sicherheit
3 TopicsHätten Sie gedacht, dass Deutsche Internetnutzer ihre persönlichen Daten preisgeben?
Als wir kürzlich eine Studie* in Auftrag gegeben haben, die den Datenschutz beziehungsweise das Verhalten der Nutzer in puncto Datennutzung und Schutz betrachtet, hätte ich ja darauf gewettet, dass wir im Vergleich zu anderen Europäischen Ländern viel restriktiver sind – stimmt aber gar nicht! Denn sogar 2/3 der Deutschen sind bereit Informationen zum Familienstand und ihr Geburtsdatum preiszugeben. Viele Befragte geben trotz geringem Vertrauen in bestimmte Organisationen ihre Daten preis, wenn sie im Gegenzug kostenlos Dienste in Anspruch nehmen können. Die Deutschen sind bezüglich des Datenschutzes nicht so kritisch wie gedacht. Ganz im Gegenteil: sie sind sogar relativ nachlässig mit ihren Daten. Um Services eines Unternehmens kostenlos nutzen zu können, würden 63% der Deutschen ihr Geburtsdatum und sogar 65% den Familienstand preisgeben – mehr als in allen anderen befragten Ländern. Einzig in Bezug auf die Handynummern sind die Deutschen dagegen restriktiv – nur ein Viertel würde die Mobilnummer angeben. Die deutschen Verbraucher sehen Banken als die vertrauenswürdigsten Unternehmen (75 Prozent) und glauben, sie würden Kundendaten mehr schützen (74 Prozent) als andere Branchen. Unzufriedenheit verbleibt dagegen bei den Verfahren, die verwendet werden, um Kundendaten zu schützen. Hier ist die Meinung, dass insbesondere Banken (77 Prozent), gefolgt vom Gesundheitswesen (71 Prozent), dem öffentlichen Sektor und der Regierung (74 Prozent), eine bessere Authentifizierung benötigen, um mehr Sicherheit zu schaffen. Unabhängig der Branche, muss jedes Unternehmen mit Kundenbezug seinen Schutz immer wieder hinterfragen und den gestiegenen Anforderungen des Kunden gerecht werden. In Anbetracht der Tatsache, dass man immer sensibler für das Thema Datensicherheit wird, ist es umso wichtiger eine Sicherheits- und Datenschutzinfrastruktur zu erstellen. *Mehr als 7.000 Konsumenten aus Großbritannien, Deutschland, Frankreich, den Beneluxländern, den Vereinigten Arabischen Emiraten, Saudi-Arabien und Polen wurden im Rahmen der Studie zu ihrer Haltung zum Thema Datensicherheit und Handhabung ihrer Daten befragt.191Views0likes0CommentsSicherheits-Investitionen vs. Angriffe – eine Waage im Ungleichgewicht
Wussten Sie, dass 70% der IT-Sicherheits-Budgets in die Sekurität des Netzwerks fließen? Wussten Sie auch, dass 80% der Angriffe aber oberhalb der Netzwerkebene stattfinden? Dazu kommt, dass etwa 80% der CIOs sagen ihr Netzwerk sei sicher! Wie kommt es eigentlich zu dieser Diskrepanz und wie kann ein Unternehmen diese auflösen? Die Lösung dieses Problems ist vielschichtig. Zum einen gibt es in vielen Unternehmen eine Silo-Struktur, in der die Abteilungen nicht interagieren und keinen übergeordneten Blick auf das Thema Sicherheit in ihrem Unternehmen haben. Zum anderen gehen Unternehmen oft fahrlässig mit dem Thema Sicherheit um - nach dem Motto: bisher ist nichts passiert, warum sollte es uns jetzt treffen. Es geht aber nicht darum, ob man Ziel eines Angriffs wird, sondern eher darum wann es passiert. Nehmen wir einmal an, Ihr Unternehmen betreibt einen Online Shop. Wenn sich die Webseite des Shops lange Zeit oder gar nicht aufbaut, kann das zum Beispiel an einem DDoS Angriff liegen. Solche Angriffe werden permanent gezielter und intelligenter. Sie richten sich immer häufiger auf verschlüsselte Seiten – wie beispielsweise eine Login-Seite. Das Gemeine daran: Wenn der Angriff wenige Minuten dauert, dafür aber mehrmals am Tag, fällt das fast keinem auf. Trotzdem verliert Ihr Unternehmen Geld, Reputation und im schlimmsten Fall Kunden. Das gilt natürlich nicht nur für Betreiber von Online Shops, sondern auch für das Bestellsystem eines Automobilherstellers oder für die E-Mail-Anwendungen eines B2B Unternehmens, letztendlich für alle Anwendungen. Wie können Sie sich dagegen schützen? Das möchten wir Ihnen gerne in unserem Video zeigen.180Views0likes0CommentsDDoS 2.0 - es geht noch schlimmer
Wir alle kennen mittlerweile DDoS-Attacken, hierbei wird zum Beispiel die Netzwerkinfrastruktur und/oder die Anwendungsserver massivst attackiert und mit so vielen Anfragen überflutet, dass die Webseiten außer Gefecht gesetzt werden und Kunden beispielsweise keine Einkäufe oder Online-Banking-Aktionen mehr ausführen können. Als Folge der Systemüberlastung bedeutet es für Anbieter solcher Services nicht nur einen finanziellen Verlust sondern auch Einbußen bei der Reputation und im schlimmsten Fall bleiben die Kunden zukünftig einfach aus. Für solche Attacken ist längst kein Fachwissen mehr nötig, denn viele Werkzeuge, um eine Volumenattacke auszuführen, können mittlerweile im Internet bei einschlägigen Anbietern einfach gekauft werden. Schlimm genug – es geht aber noch weiter… Immer häufiger versteckt sich hinter einem volumenbasierten DDoS-Angriff eine schwerwiegendere Attacke. Diese nutzen Schwächen in den höheren Layern (4-7) aus. Denn ist der Dienst erstmal mit einer leicht zu erkennenden, volumenbasierten Attacke ausgeschaltet und beschäftigt sich die zuständige IT-Abteilung mit dem Problem, ist sie somit vom Ort des eigentlichen Geschehens abgelenkt. Mit viel weniger Aufwand kann nun verdeckt eine „intelligentere“ Attacke (Layer 4-7) ausgeführt werden, die nicht zum Ziel hat, den Dienst auszuschalten sondern vielmehr die Bestimmung verfolgt, Informationen zu stehlen oder zu kompromittieren. So sind bereits viele Fälle bekannt, bei denen Konten von Online-Banken geplündert worden sind. Erschwerend kommt hinzu, dass viele Attacken verschlüsselt zum Angriffspunkt gesendet werden und klassische Perimeter Firewalls sehr häufig den SSL-Verkehr ungeprüft passieren lassen. Einer solchen durch SSL verschlüsselten Attacke kann mit einer vorgelagerten Full-Proxy-Architektur (Application Delivery Controller) begegnet werden, indem die eingehende Client-Verbindung vollständig terminiert wird, auf mögliche Sicherheitsbedrohungen untersucht und erst dann an den Server weitergeleitet wird, wenn keine Bedrohungen vorliegen. Umgekehrt muss diese Server-to-Client-Kommunikation ebenfalls als Proxy fungieren, so können die zurückgesandten Daten auf vertrauliche Informationen überprüft werden. Dazu zählen beispielsweise Protokollantwortcodes, die Netzwerkdetails für Ausspähversuche oder vertrauliche Daten wie Kreditkarten- und Versicherungsnummern enthalten können. Der Verlust dieser Daten und vor allem wenn Fälle dieser Art öffentlich werden, hat in der Regel dramatische Folgen für den Dienstanbieter. Ein umfassender Schutz des Rechenzentrums muß gewährleisten, dass die Kommunikation auf allen Layern überprüft und abgesichert wird.177Views0likes0Comments