellen und Ansprechpartner, über die der Angriff laufen soll.
  3. Vorbereitung des Angriffs: Eventuell erste Kontaktaufnahme mit dem ausgewählten Ansprechpartner oder Recherche über soziale Netzwerke, um an weitere (Insider-)Informationen zu gelangen. Ggf. bereits Kompromittierung unternehmensinterner IT-Systeme.
  4. Angriff: Durchführung des Angriffs durch Schaffung einer Dringlichkeit und Handlungsaufforderung.

Welches die häufigsten Methoden des Social Engineering sind und wie Sie sich am Besten schützen können, erfahren Sie in den Beiträgen der kommenden Wochen.

No Limit! Dateitransfer einfach und sicher

0

Im Berufs- aber auch im Privatleben sind große Datenmengen zum Alltag geworden. Ob Fotos, Präsentationen, Formulare oder Tabellen – Dateien und Dokumente werden immer größer. Waren vor einigen Jahren Gigabyte-Dateien noch selten, sind sie heute Standard. Bei mehreren Dateien landet man da schnell im Gigabyte- oder sogar im Terabyte-Bereich. Das stellt zum einen die Herausforderung an geeignete Speicherkapazitäten. Durch externe Datenträger, Server- und Cloud-Lösungen gibt es hier inzwischen vielfältige Möglichkeiten. Doch sobald es um die Übermittlung und den Dateitransfer an Dritte geht, begegnet man häufig Hürden. Vor- und Nachteile der diversen Datentransfermöglichkeiten haben wir bereits in unserem Beitrag Sie haben Großes vor? Tipps zum sicheren Versand großer Dateien erläutert. Sie variieren in der Regel in der Begrenzung der Datenvolumina, der Sicherheit sowie Einfachheit der Übermittlung.

Keine Umwege mehr

Eines haben allerdings alle Varianten gemeinsam: Sie erfordern immer einen Umweg. Mehrere E-Mails verschicken, einen externen Datentransferdienst nutzen oder gar physische Datenträger bespielen – alle Varianten machen die einfache Übermittlung von großen Dateimengen unmöglich, senken die die Produktivität, sind im schlimmsten Fall ungeschützt vor Cyber-Angriffen und entsprechen weder rechtlichen noch unternehmensinternen Compliancevorgaben. Doch gerade bei Datenübermittlung sollte Vorsicht walten, da diese ein wertvollen Gut des Unternehmens darstellen (Was sind Ihre Kronjuwelen?).

Geben Sie sich nicht mit Behelfsmaßnahmen zufrieden. Es geht auch einfacher und sicher.

Einfach und sicher – Dateien verschicken als Download-Link

Einen einfachen Weg der Übermittlung bieten Filetransfer-Dienste. Sie können Dateien online hochladen und direkt oder per Download-Link an den Empfänger übermitteln. Der Nachteil: Sie können in der Regel direkt eine Nachricht hinzufügen, diese ist aber dann nicht in Ihrem Postfach und somit auch nicht verwaltbar. Oder Sie kopieren den Link und fügen Ihnen Ihrer E-Mail hinzu, dann müssen Sie wiederum einen Schritt mehr gehen.

Besser: Die Integration der Erstellung eines Download-Links in Ihrem E-Mail-Programm. Sie schreiben wie immer Ihre E-Mail, hängen Dateien als Anhang an und versenden wie gewohnt. Ihre Dateien werden geschützt als Download-Link an den Empfänger übertragen. Kein Umweg über externe Webseiten, keine Größenbeschränkung, keine langen Upload-Zeiten. Und das ganze auch noch sicher.

Wie das geht? Mit der WeEncrypt Suite für E-Mail-Verschlüsselung und sicheren Dateientransfer als Add-in für Outlook. Hiermit übermitteln Sie Ihre Dateien sicher und einfach, optional auch noch mit Passwort-Schutz. Mehr Infos auf: weencrypt.de oder Sie vereinbaren einen Demo-Termin. Steigern Sie Ihre Produktivität und Datensicherheit!

Risikofaktor Mensch?

0
Sicherheitsfaktor Mensch
Sicherheitsfaktor Mensch

Laut einer 2018 durchgeführten Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) antwortet jeder sechste Mitarbeiter auf eine gefälschte E-Mail, die angeblich von einem Vorgesetzen stammen soll. Auf diesen Weg gibt er sensible Unternehmensinformationen preis. Dem Human Factor Report von Proofpoint zufolge werden 30% von verseuchten E-Mails innerhalb von 10 Minuten geöffnet. Weitere 52% innerhalb einer Stunde. Ist der Mitarbeiter also der größte Risikofaktor für die IT-Sicherheit eines Unternehmens?

Social Engineering – Zielscheibe Mensch

Es können noch so viele Schlösser an der Tür angebracht und Alarmanlagen installiert sein: Öffnet jemand die Tür freigiebig, helfen Sicherheitsmaßnahmen kaum oder gar nicht.

Der Proofpoint-Studie zufolge sind 99% der Cyber-Angriffe demnach auf den Faktor Mensch ausgelegt. Die vielfältigen Varianten werden zusammengefasst unter dem Begriff Social Engineering. Das scheinbar schwächste Glied in der Kette, der Mitarbeiter, hilft den Angreifern dabei durch unbedachtes oder unwissendes Handeln. Typische Aktionen sind das Aktivieren eines Makros, Öffnen einer Datei oder Klicken auf einen Link, die es Angreifern ermöglichen, in ein Unternehmen einzudringen.

Das schwächste Glied?

IT-Sicherheit scheitert also am Mitarbeiter? Nicht unbedingt. Das BSI hat in seiner oben genannten Umfrage zudem herausgefunden, dass sich immerhin 58% der ArbeitnehmerInnen aktiv zum Thema IT-Sicherheit informieren. 42% informieren sich nicht; sie gehen u.a. davon aus, dass ihr Unternehmen ihnen sagt, wenn Maßnahmen nötig sind oder bereits alle Vorkehrungen getroffen sind.

Über die Hälfte der ArbeitnehmerInnen befassen sich bereits mit dem Thema IT-Sicherheit.

Oft fehlt es demzufolge an der ausreichenden Information und Schulung der MitarbeiterInnen. Dies betrifft sowohl das Verhalten bei verdächtigen Vorfällen als auch den Umgang mit vorhandenen Sicherheitsmaßnahmen. Werden Mitarbeiter nicht ausreichend mitgenommen und über den Sinn und Zweck eingeführter Maßnahmen informiert, werden diese letztendlich auch nicht (flächendeckend) angewandt. Beispielsweise kann eine E-Mail-Verschlüsselungslösung nur dann wirksam arbeiten, wenn die Mitarbeiter sie nicht als störend oder unwichtig empfinden. Maßnahmen sollten daher benutzerfreundlich und einfach sein. Gleichzeitig muss die Awareness für mögliche Gefahren und für den Schutz der digitalen Unternehmenswerte der ArbeitnehmerInnen ausreichend geschult sein.

Awareness Building

Sensibilisierung und Schulungen tragen dazu bei, ArbeitnehmerInnen zu einem verlässlichen Glied in der Kette der IT-Sicherheit zu machen. Wichtig ist es, das Selbstverständnis des Einzelnen als entscheidenden Teil des Sicherheitsgefüges zu stärken und mögliche Vorbehalte und Hürden abzubauen. Das offene Gespräch zwischen Vorgesetzen und Mitarbeitern unter enger Einbindung der IT kann dazu maßgeblich beitragen. Zuhören und Motivation sind dabei zielführender als Vorgaben und Maßnahmenkataloge.

Darüber hinaus gibt es zahlreiche Dienstleister und Unterlagen, die Sie beim Awareness Building unterstützen, z.B. mit Infomaterialien, Seminaren oder Angriffs-Simulationen. Nutzen Sie auch die Angebote der Bundesregierung und öffentlicher Einrichtungen. Und warum nicht mal spielerisch an die Sache rangehen nach dem Motto “Learning by doing”? Lassen Sie z.B. in einem vorher kommunizierten Zeitraum einen Phantom jagen, der gezielt versucht mit unterschiedlichen Methoden Ihre MitarbeiterInnen zu täuschen. Selbstverständlich kontrolliert und ohne reale Auswirkung auf den Produktivbetrieb.

Sicherheitsfaktor Mensch!

Fazit: Der Mensch ist kein Risiko, er ist Teil der Lösung. Machen Sie Ihre MitarbeiterInnen zu “menschlichen Firewalls”, wie es Volkan Yilmaz, Geschäftsführer und Co-Founder der AnkhLabs GmbH und Entwickler der WeEncrypt Suite, bezeichnet. Den im Gegensatz zu einer Maschine ist der Mensch (zumindest aktuell noch) leichter zu sensibilisieren und kann Veränderungen schneller wahrnehmen und sein Verhalten adaptieren.

Woran merke ich, dass ich gehackt wurde?

0

Ob mein privater PC gehackt bzw. ob ich Opfer eines Identitätsdiebstahls wurde, lässt sich nicht immer zu 100% beantworten. Oft sind es nur Indikatoren, die eine mögliche Kompromittierung signalisieren.

Welche Indikatoren treten auf?

  • Freunde melden, dass sie seltsame Mails mit meinem Namen erhalten haben
  • Ich sehe unerwünschte Browser-Toolbars
  • Meine Web-Suchen werden umgeleitet
  • Es erscheinen oft Pop-Up-Fenster
  • Ich sehe seltsame, wiederkehrende Fehlermeldungen
  • Das System ist sehr langsam, weil irgendetwas im Hintergrund “arbeitet”
  • Der Virenscanner findet Schadsoftware (möglicherweise nur einen Teil der aktiven Schadsoftware) oder der Virenscanner kann gar nicht mehr gestartet werden
  • Ich kann mich bei einem Dienst nicht mehr anmelden, da z.B. das Passwort sich angeblich geändert hat
  • Auf meinem Bankkonto fehlt Geld

Natürlich gibt es aber auch die Fälle, bei denen eine Kompromittierung offensichtlich ist. Beispielsweise werden mittels Ransomware (auch oft “Erpressungs-Trojaner” genannt) alle Dateien verschlüsselt. Eine Meldung auf dem Bildschirm fordert auf, “Lösegeld” zu zahlen, um die Dateien wieder entschlüsseln zu können.

Welche Arten von Identitätsdiebstahl im E-Mail Umfeld gibt es?

Man unterscheidet in der Regel zwischen zwei Arten:

  1. Jemand fälscht die Absenderadresse ohne Zugriff auf das Postfach zu haben. Solche Art von E-Mails landen beim Empfänger im Spam-Ordner, sofern die E-Mail-Provider von Sender und Empfänger entsprechende Maßnahmen (Stichwort: SPF / DKIM) getroffen haben.
  2. Es wurde Zugang zum Postfach des “Opfers” erlangt, z.B. durch eine entsprechende Schadsoftware. Der Angreifer versendet direkt aus dem übernommenen Postfach. Diese E-Mails landen dann in der Regel nicht im Spam-Ordner des Empfängers, da sie von einem legitimierten Sender stammen.

Was sind die Grundvoraussetzungen für ein sicheres digitales Umfeld?

Grundsätzlich ist es im privaten Umfeld empfehlenswert, folgende Basis-Maßnahmen umzusetzen und bei Bedarf zu erweitern.

Ein sicherer Schutz beginnt mit einem sauberen und sicheren Basis-Betriebssystem. Dies ist im Privatbereich z.B. Windows 10. Der Windows-Installations-Datenträger (und selbstverständlich auch die Lizenz) sollte aus einer sicheren Quelle bezogen werden. Datenträger, die aus einer dubiosen Quelle stammen, werden zum Teil bereits mit Schadsoftware ausgeliefert. Sie spähen persönliche Daten aus und tun andere unerwünschte Dinge im Hintergrund. Darüber hinaus empfiehlt es sich bei der Wahl eines Betriebssystems auf bestimmte Komponenten zu achten. Dazu gehören Bitlocker (Festplattenverschlüsselung für den Schutz der Daten), Gruppenrichtlinien (die z.B. das Härten des Betriebssystems ermöglichen) sowie die Option zur Einbindung in ein Unternehmensnetzwerk (z.B. für den Fall des Homeoffices).

Regelmäßige Updates für das Betriebssystem sowie alle Sicherheitssysteme (z.B. Firewall, Virenschutz) sollten regelmäßig ausgeführt werden, am Besten wöchentlich.
Tipp: Achten Sie auf den so genannten Patch-Day, damit Sie neue Sicherheits-Updates umgehend installieren können!

Cloud-Lösungen wie Microsoft OneDrive dienen als Schutz gegen Datenverlust, insbesondere durch oben genannte Ransomware.
Tipp: Die kostenlose Version reicht hier oftmals aus!

Wie kann ich verhindern, dass mein E-Mail-Postfach kompromittiert wird?

Überdies ist auch im privaten Sektor die Aktivierung einer Zwei-Faktor-Authentisierung für das E-Mail-Postfach empfehlenswert. Dies bieten die meisten E-Mail-Provider an. Eine Zwei-Faktor-Authentifizierung bedeutet, dass die Identität des Nutzes auf einem zweiten Weg bestätigt wird. Die meisten Dienste unterstützen inzwischen die Microsoft oder Google Authenticator App. Selbstverständlich empfiehlt sich die Aktivierung von Zwei-Faktor-Authentisierung auch für alle weiteren verwendeten Dienste als nur für das E-Mail Postfach.

Sensitive Daten (die DSGVO nennt das personenbezogene Daten) sollten durchwegs verschlüsselt übermittelt werden. Möglich machen dies E-Mail-Verschlüsselungsdienste und verschlüsselte Filetransferdienste. Ein einfaches, benutzerfreundliches und sicheres System bietet beispielsweise WeEncrypt.

Fazit

Es gibt es noch viele weitere Maßnahmen, die Sie digitalen Schutz Ihrer Daten umsetzen können. Mit diesen Empfehlungen legen Sie schon einmal den Grundstein für mehr IT-Sicherheit für Ihre digitalen Werte.

Die Kronjuwelen Ihres Unternehmens

0
Die Kronjuwelen Ihres Unternehmes

Bei Ihrem jährlichen Jahresabschluss nehmen Sie mit der Bilanz sowie der Gewinn- und Verlustrechnung eine systematische Aufstellung des Anlage- und Umlaufvermögens, Eigenkapitals, der Schulden sowie Rechnungsabgrenzungsposten vor. Daraus geht eine betriebswirtschaftliche Bewertung Ihres Unternehmens vor. Mobile und immobile Bestände, Geldwerte und Aktien, Hilfs- und Werkstoffe, Lagerbestand und Arbeitsmittel, Werkzeuge und Geräte, Immobilien und Grundstücke, Schulden und Verbindlichkeiten – alles wird genau analysiert und mit einem Buchwert versehen. Das ist wichtig für eine Gewinnermittlung sowie zur Dokumentation und Information, um die Unternehmensziele weiterzuverfolgen und Planungen zu erstellen.

Doch werden hier reine Finanzwerte abgebildet. Wie steht es jedoch um Ihre nicht monetären Unternehmenswerte?

It’s (not) all about money

Dazu gehören natürlich zum einen ideelle Werte, nach denen Sie Ihre Unternehmenskultur ausrichten, wie z.B. Umweltbewusstsein und Nachhaltigkeit, Wertschätzung von Kunden und Mitarbeitern, Qualitäts- und Innovationsstreben. Diese beeinflussen Ihr Handeln und strategische Ausrichtung und haben damit indirekten Einfluss auf Ihre Bilanz.

Zum anderen sind es die immateriellen Werte wie Ihre Kreativität und die Ihrer MitarbeiterInnen, das Engagement und der Einsatz Ihres Teams, Ihre Produktpläne, Entwürfe und Kundendaten, die die Kronjuwelen Ihres Unternehmens bilden. Weshalb Kronjuwelen?

Kronjuwelen – mehr als nur Schmuck

Als Kronjuwelen bezeichnet man die Schmuckstücke, Juwelen, aus Edelmetallen gefertigte Insignien und Regalien eines Herrscher- oder Königshauses. Neben dem enormen Sachwert (allein die Edwardskrone, nur ein Exemplar der britischen Kronjuwelen, wird auf einen Wert von 39 Millionen EUR geschätzt) ist es der ideelle Wert, der die Kronjuwelen so bedeutend macht. Wer Krone, Zepter und Reichsapfel besitzt, besitzt die Macht über das Reich. Nicht umsonst wurde beispielsweise der Tower in London als sicheres Bollwerk zur Verwahrung der Kronjuwelen gebaut und wird seit jeher von den Yeoman Warders, den sogenannten “Beefeatern“, bewacht.

Körper, Seele und Geist Ihres Unternehmens

Zurück zu den Werten Ihres Unternehmens. Wir haben über drei Kategorien gesprochen: die materiellen Werte, die ideellen Werte und die immateriellen Werte. Sie bilden Körper, Seele und Geist Ihres Unternehmens. Stellen Sie sich nun vor, Sie würden in einer der drei Bereiche einen Verlust erleiden, z.B. durch Diebstahl, Unfälle, äußere Einflüsse – wie hoch wäre der jeweilige Schaden und welche Vorkehrungen treffen Sie zum Schutz oder Ersatz?

Gut gewappnet?

Ihre materiellen Werte (der “Körper”) sind höchstwahrscheinlich gut verwahrt auf Banken, in Tresoren, in sicheren Anlagen. Versicherungen garantieren Ihnen Ersatz bei Schaden oder Verlust.

Ihre ideellen Werte (die “Seele”) unterliegen durch fortwährende Pflege der Unternehmenskultur einem gewissen Schutz, doch sind nicht gefeit vor Angriffen. Hier können Sie mittels juristischer Mittel und passender PR Schadensbegrenzung betreiben.

Bei den immateriellen Werten (der “Geist”) hat sich in den letzten Jahrzehnten ein Wandel in Bezug auf die Verwahrung vollzogen. Produktionsdaten werden digital erfasst und verwaltet, Ideen und Innovationen werden virtuell geteilt, Umsätze, Budgetplanungen und Analysen digital erstellt und geteilt. Warenwirtschaft und CRM – auch Ihre Produkt- und Kundendaten sind in Datenbanken gespeichert. Was früher lokal und sicher in Akten und Ordnern verwahrt wurde, liegt heute auf Servern und in Clouds. Das hat zum einen Vorteile (z.B. Schutz vor Verlust durch Brand, remoter Zugriff, schnellere Auffindbarkeit), zum anderen birgt es neue Gefahren, z.B. Datenverlust oder den in den letzten Jahren in den Medien immer öfter berichteten “Datenleak“.

You’ve been hacked!

Gegen Datenverlust sichern sich die meisten von uns ab, ob durch automatische Dienste oder manuelle Sicherungsmaßnahmen (Lesen Sie mehr in unserem Artikel zum Thema “Digitale Werte sichern”).

Gegen einen möglichen Datenleak sollten Sie ebenfalls gut gewappnet sein. Hier gibt es viele Möglichkeiten, sich vor Angriffen von außen zu schützen, z.B. mittels Virenschutz-Programmen, Firewalls, Zwei-Faktor-Authentifizierung. Die meisten Unternehmen wenden diese Maßnahmen bereits an. Oft ungeschützt sind Daten allerdings, sobald sie (extern) kommuniziert werden. Unverschlüsselte E-Mails und ungesicherte Transfer-Dienste setzen Ihre Daten unnötig der Gefahr einer (Phishing-) Attacke aus. Schnell heißt es dann: “You’ve been hacked!”

“Beefeater” für Ihre Daten

Einen umfassenden Schutz bietet die Ende-zu-Ende-Verschlüsselung von E-Mails und Filetransfer-Diensten. Eine einfache und sichere Lösung bietet WeEncrypt Mail. Als Add-in für Outlook ist WeEncrypt Ihr persönlicher “Beefeater” – immer da, zuverlässig und Sie müssen sich um nichts kümmern. Mit nur einem Klick ist Ihre E-Mail verschlüsselt, dem Empfänger wird neben der verschlüsselten E-Mail ein automatisch generierter Passcode zugestellt.

Für Sie bedeutet das: Mehr Sicherheit für Ihre Kronjuwelen und Ihr gesamtes Unternehmen.

European Cyber Security Month 2020 – Wir sind dabei!

0

Um Bürger und Bürgerinnen sowie Unternehmen und Organisationen für das Themen Cyber-Sicherheit zu sensibilisieren, findet seit 2012 jährlich der European Cyber Security Month (ECSM) statt. Initiator ist die European Network and Information Security Agency (ENISA) der Europäischen Union. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) Schirmherr des ECSM.

Wer steckt dahinter?

Sowohl die ENISA als auch das BSI verfolgen das Ziel, die stetig wachsende Digitalisierung für Anwender, Bürger, Organisationen und Unternehmen sicherer zu machen und über Risiken aufzuklären. Gemeinsam mit anderen Europäischen Cyber-Sicherheits-Gremien leisten sie zudem einen wichtigen Beitrag zur Optimierung der Europäischen Cyberpolitik und schaffen die Grundlagen für Zertifizierungen von sicheren ITK-Anwendungen, -Dienstleistungen und -Prozessen. Damit unterstützen sie seriöse ITK-Unternehmen innerhalb der EU, ihre Wirtschaftlichkeit und Integrität zu stärken. Neben wirtschaftlichen und ökonomischen Faktoren stehen auch soziale und umweltbezogene Aspekte im Fokus. Nicht zuletzt mit der Förderung von Innovationen, Forschung und Ausbildung im ITK-Bereich stärken sie die digitale Kompetenz des Standort Deutschlands sowie der EU und ihrer Länder.

Cyber-Sicherheit – 2020 aktueller denn je

2020 hat die weltweite Corona-Pandemie grundlegende Spuren auch in Bezug auf den digitalen Alltag hinterlassen. Von einem Tag auf den anderen haben Unternehmen von Präsenz- auf remote-Arbeit umgestellt. Mitarbeiter sind ohne große Vorbereitung auf die sie erwartenden Herausforderungen ins Homeoffice gegangen, IT-Abteilungen hatten nur kurze Umstellungszeiten und knappe Ressourcen. Auch im Lehrbereich mussten Schulen und Universitäten, aber auch Eltern und Studierende schnell auf die neue Situation reagieren. Digitale Sicherheit hat in allen Fällen zunächst nicht oberste Priorität, gewinnt mit fortschreitender Entwicklung jedoch immer mehr an Bedeutung. Cyber-Kriminelle haben auch die Pandemie-Krise genutzt, um ihr Ziele zu verfolgen und neue Angriffsflächen zu nutzen. Aktuell ist das Interesse an Sicherheitslösungen hoch und wird es im Alltag des “new normal” bleiben.

Was passiert beim ECSM?

“Information, Sensibilisierung und aktiver Verbraucherschutz im Bereich der Cyber-Sicherheit” benennt das BSI als zentrale Anliegen des ECSM. Dazu sind Unternehmen und Organisationen, die sich mit dem Thema Cyber-Sicherheit auseinandersetzen, aufgerufen, Angebote zur Aufklärung beizutragen. Deutlich über 100 Aktionen finden im Zeitraum Mitte September bis Mitte November 2020 statt, begleitet von intensiver Medienpräsenz. Vorträge, Workshops, Anleitungen, Informationsbroschüren und digitale Anwendungen sind für alle Interessierten kostenlos verfügbar. Mehr Informationen finden Sie auf der Website des BSI und auf den sozialen Kanälen über den Hashtag #ecsm.

Wir sind dabei! E-Mail-Verschlüsselung für jeden

E-Mail-Verschlüsselung ist kein Nischenthema mehr, sondern sollte zur Sicherheitsausrüstung in jedem “digitalen Haushalt” gehören. Unsere digitalen Werte und persönlichen Daten sind ebenso schützenswert wie unser analoges Eigentum. Als Teilnehmer der ebenfalls vom BSI initiierten Allianz für Cyber-Sicherheit ist es uns ein Anliegen, E-Mail-Kommunikation für jeden sicherer zu machen und sind natürlich bei dieser großartigen Aktion dabei!

Wir sind fest davon überzeugt, dass E-Mail-Verschlüsselung einfach und benutzerfreundlich sein muss, ein Mittel zum Zweck. Für Privatpersonen, Schüler und Studenten bieten wir unseren Verschlüsselungs-Dienst WeEncrypt Mail für Outlook kostenlos an. Sie nutzen kein Outlook? Kein Problem! Verschlüsselte E-Mails und große Dateien können Sie auch mit unserem Web-Dienst verschicken. Mehr Informationen finden Sie hier: mein.weencrypt.de.

Wir freuen uns auf einen erfolgreichen ECSM 2020 und mehr Sicherheit im digitalen Raum!