Inhaltsverzeichnis <kes> 2019#2

(mit zugangsgeschützten Links für Abonnenten)

 

 

Bedrohung

Im Darknet und Deep Web werden sowohl Tools und Schwachstellen als auch entwendete Daten gehandelt sowie Erfahrungen ausgetauscht und Dienste angeboten. Doch die versteckten Bereiche des Internets bieten der Threat-Intelligence auch Chancen für Spione „hinter den feindlichen Linien“.

Seite 6

 

Seit seinem Erscheinen ist der „Headless Mode“ von Google Chrome bei Entwicklern und Angreifern gleichermaßen beliebt. Unser Autor erläutert Statistiken und mögliche Gegenmaßnahmen.

Seite 10

 

Schwerpunkt: Incident-Response

Die Nutzung von Cloudservices erfordert Anpassungen interner Prozesse zur Sicherheitsvorfallsbehandlung und Forensik. Je nachdem, welches Outsourcingmodell in der Cloud genutzt wird, begegnet die Forensik zudem spezifischen Herausforderungen und Chancen.

Seite 21

 

Längst nicht alle Unternehmen und sonstigen Organisationen sind auf Security-Incidents gut vorbereitet und darüber im Bilde, was in ihren Grenzen gerade so geschieht. Unser Autor erörtert als Auftakt für eine Workshop-Reihe grundlegende Prozesse und gibt einen Überblick über wichtige Werkzeuge für Incident-Response und Forensik.

Seite 27

 

Management und Wissen

Von Sicherheitskultur ist oft die Rede – aber sprechen auch alle von derselben Sache? Die Expertenbefragung der <kes> ergründet, was darunter genau zu verstehen ist, wie der Weg dorthin aussieht und was man davon hat. Seite 67Jahre.

Seite 67

Red-Team-Assessments suchen im Auftrag von Unternehmen nach dem einfachsten Weg, deren bestehende Sicherheitsmaßnahmen zu überwinden – ganz wie echte Angreifer. Solche Penetrationstests sollten daher besonders sorgsam geplant werden.

Seite 13

 

Die selbstkritische Suche nach (mehr oder minder eigenen) Schwachstellen sollte heute nicht mehr an den Unternehmensgrenzen haltmachen. Penetrationstests auf Cloud-Ressourcen müssen jedoch auch die Vorgaben der Anbieter beachten, um gleichermaßen wirksam wie rechtssicher durchgeführt werden zu können.

Seite 18

 

Gerade Behörden sollten verstärkt auf offene Lösungen setzen, meint unser Autor. Denn in diesem Umfeld kommen einige Vorteile von Open Source besonders zum Tragen. Allerdings muss man dafür an ein paar Stellen auch etwas umdenken.

Seite 34

 

Warum Quantencomputer heutige asymmetrische Kryptoverfahren bedrohen und wie deren jetziges Sicherheitsniveau begründet ist, erläutert ein Ausflug in die Mathematik. Im zweiten Teil des Beitrags geht es um Diffie-Hellmann-Schlüsselaustausch, das ElGamal- Kryptosystem und elliptische Kurven – auch wenn diese noch eine ganze Weile als sicher gelten dürfen, schwebt doch die „Quantum-Supremacy“ schon geraume Zeit als Damoklesschwert über diesen „todgeweihten“ Algorithmen.

Seite 48

Informationssicherheit ist in vielen Unternehmen historisch gewachsen und reagiert oft erst nach Fertigstellung der Infrastruktur auf Bedrohungen, anstatt Risiken und Maßnahmen schon in Planungsphasen zu thematisieren. Eine ganzheitliche Integration der Informationssicherheit im Unternehmen liefert mehr Effizienz und weitere Vorteile für viele Beteiligte.

Seite 62

 

Mit der Vernetzung von Produktionsumgebungen wird auch dort der Faktor Mensch in Bezug auf die IT-Sicherheit bedeutsam. Eine Sensibilisierung für IT-Security in der Operational Technology (OT) muss jedoch ebenso spezifische Gegebenheiten dieses Umfelds beachten, wie das auf technischer Seite gefordert ist.

Seite 77

 

Recht

Unsere Rechtsrubrik lotet die eng gefassten Grenzen für Eingriffe in den Schutz der Privatsphäre durch Monitoring und Überwachung am Arbeitsplatz aus und liefert Anregungen für alternative Vorgehensweisen zum generellen Verbot einer privaten Nutzung.

Seite 73

 

Rubriken

Editorial

Seite 03

Termine

Seite 81

News und Produkte

Seite 84

Impressum

Seite 88

Wer bietet was?

Seite 87

 

BSI-Forum