Erweiterte Suche
Im Zuge einer sich verschärfenden Sicherheitslage ist umfassende Cybersicherheitsforschung das Gebot der Stunde. Doch die bestehende Rechtsunsicherheit macht es für Forschende schwer, kommentieren Annika Selzer und Indra Spiecker vom Nationalen Forschungszentrum für angewandte Cybersicherheit Athene.
Das Leben im Dauerkrisenmodus sorgt für eine erhöhte psychische Belastung – daran nicht ganz unschuldig: Unser Digitalverhalten, genauer unser Bedürfnis nach Informationen über Risiken und Gefahren. Wie das mit Cybersicherheit zusammenhängt, erklärt Catarina Katzer.
Die nahezu grenzenlosen Möglichkeiten der Digitalisierung und neuen Technologien wissen Cyberkriminelle für sich zu nutzen. So kommen Angriffe auf Unternehmen aus den unterschiedlichsten – und oft unerwarteten – Richtungen. Da die Technik zum Schutz von Informationen immer besser wird, spezialisieren die Angreifenden sich vermehrt auf den Faktor Mensch als Schwachstelle. Rüdiger Kirsch über die beliebtesten kriminellen Strategien.
Smartphone, Smart Home, Smart Toy, smart everything – was in der Hosentasche begann, hat sich mittlerweile fast über den kompletten Alltag ausgebreitet. Mit dem Cyber Resilience Act möchte die EU diese Geräte nun nachhaltig sicherer machen. Wird das gelingen?, fragen Katharina Weimer und Melanie Ludolph.
Die UN-Verhandlungen über die Festlegung von Verhaltensregeln im Cyberspace drohten oft zu scheitern. Dabei sind sie elementar für die Völkergemeinschaft im Cyberspace. Heli Tiirmaa-Klaar mit einem Überblick über Herausforderungen und Möglichkeiten.
Kürzlich versammelte der Cybersecurity Leadership Summit Sicherheitsexperten aus der Wirtschaft in Berlin. Die Bedrohungslage durch den Ukraine-Krieg und die rasante Veränderung der Arbeitswelt bestimmten die Debatte. Gastgeber Martin Kuppinger fasst zusammen, was viele Cisos bewegt.
Die Vorratsdatenspeicherung ist zwar weitgehend vom Tisch, aber nun droht ihre jüngste Schwester, bekannt als „Chatkontrolle“, per Europäischer Regulierung eine gefährliche Zensur-Infrastruktur zu schaffen, die von undemokratischen Regierungen, aber auch in der EU selbst missbraucht werden kann, ohne wirksame Kontrollmöglichkeiten durch Wissenschaft, Zivilgesellschaft, Journalismus oder Politik.
Proaktives Threat-Hunting wird immer wieder als Sicherheitsmaßnahme ins Spiel gebracht: Doch was genau verbirgt sich hinter dem Konzept, welche Vorbedingungen müssen erfüllt sein und wie kann ein effektives Threat-Hunting-Programm auch von weniger reifen IT-Sicherheitsteams aufgebaut werden?
Unternehmen und Kritische Infrastrukturen sind im Cyberraum gefährdet wie nie zuvor. Um das Sicherheitsniveau zu verbessern, muss Deutschland seine Beurteilungsfähigkeit verbessern und Kompetenzen bei Schlüsseltechnologien der IT-Sicherheit deutlich ausbauen.
Sicherheit wird zur Voraussetzung von Freiheit, schreibt Sebastian Hartmann, innenpolitischer Sprecher der SPD-Bundestagsfraktion. Für mehr Cybersicherheit in Deutschland brauche es eine europäische digitale Souveränität. Wichtig seien vor allem EU-weite Sicherheitsstandards und Plattformregulierung.
Kaspersky schlägt Maßnahmen vor, wie das Vertrauen in Informationssicherheitstechnologie nachgeprüft werden kann.
Ein funktionierender Datenhandel wird zunehmend zu einem zentralen Wettbewerbsfaktor der europäischen Wirtschaft. Doch die meisten Unternehmen haben Angst davor, die eigenen Daten zu teilen. Für Wolfgang Maaß, Wissenschaftlicher Direktor am Deutschen Forschungszentrum für Künstliche Intelligenz, verbirgt sich im Vertragsrecht ein wichtiger Lösungsansatz, ihnen diese Angst zu nehmen.
Die meisten Unternehmen in Deutschland sind zu klein, als dass sie mit Aufklärung, Schulung und Förderung zu einem soliden Cybersicherheitsniveau gebracht werden könnten, kommentiert Torsten Wunderlich, Leiter des Informationsbüros Berlin bei Datev. Dieser Tatsache müssten sie sich stellen.
Mitarbeitende zum cybersicheren Verhalten zu motivieren ist nicht trivial. Der „Faktor Mensch“ wird als größtes Sicherheitsrisiko bezeichnet und doch selten wirksam adressiert. Die Grundsätze einer effektiven Maßnahme zur Erhöhung des Cybersicherheitsbewusstseins erklärt die Spezialistin Cornelia Puhze.
Auch im Netz dürfen Bürgerinnen und Bürger nicht das Gefühl haben, dass das Privatleben Gegenstand ständiger Überwachung ist. Wie sich der Staat Grenzen setzen muss und warum Quick Freeze eine bessere Variante ist als anlasslose Vorratsdatenspeicherung oder Chatkontrolle, kommentiert Bundesjustizminister Marco Buschmann.
Attribution gehört zu den zentralen Herausforderungen der Cybersicherheit – umso wichtiger ist der Informationsaustausch über böswillige Akteure, kommentiert Costin Raiu von Kaspersky. Der Sicherheitsexperte gibt einen Überblick über APTS, die bislang im Verborgenen agierten.
Die Schäden von Cybersicherheitszwischenfällen gehen in die Milliarden – um das zu verhindern, müssen Unternehmen deutlich mehr in IT-Sicherheit investieren. Um die Risiken deutlich zu minimieren, muss mehr in das Vermeiden und auch in das Entgegenwirken von Angriffen investiert werden, kommentiert Norbert Pohlmann.
Mit dem Data Privacy Framework ist im Ringen von USA und EU um die Zukunft der Daten-Governance ein Durchbruch gelungen, meint Tyson Barker. Damit seien geopolitische Chancen verbunden. Es gelte nun, den neuen Rechtsrahmen mit Leben zu füllen.
Deutschland verstärkt seine Landes- und Bündnisverteidigung. Die jüngsten Beschlüsse in Nato und EU zielen in die gleiche Richtung: Das freie Europa soll wehrhafter werden. Dazu braucht es aber nicht nur Geld, Material und Personal. Die erneute Ausrichtung auf die Landes- und Bündnisverteidigung (LV/BV) erfordert auch eine robuste und resiliente Mentalität. Es gilt, ein Mindset LV/BV zu verinnerlichen, um den Auftrag zum Schutz von Demokratie und Freiheit wirksam erfüllen zu können.
Die IT-Sicherheit von autonomen Fahrzeugen ist eine Mammutaufgabe: Funkschnittstellen, Systeme unterschiedlicher Hersteller, Internet-Anbindung und Kommunikation mit Komponenten, Smart-City-Teilnehmern und einem Vehicle Security Operation Center (VSOC) erfordern nicht nur den Einsatz von entsprechenden Werkzeugen, sondern auch Risikostrategien. Vor diesem Hintergrund sind detaillierte, festgezurrte Implementierungsvorgaben eher hinderlich, kommentiert Cristian Ion von Cymotive.
Mit der voranschreitenden Entwicklung von Quantencomputern bieten sich neue Möglichkeiten zur Lösung komplexer Probleme. Gleichzeitig bedroht ihre Leistungsfähigkeit heute eingesetzte kryptografische Verfahren. Warum Kryptoagilität nicht nur angesichts von Quantencomputern der Schlüssel ist, den Herausforderungen unserer Zeit zu begegnen, erklären Claudia Eckert und Marian Margraf vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC.
Jede Lieferkette ist nur so stark wie ihr schwächstes Glied, das gilt auch für die Architektur der Cybersicherheit. Warum Unternehmen beim Mindestmaß an Sicherheitsvorkehrungen besonders auf die Drittanbieter in der Lieferkette achten sollten, kommentiert Jonas Rahe von Cisco Deutschland.
Die russische Invasion in die Ukraine hat deutlich gemacht, wie schnell Telekommunikationsinfrastrukturen und ihre Netze ins Visier von Angreifern geraten. Neue Technologiekonzepte wie Open RAN machen Netze interoperabel, was aber gleichzeitig angepasste Sicherheitsmaßnahmen erfordert. Warum Identitäts-Management auch bei Sendemasten gilt, und wie sich Telekommunikationsanbieter in der Welt offener Standards schützen, erklärt Carsten Mieth von Atos.
Das Auswärtige Amt erarbeitet eine Nationale Sicherheitsstrategie. Diese muss Aspekte wie Krisenprävention, Klimaaußenpolitik und eine umfassende Verteidigungsfähigkeit verzahnen. Vor allem aber muss Deutschland eine strategische Kultur entwickeln und anhand klar formulierter Interessen Verantwortung und Führung übernehmen, sagt MdB Roderich Kiesewetter.
Mit Stable Diffusion ist eine KI-Software frei zugänglich, die Texteingaben in erstaunlich gute Bilder umwandelt. Verstörend sind sie auch, findet die Datenexpertin Lena-Maria Böswald von Democracy Reporting International. Warum Text-zu-Bild-Generatoren Risiken für unseren Medienkonsum – und die Demokratie – bergen, zeigt eine neue Studie auf.
Die „Zeitenwende“ beweist einmal mehr und sehr eindrücklich, wie riskant einseitige Abhängigkeiten für die souveräne Handlungsfähigkeit sein können. Um diese Handlungsfähigkeit zu schaffen, braucht es den Willen zur Gestaltung und unterschiedliche Stakeholder, kommentiert Teresa Ritter von der Agentur für Innovation in der Cybersicherheit (Cyberagentur).
Seit Beginn des Zulassungsverfahrens im Oktober 2020 sind aktuell 33 Digitale Gesundheitsanwendungen zugelassen worden, davon 20 vorläufig. Großer Knackpunkt: Die Sicherheit. Und bei der hapert es auch an der Kommunikation zwischen Unternehmen und Behörden, kommentieren Dennis Scholz und Jan Arfwedson.
Der Cyber Resilience Act hat das Potenzial Cybersicherheit endlich nachhaltig zu verankern. Konsequent angewendet, könnte er eine ähnliche Flächenwirkung mit globalem Bekanntheitsgrad erlangen wie die DSGVO. Worauf sich Unternehmen nun einstellen müssen, erklärt André Kudra vom Bundesverband für IT-Sicherheit Teletrust.
Es ist höchste Zeit, Behörden, Verwaltungen und öffentliche Infrastruktur nachhaltig gegen Cyberkriminalität zu wappnen. Es gilt die Voraussetzungen dafür zu schaffen, dass sie auch im IT-Angriffsfall funktionsfähig bleiben. Nicht nur, um ökonomischen Schaden abzuwenden, sondern auch, um das Vertrauen in den Staat und seine Institutionen zu stärken, sagt Ulrich Silberbach, Bundesvorsitzender des DBB Beamtenbund und Tarifunion.
Geopolitisch haben wir einiges verschlafen, findet der Chef des IT-Systemhauses der Bundeswehr, Martin Kaloudis. Deshalb ist es gut, dass die Digitalstrategie der Bundeswehr die Digitale Souveränität ins Zentrum stellt. Jetzt muss in den entscheidenden Bereichen gehandelt werden. Weiterschlafen ist keine Option.
Bei der Schaffung von Resilienz in Cyber- und Informationsraum Deutschlands ist nun zielgerichtetes und nachhaltiges Handeln gefragt – und klare Zuständigkeiten. Dabei droht das Thema vor dem Hintergrund der Energiekrise in Vergessenheit zu geraten, warnt Barbara Engels vom Institut der deutschen Wirtschaft.
Wer an Cybersicherheit denkt, denkt noch viel zu oft an Großunternehmen und Endnutzer. Doch auch das Handwerk muss Cybersicherheit als integralen Bestandteil seiner Arbeit begreifen. Stephan Blank, ZDH-Referatsleiter und Projektleiter des Mittelstand-Digital Zentrums Handwerk, und Juliane Haase, stellvertretende Projektleiterin, erläutern die zentralen Herausforderungen.
Viele Betreiber Kritischer Infrastrukturen legen den Schwerpunkt ihrer Sicherheitsstrategien auf die Prävention. Das reicht aber nicht aus, warnt Brian Spanswick, Chief Information Security Officer beim Datenmanagement-Anbieter Cohesity. Auch um die Erkennung und Eindämmung von erfolgten Angriffen müssen sich die Verantwortlichen Gedanken machen.
Kleine und mittelständische Unternehmen haben das Risiko von Cyberangriffen für ihr Geschäft erkannt, verzichten jedoch oft noch auf geeignete Schutzmaßnahmen. Marc Dönges vom Bundesverband mittelständische Wirtschaft (Der Mittelstand. BVMW) erläutert, wie sich das ändern könnte.
Neue Untersuchungen zeigen, dass Programmierschnittstellen ein erhebliches Risiko für Unternehmen darstellen – doch viele Unternehmen haben das Einfallstor API nicht auf dem Schirm, warnt Kai Zobel, Area Vice President EMEA Central beim Cybersicherheitsunternehmen Imperva.
Die zunehmende Bedrohung durch Cyberkriminalitätsnetzwerke hat die Cybersicherheit ganz oben auf die Tagesordnung gesetzt. Bjarke Alling erklärt, wie Deutschland und Dänemark mit dem elektronischen Ausweis Europa den Weg zur Cybersicherheit aufzeigen.
Angesichts nordkoreanischer Cyberkriminalität und digitaler Angriffe aus dem isolierten Land auch auf Ziele in Europa setzt die EU auf eine strategische Partnerschaft mit Südkorea. Dabei stellt die Prävention nordkoreanischer Cyberangriffe den „cyberdiplomatischen Instrumentenkasten“ der EU vor einige besondere Herausforderungen, kommentiert Benedikt Staar, Research Fellow an der Universität Duisburg-Essen.
In Deutschland ist das Verantwortungsbewusstsein für die Sicherheit und auch das Schutzniveau noch zu niedrig. Warum die Lösung dieses Problems nicht in einzelnen Politikressorts liegt, sondern gesamtgesellschaftlich gelöst werden muss, erklärt Ferdinand Gehringer.
Autobauer und Zulieferer sind künftig durch eine EU-Richtlinie verpflichtet, ein lückenloses Cyber Security Management System (CSMS) zu betreiben – sonst gibt es keine Zulassung für neue Fahrzeugtypen. Für Joachim Mohs, Cybersecurity-Experte für die Automobilindustrie bei PwC Deutschland ist das ein Weckruf für Security-by-Design in der deutschen Vorzeigebranche.
Nanomaterialen mit möglicherweise toxischen Auswirkungen auf die Gesundheit von Menschen und Ökosystemen zählen zu den langfristigen Folgen des Krieges. Kobi Leins hält eine Wiederbelebung des Umweltkriegsübereinkommen gerade in Zeiten hochtechnisierter Konflikte für geboten.
Beim Identitätsmenagenment sind Sicherheit und eine frustrationsfreie User-Experience gleichermaßen wichtig für die Akzeptanz. Ein Entweder-oder darf es hier nicht geben, meint Andre Durand, CEO und Gründer von Ping Identity.
Einige der verheerendsten Cyberangriffe staatlich unterstützter Akteure auf die Ukraine wurden über gestohlener Code-Signing-Zertifikate ermöglicht. Durch die gefälschten Maschinenidentitäten kann Wiper-Schadsoftware unbemerkt auf fremde Systeme geladen werden. Wieso nicht genug getan wird, um sich dagegen zu schützen, erklärt Kevin Bocek, Vizepräsident des Cybersicherheitsunternehmens Venafi, im Standpunkt.
Mehr als 50 deutsche IT-Sicherheitsforscher:innen haben den Offenen Brief für ein Verbot von Lösegeldzahlungen bereits unterschrieben. David Fuhr, Head of Research & Innovation bei Hisolutions, sagt, damit würde man Ransomware-Angriffe nicht verhindern. Warum er trotzdem unterschrieben hat.
Cyberdiplomatie nimmt in der internationalen Politik stark wachsenden Stellenwert ein. Der Policy Director des Wilfried Martens Centre for European Studies, Peter Hefele, beschreibt den Wettstreit der Systeme im Cyberraum und welche strategischen Implikationen daraus für Deutschland entstehen.
Eine cybersichere Gesellschaft kann nur gelingen, wenn auch weniger technik-affine Menschen für IT-Sicherheit sensibilisiert werden. Opfern vorzuwerfen, eine Phishing-Mail nicht erkannt zu haben, hilft da nicht weiter. Stattdessen ruft Anna-Lena Hosenfeld zum Mitmachen beim Digitaltag auf.
Kund:innen möchten online vor allem eines: Sich von überall einfach und bequem für digitale Dienste registrieren können. Und zwar ohne auf den Schutz ihrer Daten verzichten zu müssen. In diesem Zusammenhang wird die Identitätsbranche nicht müde, darauf hinzuweisen, dass es keine Kompromisse zwischen Sicherheit und Nutzerfreundlichkeit am Login geben darf. Dafür müssen Unternehmen aber erst einmal die Login-Erwartungen ihrer Kund:innen kennen, sagt Vittorio Bertocci.
Augenscheinlich starke Passwortphrasen und der Einsatz von Passwortmanagern vermitteln nur ein Gefühl der Sicherheit, warnt Patrick McBride von Beyond Identity. Das Problem sei die Technologie Passwort selbst.
Erst wenn man sich virtuelle IT-Systeme als real gemauerte Häuser vorstellt, wird deutlich, an welcher Stelle das Zero-Trust-Prinzip zusätzliche Stabilität bieten kann. Kai Martius von Secunet Security Networks erklärt, was hinter dem Modewort Zero-Trust steckt – und was Architekt:innen beachten müssen.
Der Schienenverkehr und seine Steuerung werden digitaler – und dadurch auch angreifbarer, sowohl in Deutschland als auch in Europa. Schon beim Aufbau der Systeme müssen daher zentrale Cybersicherheitsstandards mitgedacht werden, empfiehlt Hans Kraft von Thales Deutschland.
Cybersicherheit ist auch und gerade für das Gesundheitswesen im wahrsten Sinne des Wortes überlebenswichtig. Doch bei der Umsetzung sind viele Akteur:innen überfordert. Jan Arfwedson, Leiter E-Health-Hub im Cyber-Sicherheitsrat Deutschland e. V., fordert mehr Aufklärung.
Die Erwartungen an die Cloud-Transformation sind hoch. Hier werden Entwicklung (Development) und Betrieb (Operations) so eng verzahnt, dass ein kontinuierlicher Integrations- und Deployment-Zyklus möglich wird. Doch mit diesem DevOps-Prozess gehen viele Unternehmen zu sorglos um. Ohne den Sicherheitsaspekt wird DevOps schnell zur Achillesferse der Cloud-Transformation, erklärt Sven Schreyer, Director Cyber Security & Privacy bei PwC Deutschland.
Der Weg erscheint vielen Betroffenen der einfachste: Lösegeld zahlen und schon ist das Unternehmen die Ransomware los. Doch das täuscht, denn nicht nur sind entsprechende Zahlungen umstritten, Unternehmen unterschätzen auch die „Nebenkosten“ von Cyberangriffen, erklärt Christine Schönig, von Check Point Software Technologies, am Beispiel der Gruppe Conti.
Die totgesagten Kennwörter sind noch längst nicht tot. Dennoch verändert sich die Art, wie Nutzer:innen sich authentifizieren, hin zu mehr Sicherheit und Bequemlichkeit. Dabei geht es nicht nur um Authentifizierung, sondern auch um die Autorisierung, erklärt Martin Kuppinger.
Die Strafverfolgung von Cyberkriminalität steht weiterhin vor vielen Herausforderungen. Julian-Ferdinand Vögele, Analyst beim IT-Sicherheitsunternehmen Recorded Future, hat die Fälle der vergangenen Jahre analysiert.
Fast zehn Milliarden australische Dollar werden für die Cybersicherheit Australiens bereitgestellt; das Programm Redspice soll sowohl die defensive als auch offensive Cyberfähigkeiten ausbauen. Was dies für die australische Cyberstrategie bedeutet, wo das Geld herkommt, und wie es um die Offensivbereitschaft Australiens bestellt ist, erklärt Paul Haskell-Dowland.
Die globale Debatte um Cybernormen hat 2022 neuen Schwung erhalten. Die deutsche Regierung gehört zu ihren eifrigen Befürwortern. Doch tut sie auch, was sie predigt? Das Beispiel des staatlichen Schwachstellenmanagements zeigt: nein, analysiert Alexandra Paulus von der Stiftung Neue Verantwortung.
Durch Russlands Krieg gegen die Ukraine besteht eine ständige Eskalationsgefahr im Cyberraum. Die Cybersicherheitsexpertin an der estnischen E-Governance-Akademie, Merle Maigre, fordert verbündete Staaten auf, Cyberangriffe zu attribuieren, mehr Informationsaustausch zu wagen, und sich strategisch sowie diplomatisch auf Cyberangriffe vorzubereiten.
Russlands Krieg gegen die Ukraine enthält weniger Hightech-Elemente als von der Technologiegemeinschaft zunächst vermutet. Welche Motive hinter der russischen Kriegsführung stehen und worauf sich Europa vorbereiten sollte, erklärt die Direktorin des Digital Society Institute am ESMT Berlin, Heli Tiirmaa–Klaar.
Der Rückzug westlicher Firmen aus Russland schafft eine ungeahnte Angriffsfläche für die digitale Sicherheit. Warum aus zurückgelassener IT-Infrastruktur blinde Flecken entstehen können, erläutert Zac Warren.
Vom Abschalten von Webseiten bis zum Infiltrieren der Steuerungssysteme: Verkehrsinfrastrukturen geraten zunehmend ins Visier, denn die zunehmende digitale Vernetzung der Systeme macht diese angreifbar. Die aktuellen Herausforderungen und mögliche Schutzmaßnahmen erklärt Stefan Katzenbeisser.
„Offense wins games, defense wins championships“ – diesen Satz kennt, wer sich schonmal näher mit American Football und dem Superbowl beschäftigt hat. Diesen Satz sollte sich auch die bundesdeutsche Politik – allen voran Bundesinnenministerin Nancy Faeser (SPD) noch einmal zu Gemüte führen, kommentiert Hauke Gierow.
Dank Künstlicher Intelligenz werden mehr und mehr Daten direkt vor Ort in der Edge gefiltert und ausgewertet. Doch während Ressourcen und Bandbreite geschont werden, vergrößert sich so die Angriffsfläche für Cyberspionage und -sabotage.
Das russische Unternehmen Kaspersky – bislang ein Musterbeispiel für Transparenz – wirft ein Schlaglicht auf die Lieferketten der Softwarebranche, analysiert Sicherheitsexperte Thomas R. Köhler.
Während der Krieg auf ukrainischem Boden tobt, herrscht auch im digitalem Raum ein Kampf. Hacktivist:innen initiieren Cyberangriffe, um die gegnerische Seite zu schwächen. Ihre Erfolge machen sie im Internet publik.
Zahlreiche politische und wirtschaftliche Initiativen sollen die Cybersicherheit verbessern – aber ohne Expert:innen können die nur wenig nachhaltig sein. Es ist an der Zeit IT-Sicherheit nicht mehr nur als technologisches Thema zu begreifen – was das bedeuten kann, zeigen Nicole Gaiziunas und Maik Neubauer.
(Cyber)Fähigkeiten auf allen Ebenen – nur so können hochkritische Infrastrukturen geschützt und das Sicherheitsgefühl der Bevölkerung gewahrt werden. Diese wichtigen Investitionen für den privatwirtschaftlichen Gesellschaftsschutz müssen bewusst abgewogen werden – wie genau, das erläutert Timo Kob im Standpunkt.
