Gefahr für Daten auf mobilen Geräten
Bedrohungspotenzial auf kritischem Niveau
Neun von zehn Unternehmen in Deutschland setzen bereits mobile Geräte im
Geschäftsalltag ein. Jedoch verfügt nur knapp die Hälfte der Firmen über
Richtlinien für den sicheren Umgang mit Smartphones und Tablet-Computern.
Zudem steht die Vielzahl eingesetzter Plattformen einer zügigen Implementie-
rung im Weg.
Der Schutz lokal gespeicherter Daten auf mobilen Geräten stellt für deut-
sche IT-Abteilungen derzeit die größte Herausforderung dar. Drei von vier IT-
Entscheidern befürchten den Verlust sensibler Daten durch den unbefugten
Zugriff auf Smartphones. 57 Prozent der Verantwortlichen sehen diese Gefahr
auch beim Einsatz von Tablet-Computern. "Das Bedrohungspotenzial für mo-
bile Geräte im Firmeneinsatz hat inzwischen ein kritisches Niveau erreicht."
(Quelle: datakontext.com, 2011)
Studie Datendiebstahl
Studie: Daten-Diebstahl ist bei vielen Unternehmen an der Tagesordnung
Um herauszufinden, wie IT-Manager Gefahren aus dem Web einschätzen und
den Verlust sensibler Daten verhindern, hat Websense in der neuen Sicher-
heitsstudie "Security Pros & 'Cons' – IT Professionals on Confidence, Confiden-
tial Data, and Today´s Cyber-Cons" mithilfe des Marktforschungsinstituts
Dynamic Markets 1.000 IT-Manager zur IT-Sicherheit befragt.
Die Untersuchung hat gezeigt, dass bei rund einem Drittel der Unternehmen
schon einmal sensible Daten gestohlen wurden, auch in der Führungsetage.
Das erklärt den immensen Druck, dem IT-Verantwortliche ausgesetzt sind:
Rund 72 Prozent der IT-Manager erklärten, dass der Schutz von sensiblen
Daten im Unternehmen mehr Stress als eine Scheidung, Schulden oder ein
kleiner Autounfall produziert.
(Quelle: All-About-Security.de 2011)
Schwachstellen bleiben häufig unentdeckt
Schwachstellen in der IT-Security bleiben häufig unentdeckt
Zu diesem Ergebnis kommt die jetzt von der IDC vorgestellte Studie zum Status
der IT-Security-Praxis in Deutschland: „Sind Ihre sensitiven Daten sicher?“ Für
die Erhebung haben Analysten der IDC die IT-Security-Verantwortlichen in 150
deutschen Unternehmen befragt. Danach findet das Thema Security und
Compliance in den deutschen Organisationen zwar zunehmend Berücksichti-
gung. Generell scheint aber die IT-Sicherheit, gemessen am Grad der Automa-
tisierung von IT Security Controls, in Deutschland noch auf einem niedrigen
Stand zu sein.
Dabei wissen die Unternehmen genau, welche Daten als besonders sicher-
heitsrelevant zu bewerten sind und wie sie die Gefahren im Falle einer Sicher-
heitslücke einzuschätzen haben. Über 95% der Befragten gehen davon aus,
dass ein Datenverlust zu einem Vertrauensverlust beim Kunden und negativen
Auswirkungen auf das Image des Unternehmens führen wird. Hinzu kommen
Umsatzverluste (67,3%), Schadenersatz, Wiederherstellungskosten, Vertrags-
strafen und höhere Betriebskosten (66,7%), gesetzliche Strafen und Bußgelder
(52,7%) sowie der Verlust des eigenen Jobs (12,7%).
Mangel an Know-how und Budget lässt Sicherheitslücken klaffen
Sicherheitslücken und deren Auswirkungen, wie z. B. ein eingeschleuster
Schadcode, kompromittierte Daten und Dateien sowie jeglicher unbefugte
Zugriff auf die IT-Infrastruktur müssen also umgehend entdeckt und geschlos-
sen bzw. behoben werden. In der Befragung gibt jedoch weniger als die Hälfte
der Unternehmen an, im Falle eines erfolgreichen Angriffs auf die IT die Ursa-
che und alle nicht autorisierten Eingriffe schnell herausfinden und identifizie-
ren zu können. 51% der Organisationen fühlen sich dazu jedoch nur teilweise
in der Lage oder fürchten, diesen Anforderungen nicht gewachsen zu sein.
Damit bleibt ein Großteil der Schwachstellen in der IT-Security unentdeckt.
Es gibt sehr unterschiedliche Gründe für das Versagen der IT-Security bei
der Erkennung und Schließung von Sicherheitslücken. Der Studie zufolge sind
die drei häufigsten der Mangel an passenden Fachkräften (48,7%), fehlendes
internes Know-how (42,7%) und ein zu kleines Budget für den Kauf geeigneter
Technologien (39%). Es besteht also ein hoher Bedarf, entsprechende Fähigkei-
ten im Unternehmen aufzubauen. Dabei muss genau darauf geachtet werden,
dass die knappen Ressourcen dort zum Einsatz kommen, wo Angriffe am wahr-
scheinlichsten und am schwerwiegendsten sind.
Knapp ein Viertel der deutschen Unternehmen nimmt keinerlei
Qualitätsmessung vor
Nach eigenen Angaben setzen heute zwar 90% der befragten Unternehmen
grundlegende Basis-Controls wie Malwareschutz oder Datenwiederherstellung
ein; weitergehende Instrumente jedoch, die Schwachstellen in der IT-Security
aufdecken und Abhilfe schaffen könnten (Security Configuration Management,
Störfallbearbeitungen, Auslastungstests), werden bisher kaum genutzt. Auch
die Prüfung (Audit) der Effektivität von IT Security Controls ist ein wichtiges
Element zur Messung der Qualität einer sicheren Infrastruktur. 24% der Be-
fragten geben aber an, solche Prüfungen niemals durchzuführen, 53,3% der
Unternehmen nehmen solche Audits gerade einmal jährlich vor.
Wenn keine regelmäßigen Überprüfungen der IT Security Controls stattfin-
den, so verringert das den Wert dieser Instrumente erheblich, da stets sicher-
gestellt sein muss, dass sie funktionieren und effektiv sind. Unternehmen kön-
nen unmöglich etwas verwalten, das sie nicht vorher messen – und der Mangel
häufiger Prüfungen führt damit zu einem erhöhten geschäftlichen Risiko.
(Quelle: All-About-Security.de 2011)
2011 wird Malware-Rekordjahr
2011 ist auf dem Weg zum Malware-Rekordjahr
Mitarbeiter der McAfee Labs haben in 15 Ländern die Aktivitäten von Spam-
mern, Scammern und anderen Internetkriminellen beobachtet und die Ergeb-
nisse mit denen der vorangegangenen Quartale verglichen.
Während das dritte Quartal bereits der Zeitraum in der Geschichte der
Malware mit dem höchsten Aufkommen an Schadsoftware sowohl für Mobil-
geräte als auch insgesamt war, steht derselbe Rekord nun auch für das Ge-
samtjahr 2011 bevor. Ende 2010 war McAfee Labs noch davon ausgegangen,
dass die Zahl der individuellen Malware-Ausprägungen bis Ende 2011 die 70-
Millionen-Marke erreichen würde. Angesichts der rapide zunehmenden
Verbreitung von Schadsoftware hat die Forschungsabteilung ihre Prognose
jetzt auf 75 Millionen Malware-Varianten nach oben korrigiert. Das wäre ein
historischer Höchststand.
(Quelle: All-About-Security.de 2011)
Millionenverluste durch Datenschutz verhindern
Durch zuverlässigen Datenschutz Millionenverluste verhindern
Die Kosten, die Unternehmen durch Datenverluste entstehen, waren noch nie
so hoch wie heute: 7,2 Millionen US-Dollar, umgerechnet rund 5,3 Millionen
Euro Schaden richtete im vergangenen Jahr ein Datenleck durchschnittlich an.
Das entspricht einer Summe von 214 Dollar (157 Euro), die Unternehmen für
jeden verlorengegangenen Datensatz zahlen mussten. Der Verlust eines be-
sonders sensiblen Datensatzes verursachte durchschnittlich sogar Kosten in
Höhe von 305 Dollar (224 Euro). Gerade die sich schnell wandelnde IT-Land-
schaft mit ihren immer unübersichtlicheren Risiken trägt dazu bei, dass große
Datenpannen quer durch alle Branchen und Unternehmensgrößen auftreten,
so die aktuelle Veröffentlichung „Data loss prevention – Keeping your sensitive
data out of the public domain“ der Beratungsgesellschaft Ernst & Young
GmbH. „Datenlecks muss besser vorbeugt werden, denn digitale Informatio-
nen sind ein wertvolles Unternehmensgut. Das Schlimme ist: Viele Datenver-
luste werden noch nicht einmal bemerkt. Eine wirkungsvolle Prävention gelingt
also nur durch die Entwicklung einer perfekt abgestimmten Strategie und der
Installation vielschichtiger Kontrollen“, berichtet Ernst & Young.
Neue Technologien und Datenmengen erhöhen die Risiken
In der IT-Landschaft entstehen ständig neue Risiken. Die kontinuierlich stei-
gende Zahl der Übertragungsmethoden, Speichermöglichkeiten auf kleinstem
Raum und die Unübersichtlichkeit der Verteilung erhöhen die Gefahr des
Datenverlusts. Auch die Tatsache, dass sensible Daten einen beträchtlichen
Wert darstellen und in einer immer größeren Zahl vorhanden sind, erhöht das
Risiko, dass diese entwendet werden. „Bereits in zehn Jahren wird es 44 Mal so
viele digitale Informationen geben wie heute, nämlich 35 Zettabyte (35 Billio-
nen Gigabyte). Mit steigender Zahl der Informationen wird es dann auch zu
wesentlich mehr Datenverlusten kommen, deren Auswirkungen auf die Wirt-
schaft heute noch nicht überschaubar sind“, so Ernst & Young.
(Quelle: All-About-Security.de 2011)
Sorglosigkeit bei Cyberattacken
Symantec-Umfrage: Kleinere Unternehmen sehen Cyberattacken gelassen
entgegen und verzichten oft auf einfachste Schutzmaßnahmen
Ein Großteil der Umfrageteilnehmer verzichtet sogar auf grundlegende Sicher-
heitsvorkehrungen, um die eigenen Informationen zu schützen. Und das, ob-
wohl den Firmen die Bedrohungen und die Konsequenzen einer erfolgreichen
Attacke bekannt sind.
Nur 39 Prozent der Befragten gaben an, Virenschutzsoftware auf sämtlichen
Desktops im Unternehmen installiert zu haben. Weitere 47 Prozent vernach-
lässigen den Schutz ihrer E-Mail-Server, und 63 Prozent sichern die Computer
nicht ab, mit denen sie Online-Banking betreiben. Immerhin 54 Prozent der
Befragten wissen, dass Angriffe mit Schadcode ihre Produktivität schmälern
könnten. Doch die Hälfte der befragten Unternehmen ist der Meinung, dass sie
auf Grund ihrer geringen Größe kein Angriffsziel seien und eher große Firmen
Grund zur Sorge hätten. Ein Trugschluss, denn laut Symantec.cloud galten seit
Beginn 2010 40 Prozent aller gezielten Attacken kleineren und mittleren
Unternehmen.
(Quelle: All-About-Security.de 2011)
Schwachstellen bei Google Chrome
Schwachstellen bei Google Chrome
Es wurden diverse Schwachstellen in aktuellen Versionen des Google Browsers
Chrome identifiziert. Die vorliegenden Schwachstellen sind als kritisch zu be-
trachten und sollten schnellstmöglich beseitigt werden.
(Quelle: googlechromereleases.blogspot.com, 2011)
Google-Hacking
Google-Hacking
Die einen nutzen Suchmaschinen, um Informationen zu recherchieren. Die an-
deren, um vertrauliche Informationen zu stehlen. In einem aktuellen Hacker-
Report untersuchen Sicherheitsexperten das so genannte Google Hacking. Ein
Studienergebnis: Mit einer einzigen Suchmaschinenattacke können Hacker
mehr als 80.000 tägliche Suchanfragen vortäuschen und so nach unsicheren
Webanwendungen fahnden.
Hacker denken sich aber immer neue Wege aus, um an sensible Daten zu
gelangen. Google und andere Suchmaschinen versuchen zwar, den Datenklau
durch Anti-Automatisierungsansätze zu unterbinden, Cyberdiebe setzen aber
zunehmend auf verteilte Bots. Diese verleiten zur Annahme, dass eine einzige
Person eine Suche durchführt. Stattdessen attackieren Hacker die Suchma-
schine im großen Stil.
Google Hacking beschreibt Attacken auf alle Suchmaschinen. Mithilfe dieser
Methode wollen Hacker anonym und risikofrei Informationen über mögliche
Ziele und Sicherheitslücken ausspionieren. So können sie maßgeschneiderte
Angriffspläne gegen Unternehmensanwendungen entwickeln und beispiels-
weise Webseiten kontaminieren, Daten stehlen oder die Kontrolle von Servern
vollständig übernehmen.
Um Suchmaschinen für ihre Zwecke zu nutzen, automatisieren Hacker Such-
anfragen und -ergebnisse. Auf diese Weise können sie schnell und problemlos
eine riesige Zahl an Anfragen stellen und Resultate durchleuchten.
Zum Schutz setzen Suchmaschinenanbieter auf Erkennungsmechanismen,
die auf der IP-Adresse der zugrundeliegenden Suchanfrage basieren. Der
Sicherheitsanbieter hat herausgefunden, dass Hacker diese Methoden mitt-
lerweile problemlos umgehen können: Sie streuen ihre Anfragen über ein
Netzwerk verschiedener bereits angegriffener Suchmaschinen (besser bekannt
als "Botnetz"). In einer Botnetz-Attacke können Hacker ihre Identität verber-
gen, denn die eigentliche Suchanfrage stellt der bereits angegriffene Host. Eine
Rückverfolgung ist extrem schwer.
(Quelle: All-About-Security.de 2011)
News Flash