Filtern
Erscheinungsjahr
Dokumenttyp
Schlagworte
- MITRE (1)
- OSINT (1)
- advanced persistent threats (1)
- blockchain (1)
- bloxberg (1)
- consent banner (1)
- cookie banner (1)
- cookies (1)
- cyber kill chain (1)
- dlt (1)
- ethereum (1)
- measurement study (1)
- open science (1)
- phishing (1)
- poa (1)
- poe (1)
- privacy (1)
- reconnaissance (1)
- web measurement (1)
Institut
Mit Sicherheit mobil. Lagebild zur Bedrohung der Unternehmenssicherheit durch Smartphones & Co.
(2017)
Künstliche Intelligenz (KI) ermöglicht es, komplexe Zusammenhänge und Muster aus großen Datenmengen zu extrahieren und in einem statistischen Modell zu erfassen. Dieses KI-Modell kann anschließend Aussagen über zukünftig auftretende Daten treffen. Mit dem zunehmenden Einsatz von Künstlicher Intelligenz rücken solche Systeme auch immer mehr ins Visier von Cyberkriminellen. Der Artikel beschreibt umfassend Angriffsszenarien und mögliche Abwehrmaßnahmen.
Voice over IP aber sicher
(2007)
Die Beschaffung von IT-Sicherheitslösungen ist für Unternehmen oft eine Herausforderung. So führt die Komplexität der Systeme dazu, dass die für eine Kaufentscheidung erforderlichen Kompetenzen und Informationen nicht immer vorhanden sind. Grundvoraussetzung für eine erfolgreiche Geschäftsbeziehung ist deswegen ein valides Vertrauensverhältnis zwischen Anwender- und Herstellerunternehmen. Das setzt jedoch voraus, dass die Herstellerunternehmen vertrauenswürdig auftreten und im Interesse ihrer Kunden handeln. Eine Studie der Westfälischen Hochschule Gelsenkirchen hat untersucht, welche Vertrauenskriterien Kunden bei Herstellern und deren Produkten wichtig sind. So ist zum Beispiel ein Hersteller bei den Kunden unten durch, wenn er zu viele Buzzwords nutzt.
Dank der neuen Datenschutzgrundverordnung zum Schutz der Privatsphäre konnte der Sammelwahn einiger Dienstleister bereits abgemildert werden. Dennoch zeichnet sich eine immer stärkere Zentralisierung und Monopolisierung von Datenhaltern und Dienstleistern ab, vor allem in Form großer USA- oder Asien-basierter Technologieunternehmen. Im Umgang mit den eigenen Daten schreiten nur wenige Menschen bewusst zur Tat, sehen meist nur den angepriesenen Vorteil und nicht die möglichen negativen Konsequenzen für ihre Privatsphäre. Eine Self-Sovereign Identity (SSI) könnte Basis für einen fairen Datenaustausch innerhalb der Smart Economy sein und die Integration auch kleinerer Unternehmen in eine offene Infrastruktur unterstützen.
Web Service Security - XKMS
(2004)
Das Internet hat sich als globale Kommunikations-, Informations-, Commerce- und Businessinfrastruktur fest in der Gesellschaft etabliert. Mit jedem Grad Zuwachs bei der Digitalisierung wird das Leben einfacher und schneller - aber auch gefährlicher. Die konkrete Gefährlichkeit bleibt dabei bislang oft ein Mysterium - Strategien für die IT-Sicherheit müssen auf Basis von Annahmen und Erfahrungen entwickelt werden. Internet-Kennzahlen und deren systematische Auswertung sollen nun dabei helfen, Probleme, Risiken und Schwachstellen als Trend zu erkennen, um Sicherheitsstrategien proaktiv fokussierter zu gestalten. Auch der Stand der IT-Sicherheit lässt sich durch Messung der Kennzahlen ermitteln und bewerten. Internet-Kennzahlen werden von lokalen und globalen Anbietern bereitgestellt.
Mit den Reisebeschränkungen in der Corona-Krise ist der Bedarf an einfach zu handhabenden Videokonferenzsystemen sprunghaft gestiegen. Krisengewinner war dabei ohne Zweifel der amerikanische Hersteller Zoom Video Communications.
Mit seinem „Zoom Meeting“-Dienst preschte das junge Unternehmen an bisherigen Branchenlieblingen vorbei. Derzeit gilt Zoom als populärstes Konferenzsystem auf dem Markt. Mitten im Aufstieg ist Zoom jedoch auch heftig in Kritik geraten: Schlechte Umsetzung des Datenschutzes, hohe Angreifbarkeit durch klaffende Schwachstellen und unzureichende Verschlüsselung lauteten die Vorwürfe. Der Hersteller zeigte sich bei der Behebung der Schwachstellen kooperativ. Doch ist jetzt alles sicher und vertrauenswürdig?
Sicheres und vertauenswürdiges Arbeiten im Homeoffice : aktuelle Situation der Cybersicherheitslage
(2021)
Durch die fortschreitende Digitalisierung bekommt die IT einen immer größeren Stellenwert in allen Bereichen. Dadurch steigt die Abhängigkeit von der IT und damit auch das Schadenspotenzial durch Cyberangriffe. Besonders durch die Zunahme des Arbeitsform Homeoffice sowie de Ad-hoc-Verlagerung von Beschäftigten und Geschäftsprozessen in das Homeoffice entstehen durch bisher unzureichende infrastrukturelle Sicherheitsvorkehrungen höhere Risiken. Anbieter von Video-Konferenz- und anderen Kollaborationstools haben durch den enormen Digitalisierungsschub nicht genug Zeit gehabt, ihre Systeme angemessen zu schützen. Dazu kommt, dass die Nutzung von unsicheren oder nicht ausreichend datenschutzkonformen Lösungen, wie Messenger oder sozialen Netzwerken, weitere Risiken für Unternehmen darstellen können. Welche technischen, personellen und organisatorischen Maßnahmen sind also erforderlich, um in der angespannten Lage ein sicheres Homeoffice einzurichten?
Supply-Chain-Angriffe sind eine akute Bedrohung für jedes Unternehmen. Einen Softwarelieferanten auszunutzen, um eine große Anzahl seiner Kunden zu erreichen, ist eine ausgeklügelte und erfolgreiche Methode aktueller Hacker. Die Spezialisierung der Unternehmen auf ihre Kernkompetenzen, die Globalisierung der Lieferketten (im folgendem wird Supply Chain und Lieferkette synonym verwendet), sowie die Digitalisierung entlang der Wertschöpfungskette sind nur einige Beispiele, wieso Angreifer vermehrt die Vertrauensbeziehung zwischen Kunden und Lieferanten verstärkt für Angriffe ausnutzen. Dieser Artikel erläutert Cyber-Angriffe in Bezug auf eine Supply Chain und zeigt Sicherheitsmechanismen für die erfolgreiche Verteidigung.
Im Prinzip wollen und müssen Menschen auch in der digitalen Welt vertrauen (können) – nicht zuletzt, um grundsätzlich handlungsfähig zu sein. Aber auch, weil teilweise gar keine andere Wahl besteht, als einfach zu vertrauen, da die IT-Technologien mittlerweile nicht nur so allgegenwärtig, sondern auch so komplex geworden sind, dass der Nutzer sie vielfach gar nicht mehr einschätzen kann. Daher ist es – insbesondere im Sinne der Digitalisierung – wichtig und auch notwendig, dass Nutzern verschiedene Alternativen zur Verfügung stehen, anhand derer sie individuell die Vertrauenswürdigkeit von Unternehmen sowie IT-Lösungen – also jeglicher Produkte, Anwendungen und Dienste – beurteilen können. Aufgrund der steigenden Zahl an Sicherheitsvorfällen in der digitalen Welt sollte speziell die Cyber-Sicherheit dabei im Fokus stehen.
Digitale Werte benötigen ein weitaus höheres und vor allem spezifisches Schutzniveau. Da es für Anwender mittlerweile nicht mehr einfach ist, dieses effektiv nachzuprüfen, müssen sie darauf vertrauen, dass die Hersteller alles tun, um den Anforderungen gerecht zu werden. Andererseits sind die Hersteller darauf angewiesen, dass Anwender ihnen Vertrauen gewähren und ihre IT-/Sicherheits-Lösungen tatsächlich nutzen. Um eine hohe Vertrauenswürdigkeit zu erreichen können, müssen Unternehmen Vorgehensweisen wählen, die einigen bestimmten Kriterien erfüllen.
Die digitale Evolution schreitet unaufhaltsam voran. Das führt auch zu der Konsequenz, dass die innovativen Technologien und somit die gesamte Internet-/IT-Infrastruktur nicht nur zunehmend vielschichtig, sondern auch intransparent wird. Daraus resultiert ein gravierendes Dilemma: gegenläufig zu dem steigenden Einsatz sinkt das Wissen über deren Hintergründe und Zusammenhänge. Dies könnte im Weiteren zu folgender Handlungsalternative führen – entweder unverhältnismäßige Ablehnung der Technologie und entsprechender Dienste oder blindes Vertrauen. Beides verhindert eine sinnvolle Nutzung neuer Anwendungen oder innovativer Dienste – auch wenn Vertrauen, im Sinne des Soziologen Niklas Luhmann, grundsätzlich positiv konnotiert ist. Denn gemäß seiner Definition ist Vertrauen ein Mechanismus der Komplexitätsreduktion – also etwas, wodurch sich das Leben leichter gestalten lässt. Doch sollte hier die Interpretation im Sinne des Philosophen und Soziologen Georg Simmel weiter präzisiert werden. Dieser sieht „Vertrauen als einen Zustand zwischen Wissen und Nicht-Wissen, als eine Hypothese künftigen Verhaltens“, auf die Menschen ihr konkretes Handeln gründen. Das zeigt die Relevanz von Vertrauen beim Einsatz innovativer Technologien und unterstreicht gleichzeitig die Notwendigkeit, dass Unternehmen vertrauenswürdig agieren müssen, damit dieses auch gerechtfertigt ist.
Im Sinne der Gesellschaft : Wissenschaft als Helfer für angewandte Ethik in der KI-unterstützten IT
(2021)
Im Kontext der Digitalisierung, und insbesondere vor dem Hintergrund der dadurch prädizierten Effizienzsteigerung, wird der Künstlichen Intelligenz (KI) eine hohe Bedeutung beigemessen. Ebenso in Bezug auf die IT-Sicherheit gehen Experten davon aus, dass KI entscheidend dazu beitragen wird, die strategische Abwehr von Cyber-Angriffen zu optimieren. Doch trotz aller Euphorie sollten hier neben den Chancen auch die daraus potenziell resultierenden Risiken in Betracht gezogen werden. Denn der Einsatz von KI ist mit Implikationen verbunden, die auf die gesamte Gesellschaft wirken, von daher ist es nicht nur ratsam, sondern sogar erforderlich Anwendungen – auch im Bereich IT-Sicherheit – unter ethischen Aspekten zu analysieren und bewerten.
Unternehmen setzen zunehmend auf KI oder planen, dies künftig zu tun. Doch die große Euphorie bleibt in der Industrie aus guten Gründen noch aus. Zum einen fehlt die kritische Masse an Einsatzszenarien, weswegen Unsicherheit besteht, welche Handlungsfelder nachhaltige Erfolge versprechen. Zum anderen ist die Frage der Zuverlässigkeit zu klären, also wie valide KI-generierte Ergebnisse wirklich sind. Im Folgenden geht es um die Mechanismen, die gute Ergebnisse sicherstellen helfen.
Momentan ist der Tenor der meisten Artikel zum Thema Künstliche Intelligenz (KI) relativ konformistisch – unverzüglich wird der Leser dahingehend sensibilisiert, dass sich hierdurch enorme Chancen auftun, die nicht ungenutzt bleiben dürfen, um international nicht abgehängt zu werden. Eher nebenbei erwähnt wird, dass trotz aller Euphorie auch die Risiken in Betracht zu ziehen seien. Da aus diesen jedoch Implikationen für die gesamte Gesellschaft resultieren können, ist es nicht nur ratsam, sondern erforderlich den Einsatz von KI in allen Bereichen – sogar im Kontext der IT-Sicherheit – unter ethischen Aspekten zu bewerten.
Aufgrund der zunehmenden IT-Technisierung und damit einhergehend stetigen Veränderung der Lebensbedingungen ist es notwendig, dass Menschen den IT-Lösungen und Unternehmen weiterhin und kontinuierlich vertrauen können. Denn durch den höheren Grad der IT-Technisierung steigt die Komplexität, wodurch es für den Nutzer zunehmend schwieriger wird, einzelne IT-Lösungen und deren Hintergründe zu verstehen sowie zu bewerten. Diese Veränderung hat Auswirkungen: Zum einen macht sie grundsätzlich den Nutzern – den Menschen – Angst, da gewohnte Vorgänge beständig ihre Gültigkeit verlieren. Zum anderen entsteht dadurch sowie durch die Komplexität latent das Gefühl, eine falsche Entscheidung zu treffen, weil nicht alles bedacht werden kann. So fällt dem Aspekt der Interdependenz von Vertrauen und Vertrauenswürdigkeit für deutsche und europäische Unternehmen eine hohe Bedeutung zu, insbesondere auch da sich internationale Tech-Unternehmen zunehmend weniger vertrauenswürdig im komplexen Cyber-Raum verhalten. Dies eröffnet die Möglichkeit, sich über den Aufbau von Vertrauen weltweit gegen internationale Unternehmen nachhaltig zu profilieren und positionieren. Um dieses Ziel zu realisieren, bedarf es einer strategischen Vorgehensweise – zum Beispiel auf Basis des Vertrauenswürdigkeitsmodells.
Web measurement studies can shed light on not yet fully understood phenomena and thus are essential for analyzing how the modern Web works. This often requires building new and adjustinng existing crawling setups, which has led to a wide variety of analysis tools for different (but related) aspects. If these efforts are not sufficiently documented, the reproducibility and replicability of the measurements may suffer—two properties that are crucial to sustainable research. In this paper, we survey 117 recent research papers to derive best practices for Web-based measurement studies and specify criteria that need to be met in practice. When applying these criteria to the surveyed papers, we find that the experimental setup and other aspects essential to reproducing and replicating results are often missing. We underline the criticality of this finding by performing a large-scale Web measurement study on 4.5 million pages with 24 different measurement setups to demonstrate the influence of the individual criteria. Our experiments show that slight differences in the experimental setup directly affect the overall results and must be documented accurately and carefully.
Measurement studies are essential for research and industry alike to understand the Web’s inner workings better and help quantify specific phenomena. Performing such studies is demanding due to the dynamic nature and size of the Web. An experiment’s careful design and setup are complex, and many factors might affect the results. However, while several works have independently observed differences in
the outcome of an experiment (e.g., the number of observed trackers) based on the measurement setup, it is unclear what causes such deviations. This work investigates the reasons for these differences by visiting 1.7M webpages with five different measurement setups. Based on this, we build ‘dependency trees’ for each page and cross-compare the nodes in the trees. The results show that the measured trees differ considerably, that the cause of differences can be attributed to specific nodes, and that even identical measurement setups can produce different results.
Cookie notices (or cookie banners) are a popular mechanism for websites to provide (European) Internet users a tool to choose which cookies the site may set. Banner implementations range from merely providing information that a site uses cookies over offering the choice to accepting or denying all cookies to allowing fine-grained control of cookie usage. Users frequently get annoyed by the banner’s pervasiveness as they interrupt “natural” browsing on the Web. As a remedy, different browser extensions have been developed to automate the interaction with cookie banners.
In this work, we perform a large-scale measurement study comparing the effectiveness of extensions for “cookie banner interaction.” We configured the extensions to express different privacy choices (e.g., accepting all cookies, accepting functional cookies, or rejecting all cookies) to understand their capabilities to execute a user’s preferences. The results show statistically significant differences in which cookies are set, how many of them are set, and which types are set—even for extensions that aim to implement the same cookie choice. Extensions for “cookie banner interaction” can effectively reduce the number of set cookies compared to no interaction with the banners. However, all extensions increase the tracking requests significantly except when rejecting all cookies.
Third-party tracking is a common and broadly used technique on the Web. Different defense mechanisms have emerged to counter these practices (e.g. browser vendors that ban all third-party cookies). However, these countermeasures only target third-party trackers and ignore the first party because the narrative is that such monitoring is mostly used to improve the utilized service (e.g. analytical services). In this paper, we present a large-scale measurement study that analyzes tracking performed by the first party but utilized by a third party to circumvent standard tracking preventing techniques. We visit the top 15,000 websites to analyze first-party cookies used to track users and a technique called “DNS CNAME cloaking”, which can be used by a third party to place first-party cookies. Using this data, we show that 76% of sites effectively utilize such tracking techniques. In a long-running analysis, we show that the usage of such cookies increased by more than 50% over 2021.
Daten sind heute die Schlüsselkomponente in der Wertschöpfung. Ihre sichere und vertrauenswürdige Verarbeitung sind daher essenziell - auch in Cloud-Infrastrukturen, die per se erst mal nicht vertrauenswürdig sind. Während die Daten und der Code der sie verarbeitenden Anwendung hier in gespeicherter Form und bei der Übertragung in der Regel verschlüsselt sind, liegt beides während der Verarbeitung von Anwendungen in einer Cloud-Infrastruktur im Klartext vor und ist somit angreifbar. Auf der Basis von Sicherheitsfunktionen der CPU sorg Confidential Computing dafür, dass Anwendungen mit Code und Daten auf Cloud-Infrastrukturen in isolierter und verschlüsselter Form in sicheren Enklaven verarbeitet werden. Die Inhalte der Anwendung in einer Enklave werden so vor unbefugten Zugriff durch Systemadministratoren und weiteren Personen, die prinzipiell Zugriff auf die Cloud-Infrastruktur haben, geschützt. Technik unterstützt auf diese Weise die sichere und vertrauenswürdige Umsetzung des Datenschutzes.
Papierloses Krankenhaus
(2005)
Intelligente Helfer als persönlicher Assistent. Wie sicher und vertrauenswürdig sind Roboter?
(2016)
Spam auf dem Rückmarsch
(2005)
CoCoSpot: Clustering and recognizing botnet command and control channels using traffic analysis
(2017)
Security Analysis of OpenID, followed by a Reference implementation of an nPA-based OpenID Provider
(2017)
Selfpass: Mit Wearables gegen Depressionen. Sichere und vertrauenswürdige Apps oberstes Gebot
(2018)
In dieser Arbeit wird eine ganzheitliche Bedrohung für Business-Chat-Anwendungen aufgezeigt und bewertet: Chishing – Phishing über Business-Chats. Die Bedrohung hat ihren Ursprung in den Anfängen der heutigen vernetzten Welt und das zugrunde liegende Problem wird als Spoofing in seiner einfachsten Form bezeichnet. In vier von sechs Business-Chat-Tools, die in dieser Arbeit analysiert werden, ist es möglich, Anzeigenamen, Profilbilder und weitere persönliche Informationen erfolgreich zu fälschen. Dies stellt eine Bedrohung für Unternehmen dar, da es Insider-Bedrohungen Vorschub leistet und unter Umständen auch externen Entitäten dazu einlädt, sich als interne Mitarbeiterin auszugeben.
Als Identifikations- und Authentisierungsverfahren gewinnen biometrische Systeme immer mehr an Bedeutung. Waren sie bisher eher nur aus Filmen bekannt, wo sie für einen kleinen Mitarbeiterkreis als Zugangskontrolle zu wichtigen Räumen oder Tresoren mit kostbaren Inhalten dienten, finden biometrische Systeme immer mehr Einzug in unseren Alltag. Im elektronischem Pass ist die Speicherung biometrischer Daten bereits Pflicht. Im öffentlichen und kommerziellen Bereich werden biometrische Systeme immer mehr als zusätzliche Option angeboten, um den Zugriff auf Daten, Dienste und den Zutritt zu Räumen zu kontrollieren. Mit der Entsperrung des Smartphones sind biometrische Systeme auch im privaten Bereich angekommen. Erschwingliche Sensoren machen es sogar möglich, privat biometrische Systeme zu entwickeln.
Internet Situation Awareness
(2008)