| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Reports
----------
Wombat Security: 2016 State of the Phish Report
http://info.wombatsecurity.com/state-of-the-phish
Symantec - ISTR – Internet Security Threat Report – Volume 21, April 2016:
https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
81 Seiten - Summary Seite 5 – 7 im Report
six key findings and trends from 2015:
1. A New Zero-Day Vulnerability Was Discovered on Average Each Week in 2015:
Advanced attack groups continue to profit from previously undiscovered flaws in browsers and website plugins
2. Over Half a Billion Personal Records Were Stolen or Lost in 2015: More companies
than ever are not reporting the full extent of their data breaches
3. Major Security Vulnerabilities in Three Quarters of Popular Websites put us all
at Risk: Web administrators still struggle to stay current on patches
4. Spear-Phishing Campaigns Targeting Employees Increased 55 Percent in 2015:
Cyber attackers are playing the long game against large companies
5. Ransomware Increased 35 Percent in 2015: Cyber criminals are using encryption
as a weapon to hold companies’ and individuals’ critical data hostage
6. Symantec Blocked 100 Million Fake Technical Support Scams in 2015:
Cyber scammers now make you call them to hand over your cash
Verizon 2016 Data Breach Investigations Report
http://news.verizonenterprise.com/2016/04/2016-data-breach-report-info/
Executive Summary, 12 Seiten
http://news.verizonenterprise.com/2016/04/2016-data-breach-report-info/#summary
Es gibt auch separate Sections für Financial Services, Hospitality, Media and Entertainment,
Professional Services, Public Sector, Retail, Cloud and Data Centers, Internet of Things and M2M
Und noch eine sehr gute Zusammenfassung:
http://www.heise.de/newsticker/meldung/Sicherheits-Report-Unternehmen-setzen-selbst-simple-Schutzmechanismen-nicht-um-3184485.html
F-secure threat report.
The report discusses trends from the most prevalent cybersecurity threats we've seen during the year 2015.
The Chain of Compromise (CoC) model is also introduced along with exploit kits, ransomware and more.
https://labsblog.f-secure.com/2016/04/11/new-threat-report/
HP Enterprise Annual Cyber Threat Report 2016
HP released their annual report for 2016 that covers a broad range of information (96 pages)
in various sectors and industries. The report is divided in 7 themes,
those that appear the most interesting to me are Theme #5: The industry
didnt learn anything about patching in 2015 and Theme #7: The monetization of malware.
Theme #5 According to this report, the bug that was the most exploited in 2014 was
still the most exploited last year which is now over five years old.
https://isc.sans.edu/diary.html?storyid=20985&rss
Der Report selbst auf
http://techbeacon.com/resources/2016-cyber-risk-report-hpe-security
2. Die europäische Datenschutz-Grundverordnung
--------------------------------------------------------------
Empfehlenswert: Grundzüge der Europäischen Datenschutz-Grundverordnung
Zusammengefasst im Newsletter DSB 2/2016 der Datenschutzbehörde in Wien
https://www.dsb.gv.at/DocView.axd?CobId=62652
Auch sehr schöne graphische Zusammenfassung, evtl. Vorstand-geeignet ;-)
https://www.dsb.gv.at/DocView.axd?CobId=62652
Mit mehr Details im Newsletter 5/2016 auf dieser Website.
3. Erpressungs-Trojaner
-----------------------------
Das große Thema seit 6 Monaten. Eigentlich nicht wirklich was neues, aber irgendwie
setzt sich das Geschäftsmodell jetzt flächendeckend und sehr erfolgreich durch,
jetzt auch verfügbar für MacOS und Android.
Hier der Link zu einer Umfrage des BSI in D. Ergebnisse sind recht erschreckend:
- ein Drittel der befragten sagen dass sie in den vergangenen sechs Monaten von
Verschlüsselungs-Trojanern betroffen waren.
- 70 Prozent der betroffenen Unternehmen geben an, dass nur einzelne
Computer befallen wurden.
- Bei 22 Prozent kam es durch die Infektion zu
erheblichen Ausfällen von Teilen der IT-Infrastruktur.
- Nur etwas mehr als ein Zehntel haben durch den Vorfall den Zugriff auf wichtige Daten
verloren.
- Lediglich 18 Prozent der Betroffenen haben Strafanzeige gestellt.
- 95,3 Prozent der betroffenen Firmen sind nicht auf die
Lösegeld-Forderung eingegangen. 2,1 Prozent geben an, die Forderungen
der Erpresser befolgt zu haben. Nach der Zahlung hatten sie eigenen
Angaben zufolge wieder Zugriff auf ihre Daten. 2,6 Prozent machten keine
Angaben zu dieser Frage.
http://www.heise.de/newsticker/meldung/BSI-Umfrage-Ein-Drittel-der-Unternehmen-ist-von-Erpressungs-Trojanern-betroffen-3189776.html
Die Studie selbst:
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/ransomware-umfrage-2016-04.pdf
4. Was verdient denn ein Hacker so ungefähr?
----------------------------------------------------
Ponemon Institute provides insight into topics like the average earnings of a cyberattacker
http://media.paloaltonetworks.com/lp/ponemon/report.html
Ebenfalls zur Ökonomie von Cybercrime:
2016 Trustwave Global Security Report
http://www.scmagazine.com/cybercrime-as-a-business-rampant-new-study/printarticle/491296/
5. heise Security Consulter
----------------------------------
Ganz nett für KMUs, die sich keine volle Sicherheitsanalyse leisten wollen.
Oder auch zu nutzen für selbständige Berater, die mit konkreten Nachfragen
die fehlenden Details dann ergänzen können.
Ein sehr ausführlicher Fragebogen zum Stand der IT-Sicherheit im Unternehmen,
kann auch anonym ausgeführt werden, auch wenn die Registrierung immer
wieder aufgedrängt wird (ich verstehe, dass die Ersteller des Tools natürlich
letztendlich Kunden suchen).
Unbefriedigend bleibt für mich der Puntk den alle diese Umfragen haben, es wird
gefragt ob eine Firewall eingesetzt wird, aber nicht, ob die korrekt konfiguriert ist.
Ebenso bei vielen anderen Punkten: 2-Faktor Authentisierung, ja/nein, aber das an
einer Stelle diese zum Einsatz kommt, sichert alle anderen Zugänge noch nicht ab.
Trotzdem als Start besser als gar nicht über den Zustand der Sicherheit nachgedacht.
http://www.heise.de/security/dienste/Der-heise-Security-Consulter-2126442.html
Faszination und Humor
-----------------------------
Geek-Humor
http://classicprogrammerpaintings.tumblr.com/
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick