Es ist nicht zu wenig Zeit, die wir haben, sondern es ist zu viel Zeit, die wir nicht nutzen.
Lucius Annaeus Seneca

Artikel

Artikel Virtuelle Pannenhilfe„Virtuelle Pannenhilfe für jeden „Fahrer“ – Cyberschutzraum

Das Internet birgt viele Risiken für den Nutzer. Das Videoformat Cyberschutzraum will die Nutzer, welche mit dem Internet agieren, sensibilisieren und ihnen genug Wissen an die Hand geben, Bedrohungen zu erkennen und zu vermeiden.
Das Wissen bezieht der Cyberschutzraum durch IT-Experten des Regionalen Informationsnetzwerks (RIN) IT-Sicherheit. Wenn IT-Experten aufeinandertreffen, entstehen oft interessante Fachgespräche, welche aber wiederum kaum jemand ohne große IT-Affinität versteht. Jetzt müssen die Mitarbeiter des Cyberschutzraumes versuchen das Wissen so verständlich wie möglich zu formulieren, damit Jeder es versteht.

Da die Aufmerksamkeit der Menschen durch das Internet immer kürzer wird, versucht der Cyberschutzraum kurze, präzise und leicht verständliche Videos zu machen. Zu den Themen gehören unter anderem: News mit Handlungsanweisungen, Basisschutz, Filme mit Hintergrundinformationen und weitere Tipps zur Medienkompetenz.

Raus aus der Blase

Ein Problem der IT-Sicherheit ist, dass viele der entwickelten Lösungen innerhalb der Branche bleiben und nicht nach außen zu den realen Nutzern durchkommen. Die meisten Leute haben zwar schon den Virenscanner entdeckt, aber denken nicht weiter über die Sicherheit nach.
Es gilt also, die Schwelle zwischen Fachwelt und Alltag zur überschreiten und die Notwendigkeit von IT-Sicherheit einer breiten Öffentlichkeit klarzumachen. Dazu hat sich Cyberschutzraum entschieden ihre Videos auf der Plattform YouTube zu Veröffentlichen. Einer Plattform, welche schon Millionen deutschsprachige Nutzer hat. Dort können unter anderem auch Videos bewertet, kommentiert und geteilt werden, was eine einfache schnelle Verbreitung ermöglicht. Der Cyberschutzraum ist auf Feedback angewiesen um sich stetig verbessern und Erfolgreicher werden zu können.

Die Produktion der Videos erfolgt in 5 verschiedenen Phasen. Wobei in der letzten geprüft wird, ob während der vorherigen Phasen Ideen und Themen entdeckt wurden.

Gemeinsam zum Erfolg

Die Videos der Cyberschutzraumes stehen kostenlos und frei zur Verfügung und das soll so bleiben, um Aufklärung und Weiterbildung für jeden zu ermöglichen. Dafür ist der Cyberschutzraum allerdings auch auf Spenden angewiesen.

Vortrag herunterladen

Internet of Things - Die Herausforderung für die IT-Sicherheit | Ein Artikel von Prof. Dr. Norbert Pohlmann

Das Internet of Things – eine langfristige Herausforderung für die IT-Sicherheit!

Das Internet of Things (kurz: IoT) zeichnet sich durch ständige Verfügbarkeit, Kommunikation unter vernetzten Objekten und Datenverarbeitung in Echtzeit aus. Die Anzahl intelligenter IoT-Geräte nimmt Jahr für Jahr stark zu und IoT-Technologien haben das Potential viele Lebensbereiche positiv zu beeinflussen.

Doch die Angriffe durch Botnetze mit kompromittierten IoT-Geräten zeigen, wie anfällig das Internet of Things für Hacker ist. Angreifern war es zum Beispiel im Oktober 2016 gelungen, Webseiten des Internetdienstleister DynDNS mittels eines DDoS-Angriffs lahm zu legen. Betroffene Webseiten, unter anderem Paypal und Amazon, waren daraufhin stundenlang nicht zu erreichen.

An diesem Beispiel kann man sehen das beim Thema Internet of Things dringend Handlungsbedarf besteht. Denn wenn diesen IT-Sicherheitsproblemen nicht mehr Aufmerksamkeit geschenkt wird, kann man nur erahnen, welches Gefahrenpotenzial es mit sich bringt.

Dabei stehen besonders die Hersteller und Entwickler im Fokus, welche ihrer Verantwortung nicht gerecht werden und auf wichtige Sicherheitsmaßnahmen verzichten. Negative Auswirkungen hat auch, das IoT-Geräte immer schneller produziert und entwickelt werden, damit sich Hersteller Marktanteile im hart umkämpften Markt sichern können. Die IT-Sicherheitsaspekte bleiben dazu allzu häufig auf der Strecke. Immer häufiger lassen sich Hunderttausende Webcams im Internet aufspüren, die die Privatsphäre der Nutzer für alle sichtbar macht.

Hersteller und Nutzer sind gleichermaßen gefordert!

Aktuell müssen sich Nutzer auf die IT-Sicherheitsmaßnahmen der Hersteller verlassen. Wenn der Trend aber anhält, müssen Gesetze, Normen und Richtlinien der EU als regulierende Instanz in Kraft treten, denn die aktuelle Sicherheitslage des Internet of Things stellt eine große Gefährdung im und für das Internet dar.

Gelingt es aber Herstellern und Nutzern gegen die Risiken und Probleme zu wirken und die Hürden für Hacker zu erhöhen, dann stellt das Internet of Things den nächsten Schritt der Vernetzung dar und bietet zahlreiche Chancen. Werden die Anforderungen an Sicherheit und Datenschutz erfüllt, so können die Sensoren und Aktuatoren zum Beispiel den Menschen bei zahlreichen Aufgaben unterstützen, Leben retten und dabei helfen, Unfälle zu vermeiden.

Autoren:

Johnny Hoang
Ole Jötten
Norbert Pohlmann
Chris Wojzechowski

Ähnliche Artikel:

(349) M. Cagnazzo, M. Hertlein, N. Pohlmann: „An Usable Application for Authentication, Communication and Access Management in the Internet Of Things“. In Proceedings of the ICIST 2016 International Conference “Information and Software Technologies”, Springer International Publishing Switzerland 2016

Vortrag herunterladen

VideoIdent-Verfahren

VideoIdent-Verfahren 2: Die Technik

Wenn wir uns Identifizieren wollen, müssen wir bisher immer persönlich Anwesend sein. In einigen Fällen ist es, durch einen langen Anreiseweg zum Beispiel, aber sehr umständlich. Dieses Problem soll durch das VideoIdent-Verfahren gelöst werden. Das Verfahren bietet natürlichen Personen die Identitätsverifikationen schnell und ohne Ortswechsel oder Terminbindung.

Beim VideoIdent-Verfahren wird ein Videochat zur Durchführung der Identitätsverifikation genutzt. Der ganze Prozess läuft nun Online ab und der Kunde benötigt für die Durchführung nur ein amtliches Ausweisdokument, ein Smartphone (oder Laptop bzw. Computer mit Kamera) und eine Internetverbindung. Auf der anderen Seite der Verbindung sitzt ein geschulter Mitarbeiter, welcher sich in einem zugangsgeschützten Raum befindet. Das Gespräch wird zur Sicherheit, natürlich mit Zustimmung des Kunden, aufgezeichnet. Zum Verifikationsprozess gehört dann das prüfen des Ausweisdokuments, der Seriennummer und ein erfolgreicher Abgleich einer per E-Mail oder SMS gesendeten TAN.

Eine andere Alternative zum VideoIdent-Verfahren ist das PostIdent-Verfahren. Bei diesem Verfahren führt ein Mitarbeiter der Deutschen Post in der Filiale oder an der Haustür eine Identifikation durch. Die Vorteile des VideoIdent-Verfahrens gegenüber dem PostIdent-Verfahrens liegen aber in der Medienbruchfreiheit, Schnelligkeit, dem geringeren Zeitaufwand und der Spezialisierung der Mitarbeiter.
Am Institut für Internet-Sicherheit in der Westfälischen Hochschule wird im Rahmen eines Forschungsprojektes mit Förderung der Kölner Bank-Verlag GmbH ein VideoIdent-Expertensystem entwickelt. Dieses soll die Mitarbeiter eines VideoIdent-Dienstleisters unterstützen und so die Fehlerquote und die Anforderungen an die Mitarbeiter verringern.

Neben der manuellen Durchführung gibt es nämlich noch die halbautomatische und die vollautomatische Durchführung des VideoIdent-Expertensystems. Bei der halbautomatischen Durchführung generiert das System mit Unterstützung des Mitarbeiters Screenshots vom Ausweisdokument, der Person und von zu prüfenden Merkmalen, welche im weiteren Verlauf vom Mitarbeiter verwendet werden um den Kunden zu Identifizieren. Die vollautomatische Durchführung dagegen übernimmt alle Aufgaben des Mitarbeiters. Hierbei werden sogenannte Softbots (=Software Programme) eingesetzt, welche bestimmte Aufgaben selbstständig durchführen können. Dazu zählt auch die Identitätsverifikation. Diese Durchführung bringt viele Vorteile aber auch noch Nachteile mit sich, bei denen dann wieder auf die halbautomatische Durchführung zurückgegriffen werden muss.

Es bestehen beim VideoIdent-Verfahren aber auch noch andere große Herausforderungen wie zum Beispiel die Qualität der verwendeten Kameras und die zur Übertragung benötigte Bandbreite. Bei den halbautomatischen und vollautomatischen Expertensystemen sind zusätzlich noch der Datenschutz und die Datensicherheit von Lizenzierten Produkten ein Problem.

Vortrag herunterladen

Das sind die 10 größten Problemfelder der Cyber SecurityDie zehn größten Problemfelder der Cyber Security

Welche Problemfelder bestehen in der IT-Sicherheit, welche Faktoren machen uns so angreifbar? Komplexe Software kombiniert mit zu wenig Wissen auf der Nutzerseite, fehlendes Verantwortungsbewusstsein bei den Produzenten und nicht geklärte Verantwortlichkeiten – Diese Kombinationen führen zu den aktuellen Problemfeldern in der Cyber Security.

Der Artikel fasst die dringendsten Themen zusammen und versucht sie in die aktuelle Situation der Internet-Sicherheit einzuordnen. Bei der kritischen Beurteilung der aktuellen IT-Sicherheitssituation fallen einige Cyber Security Probleme besonders deutlich auf, die gelöst werden müssen, um mehr notwendige IT-Sicherheit und Vertrauenswürdigkeit aufzubauen.

Die zehn gravierendsten Problemfelder und Risiken in der IT-Sicherheit

 

  1. Software mit massig Schwachstellen: In der aktuell genutzten Software sind zu viele Schwachstellen vorhanden. Die Software-Qualität der Betriebssysteme und Anwendungen ist für die heutige Bedrohungslage nicht mehr ausreichend.
  2. Kaum Schutz vor Malware: Anti-Malware-Produkte haben heute bei Massen-Angriffen mit 75 % bis 95 % eine zu schwache Erkennungsrate.
  3. Kaum einheitliche, internationale Lösungen für Identifikation und Authentifikation: Sehr gute Identifikations- und Authentifikationslösungen sind vorhanden, werden aber kaum angeboten oder genutzt und haben international wenig Bedeutung.
  4. Webseiten sind unsicher: Heute wird Malware hauptsächlich über unsichere Webseiten im Internet verteilt, die Betreiber fühlen sich oftmals dennoch nicht verantwortlich.
  5. Mobile Geräte als Einfallstor für Gefahren: Mit mobilen Geräten tauchen neue Angriffsvektoren auf, die neue Risiken verursachen: Ständig wechselnde unsichere Umgebungen erhöhen die Wahrscheinlichkeit des unabsichtlichen Verlustes und des gezielten Diebstahls der mobilen Geräte, auf denen zunehmend wertevolle Daten gespeichert werden.
  6. Keine E-Mail-Verschlüsselung Es wird vom E-Mail-Dienst keine Vertraulichkeit garantiert, Passworte, Kreditkartennummern und weitere Bankdaten sowie vertrauliche Informationen werden im Klartext übertragen.
  7. „Kostenlose“ Dienste kosten unsere Daten – Aus den erhobenen persönlichen Daten der Nutzer erstellen Betreiber sozialer Netze Nutzerprofile, die für den Verkauf von Waren und Dienstleistungen genutzt werden, weil sie passgenaue, individualisierte Werbung ermöglichen.
  8. User mit fehlender Internet-Kompetenz: Laut einer BITKOM Umfrage von 2012 haben 30 % der Internet-Nutzer keine Personal Firewall und 28 % keine Anti-Malware Lösung auf ihrem IT-Endgerät und haben so nicht einmal den Basisschutz.
  9. Manipulierte IT und IT-Sicherheitstechnologien: Nicht nur die NSA nutzt Schwachstellen, um Zugriff auf unsere Daten zu haben, sondern auch kriminelle Organisationen und Wirtschaftsspione.
  10. Rahmenbedingungen enden an der Landesgrenze: Das Internet ist global und geht über alle Grenzen und Kulturen hinaus. Es gibt aber insbesondere im E-Commerce unterschiedliche Auffassungen darüber, was richtig und was falsch ist.

 

Autoren:
Norbert Pohlmann

Ähnliche Artikel: (340) N. Pohlmann: „Internet-Sicherheit”, in Handbuch Sicherheitsgefahren, Herausgeber; Thomas Jäger, Springer Verlag, Wiesbaden 2015

Vortrag herunterladen

Quantencomputer: Ein reiner Gewinn für die Internet-Sicherheit?
Über den Stellenwert der Kryptografie im Hinblick auf die Entwicklung von Quantenrechnern

In vielen Zukunftserzählungen- und Szenarien spielen Quantencomputer eine Rolle, sie sind die Highend-Version des Computers. Aber wozu wären solche Rechner tatsächlich in der Lage? Bringen sie ausschließlich Vorteile oder bergen sie auch Risiken für kryptografische Verfahren? Quantencomputer arbeiten mit sogenannten Quantenbits oder Qubits. Diese können nicht nur die Zustände Null oder Eins annehmen, sondern auch jeden Zustand, der dazwischenliegt oder, genauer gesagt, jede Überlagerung der beiden Zustände. Sie wären in der Lage, die beste Lösung aus einer großen Menge möglicher Lösungen herauszufinden.

Bedeutung für die Kryptografie

Neben den Chancen durch diese immense Leistung, z.B. beim Erforschen physikalischer Phänomene oder in der Raumfahrt, birgt das Potenzial eines Quantencomputers aber auch Risiken – Die Einführung von Quantencomputern hätte zur Folge, dass alle zurzeit gebräuchlichen asymmetrischen Verschlüsselungsverfahren, wie beispielsweise das RSA-Verschlüsselungsverfahren, unsicher wären. Alle Verschlüsselungsprotokolle, mit denen die Internet-Kommunikation verschlüsselt wird, wie beispielsweise SSH, TLS, IPSec, PGP oder S/MINE, wären von da an unbrauchbar. Verschlüsselter oder signierter E-Mail-Verkehr sowie sicheres Surfen im Internet wären nicht mehr möglich.

Quantensichere Algorithmen rechtzeitig etablieren

Jedoch ließe sich diese Fähigkeit des Computers natürlich auch ins Positive kehren, nämlich pro Sicherheit zukünftiger kryptografischer Verfahren. So würden Quantencomputer zwar in der Lage sein, heutige Verschlüsselungsverfahren gänzlich unbrauchbar zu machen, würden aber auch gleichzeitig die Möglichkeiten bieten, Kommunikationskanäle zu entwickeln, die wirklich sicher sind und die Cyber Security auf ein neues Level heben.

Laut Experten wird noch einige Zeit vergehen bis zu den ersten wirklichen Quantenrechnern. Dennoch sollte auch heute schon damit begonnen werden, sich für diesen Fall vorzubereiten. Denn sollten quantensichere Algorithmen nicht bereits seit Jahren ihren Einsatz finden, wenn die ersten Quantencomputer zur Verfügung stehen, so wären keinerlei Daten im Internet mehr sicher: Quantencomputer sind das Damoklesschwert der Verschlüsslung und Vertrauenswürdigkeit im Internet.

Autoren:
Janosch Fischer
Prof. Dr. Norbert Pohlmann

Vortrag herunterladen