Mai 2017: WannaCry, ein Verschlüsselungstrojaner, verbreitet sich rasend schnell und lähmt viele Unternehmen, weil deren Systeme innerhalb kürzester Zeit blockiert werden. Auch Teile des britischen National Health Service (NHS) mit mehreren Krankenhäusern sind betroffen. Später wird kommuniziert, dass nicht ausgeschlossen werden kann, dass Menschenleben ohne diese "Panne" hätten gerettet werden können Konkreter im September 2020: Das Handelsblatt titelt: "Todesfall nach Hackerangriff auf Uni-Klinik Düsseldorf.

Die Staatsanwaltschaft prüft Ermittlungen wegen fahrlässiger Tötung und Mord aufzunehmen". Ende September wird bekannt, dass UHS (Universal Health Services) in den USA Opfer einer Ransomware wurde. UHS betreibt rund 400 medizinische Einrichtungen, darunter auch Akutkrankenhäuser.

Haben wir die Kontrolle verloren? Vielleicht noch nicht ganz. Möglicherweise sind wir aber auf dem Weg dorthin und es gibt zwei Hauptgründe dafür: Einerseits werden immer mehr Prozesse digitalisiert. Auch um effizienter zu werden. Die IT-Sicherheit wird dabei häufig kläglich vernachlässigt oder nachrangig bearbeitet. Funktionalität und Trends sind wichtiger als die Sicherheit. Sicherheitsverantwortliche gelten weitherum als Verhinderer, werden bei Projekten aussen vor gelassen und kämpfen um jeden Rappen Budget. Nicht überall, aber vielerorts. Andererseits beschleunigt die Globalisierung die Digitalisierung und die Digitalisierung beschleunigt wiederum die Globalisierung. Gleichzeitig gibt es weltweit sehr viele politische Konflikte. Diese schützen die Cyberkriminellen meist vor den Ermittlern und verhindern, dass diese gefasst und bestraft werden. Gegen ersteres kann jede Firma selbst aktiv werden. Klar gibt es keinen 100%-igen Schutz. Aber viele Firmen sind nach wie vor schlecht geschützt vor Angriffen durch Cyberkriminelle. Schnelle globale Ermittlungen gegen Cyberkriminelle werden vermutlich noch lange auf sich warten lassen. Konzentrieren wir uns doch auf das, was wir tun können und lernen unsere Daten und Infrastrukturen besser zu schützen. Die Experten von goSecurity helfen Ihnen gerne dabei. Ganz nach unserer Mission: goSecurity bewahrt Innovationskraft, Eigentum und Existenz ihrer Kunden durch Schutz vor Cyberangriffen und anderen IT-Ausfällen.

Beste Grüsse aus Wiesendangen

Sandro Müller, CEO


BLOG - SSL Cipher Suites

SSL Cipher Suites

Bei einem rein technischen Penetration Test (ohne Social Engineering) ist es heutzutage meist nicht mehr so einfach in eine fremde Firmeninfrastruktur einzudringen. Klar, manchmal geht das schon. In der Mehrheit der Fälle aber nicht. Dennoch können die Auditoren von goSecurity immer wertvolle Tipps zur Verbesserung der Sicherheit mitgeben. Ein Thema, das wir häufig als vernachlässigt vorfinden, ist das Thema Verschlüsselung.

 

Doch auch hier gilt, dass die Standardeinstellungen nicht immer ausreichen. Vielerorts heisst es einfach, dass Datenspeicher oder Datenströme verschlüsselt werden müssen. Dass es allerdings viele Möglichkeiten zu dieser Verschlüsselung gibt und nicht (mehr) alle als sicher gelten, wird meist nicht erwähnt. "Dem Stand der Technik" soll es entsprechen. Was der aktuelle "Stand der Technik" in Zusammenhang mit Verschlüsselung von Datenströmen über SSL (z.B. bei Webseiten) ist, erfahren Sie im neuesten BLOG von Michel Hennet.


goAware - Ein Augenöffner

newsletter202010 auge

Schon vor einigen Jahren durften wir immer wieder Awareness-Schulungen bei unseren Kunden durchführen. Wir haben aber festgestellt, dass solche Schulungen wenig nachhaltig sind, wenn diese nur alle zwei bis drei Jahre stattfinden. Vor ca. 4 Jahren haben wir uns damit beschäftigt, wie wir unsere Kunden besser unterstützen könnten. Daraus entstand das Awareness-Abo goAware. Es war uns wichtig, regelmässige Massnahmen anzubieten, ohne die Benutzer zu überfordern.

Des Weiteren haben wir uns von Anfang an damit beschäftigt, die unterschiedlichen Lernpräferenzen zu berücksichtigen und das Ganze zu einem attraktiven Preis anbieten zu können. Mittlerweile können wir bei unseren goAware-Kunden feststellen, dass wirklich eine nachhaltige und messbare Verbesserung stattfindet.

Vor einiger Zeit wurde uns die mangelnde Langzeit-Wirkung von "nur" gelegentlichen Schulungen unfreiwillig vor Augen geführt. Uns ist ein Fehler unterlaufen: Tatsächlich haben wir bei einem Kunden, der bereits ca. 3.5 Jahre davor eine Phishing-Kampagne und eine Schulung durch uns durchführen liess, nicht aufgepasst. Uns ist nicht aufgefallen, dass wir bei der erneuten Kampagne exakt dasselbe Phishing-Szenario verwendet hatten. Als wir den Fehler bemerkten, war es aber bereits zu spät, die Kampagne lief. Uns war dies natürlich oberpeinlich. Was jedoch dann passierte, damit hatten wir nicht gerechnet. Bei der aktuellen Kampagne sind mehr Empfänger auf das Phishing reingefallen, als bei der exakt gleichen Kampagne vor 3.5 Jahren.... Und das obwohl die Firma eher eine tiefe Fluktuation aufweist. Was für ein Augenöffner! Der Fehler ist uns nach nach wie vor peinlich. Der Fall hat uns aber deutlich vor Augen geführt, dass eine Schulung alle paar Jahre (zu) wenig Wirkung zeigt.

www.goAware.ch


BLOG: ISO 27000

goSecurity Logo

Das Thema ISO 27000 beschäftigt immer mehr Firmen. Auch wenn eine Zertifizierung zweitrangig ist, lohnt es sich, das Framework genauer anzuschauen. Wir sind der Meinung, dass jedes Unternehmen sich mit den geforderten Themengebieten auseinander setzen sollte. Dazu gehören Access Control. Mitarbeiter-Prozesse, Richtlinien, IT-Prozesse, Kommunikationssicherheit, Verschlüsselung, aber auch physische Sicherheit, Incident Management oder Business Continuity.

 

 

Andreas Wisler liebt die ISO 27000er-Welt. Er bloggt genau zu diesem Thema unter www.27001.blog. Übrigens ist er der erste und einzige ISO 27701 Lead Auditor der Schweiz. Bei dieser zu 27001 ergänzenden Norm geht es um die Etablierung eines Datenschutz-Management-Systems. Ein Thema, das ebenfalls immer wichtiger wird.


Neutrale Experten für Ihre IT-Sicherheit

goSecurity AG

Schulstrasse 11 | 8542 Wiesendangen | +41 52 511 37 37 | Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! | www.gosecurity.ch


Unsere Dienstleistungen

goAware | ISO 27001 | Premium Audit | Penetration Test | Security Konzepte | Trainings