Security on JAVAPRO Germany

DevOps-Patterns und Java 26 für On-Premises LLM-Plattformen in sicherheitskritischen Umgebungen

Mon, 06 Apr 2026 07:00:00 +0000

Während die erste Welle der KI-Adoption in vielen Organisationen auf Cloud-APIs setzte, ist dieser Ansatz in sicherheitskritischen und regulierten Umgebungen häufig nicht nutzbar. Vertraulichkeitsanforderungen, Datenschutzvorgaben und der Bedarf an technisch durchsetzbaren Betriebsgrenzen stehen dem entgegen. In On-Premises-Setups erweitert sich die Architektur um zusätzliche Laufzeitkomponenten, etwa LLM-Serving, Retrieval und Wissensartefakte wie Indizes und Prompts. Der Fokus verschiebt sich damit von der reinen Modellnutzung zur Plattformfrage: Wie lassen sich Datenzugriffe und Berechtigungen entlang der Pipeline kontrollieren? Wie bleiben Änderungen an Modellen, Prompts und Indizes nachvollziehbar? Und wie lassen sich Fehlerfälle reproduzierbar eingrenzen und zurückrollen?

Code vor Gericht - java als beweismittel

Mon, 02 Mar 2026 07:01:33 +0000

*Software bildet heute das Fundament zahlreicher Geschäftsmodelle, industrieller Prozesse und öffentlicher Verwaltungsstrukturen. Sie entsteht in komplexen Ökosystemen aus Quellcode, Daten, Schnittstellen und Architekturen – und gewinnt dadurch rechtliche Relevanz weit über klassische Urheberrechtsfragen hinaus. Manipulationsvorwürfe, Haftungsfragen bei Sicherheitslücken, Streitigkeiten um Nutzungsrechte oder auch die genaue Rekonstruktion technischer Abläufe führen zunehmend dazu, dass Quellcode und Softwareartefakte vor Gericht als Beweismittel dienen. In diesem Artikel wird mit speziellem Fokus auf die Programmiersprache Java die Identifizierbarkeit und Integrität von Softwareständen, dokumentationsrelevante Artefakte vorgestellt und Werkzeuge zur forensischen Untersuchung beschrieben. Der Einsatz von KI in der Software-Entwicklung führt darüber hinaus zu neuen Verantwortlichkeiten, wachsenden Gefahren und belegt die Notwendigkeit von qualitativ zuverlässiger und überprüfbarer Software. *

XDEV SSE: Verbesserung der Spring Security für moderne Anwendungen

Mon, 30 Jun 2025 07:00:00 +0000

Im sich ständig weiterentwickelnden Bereich der Webanwendungssicherheit ist es entscheidend, mit Best Practices Schritt zu halten. XDEV’s Extras for Spring Security (XDEV SSE) adressiert typische Herausforderungen, denen Entwickler beim Absichern verteilter Systeme begegnen. Diese Open-Source-Erweiterung für Spring Security bietet zahlreiche Funktionen, um die Entwicklung sicherer Anwendungen zu vereinfachen.

Überblick

Die Erweiterung stellt verschiedene Module bereit, die das Management von Sicherheitsfunktionen in Spring-basierten Anwendungen deutlich vereinfachen. Im Mittelpunkt stehen die Optimierung der OAuth2/OIDC-Verwaltung, das Session-Handling und die Speicherung von Login-Sitzungen, während gleichzeitig die Integration moderner Frontends erleichtert wird. Ein wesentlicher Vorteil ist die effizientere Verwaltung von Benutzersitzungen durch automatische Zugriffsvalidierung – selbst nach einem Serverneustart bleibt die Sicherheit über alle Anwendungen hinweg erhalten.

Kurze Links, klare Architektur – Ein URL-Shortener in Core Java

Tue, 10 Jun 2025 22:57:14 +0000

Ein URL-Shortener wirkt harmlos – doch wer ihn falsch implementiert, öffnet Tür und Tor für Phishing, Enumeration und Datenabfluss. In diesem ersten Teil beleuchte ich die theoretischen und sicherheitsrelevanten Grundlagen eines URL-Shorteners in Java – ganz ohne Frameworks, aber mit Fokus auf Entropie, Kollisionstoleranz, Rate-Limiting, Gültigkeitslogik und digitaler Verantwortung. Im zweiten Teil folgt die vollständige Umsetzung: modular, nachvollziehbar und möglichst sicher.

1.1 Motivation und Anwendungsfälle

In einer zunehmend fragmentierten und mobilen Informationswelt sind URLs nicht nur technische Adressierungsmechanismen, sondern zentrale Bausteine digitaler Kommunikation. Lange und schwer merkbare URLs wirken in sozialen Medien, E-Mails oder QR-Codes hinderlich, da sie nicht nur ästhetisch unattraktiv, sondern auch fehleranfällig bei der manuellen Eingabe sind. URL-Shortener begegnen diesem Problem durch die Erzeugung kompakter Repräsentationen, welche auf die ursprüngliche Zieladresse verweisen. Neben der verbesserten Lesbarkeit spielen dabei auch Aspekte wie statistische Auswertbarkeit, Zugriffskontrolle und Kampagnen-Tracking eine zentrale Rolle.

Wenn hashCode() lügt und equals() hilflos ist

Sun, 08 Jun 2025 09:53:06 +0000

Ein tiefer Blick in Java’s HashMap-Fallen – visuell demonstriert mit Vaadin Flow

Die stille Gefahr in der Standardbibliothek

Die Verwendung von HashMap und HashSet gehört zum täglich Brot in der Java-Entwicklung. Diese Datenstrukturen bieten exzellente Performance für Lookup- und Einfügeoperationen – solange ihre fundamentalen Annahmen erfüllt bleiben. Eine davon lautet: Der hashCode() eines Schlüssels bleibt stabil. Was aber, wenn das nicht der Fall ist?

https://www.youtube.com/watch?v=u-tSy27RXA8

Genau hier lauert eine der subtilsten und zugleich gefährlichsten Fallen der Java-Standardbibliothek: mutable Schlüsselobjekte. In diesem Artikel zeigen wir nicht nur, warum diese Konstellation problematisch ist, sondern führen das Phänomen interaktiv mit Vaadin Flow vor. Leserinnen und Leser erfahren, wie die HashMap intern funktioniert, warum equals() allein nicht genügt, und wie man mit modernen Sprachmitteln wie record robuste, unveränderliche Schlüssel erzeugt.

Erstellen einer einfachen Datei-Up/Download-Anwendung mit Vaadin Flow

Tue, 03 Jun 2025 13:14:00 +0000

Vaadin Flow ist ein leistungsstarkes Framework zur Erstellung moderner Webanwendungen in Java, bei denen die gesamte UI-Logik serverseitig implementiert wird. In diesem Blogpost bauen wir Schritt für Schritt eine einfache Datei-Verwaltungs-Applikation, die es Nutzern erlaubt, Dateien hochzuladen, auf dem Server zu speichern und bei Bedarf wieder herunterzuladen. Dies ist eine gute Möglichkeit zu zeigen, wie man Schritt für Schritt den Schutz vor CWE-22, CWE-377 und CWE-778 aufbauen kann.

Wir fokussieren uns in diesem Beispiel ausschließlich auf die Funktionalität und nicht auf die grafische Gestalltung. Diese ist absichtlich sehr einfach gehalten worden um sich auf die technischen Aspekte zu konzentrieren.

Java im Ernstfall: Wie Eigenentwicklung Kontrolle schafft und kritische Systeme sichert

Wed, 28 May 2025 13:55:34 +0000

Wenn IT versagt, merkt es keiner – bis es alle betrifft.
Ob im Krankenhaus, bei der Energieversorgung oder am Flughafen: In sicherheitskritischen Umgebungen ist der stabile Betrieb digitaler Systeme keine Option, sondern Pflicht. Genau hier zeigt sich, ob Infrastruktur resilient, skalierbar und unabhängig genug gebaut ist, um im Ernstfall standzuhalten.

Ein prägnantes Beispiel ist die Fraport AG, Betreiberin eines der größten Luftfahrtdrehkreuze Europas. Wenn dort Gepäck nicht ankommt oder sicherheitsrelevante Informationen verzögert eintreffen, steht nicht nur der Urlaub einzelner Passagiere auf dem Spiel – sondern die operative Stabilität des gesamten Betriebs. Hinter den Kulissen eines solchen Drehkreuzes läuft eine hochkomplexe digitale Infrastruktur, die rund um die Uhr funktionieren muss – trotz wachsender Anforderungen, alternder Legacy-Systeme und zunehmender Sicherheitsauflagen.

Bewährte Praktiken für CI/CD Pipelines

Wed, 30 Nov 2022 17:51:53 +0000

Diese Praktiken sollen eine Vorstellung davon vermitteln, wie einige Probleme in modernen CI/CD-Pipelines gelöst und was vermieden werden sollte. Verwenden Sie diese Muster als Richtlinie beim Implementieren Ihrer eigenen Pipelines.

Executive Order und der Solarwinds Hack - Was bedeutet das für uns?

Fri, 25 Nov 2022 12:46:44 +0000

In den letzten zwei Jahren haben wir einiges im Bereich Cybersecurity lernen müssen. Die neuen Angriffsvektoren werden immer mehr ausgefeilter und richten sich immer mehr gegen die Wertschöpfungskette im allgemeinen. Aber was bedeutet das für uns? Was kann man dagegen unternehmen und welche Reaktionen sind von staatlicher Seite schon erfolgt?

Beginnen wir hier mit der Geschichte die all das hier ins rollen gebracht hat und dafür sorgte das die allgemeine Aufmerksamkeit auf die Verwundbarkeiten der generellen IT Infrastruktur gelenkt worden ist. Die Rede ist hier von dem SolarWinds Hack. Was passierte hier und was noch wichtiger ist; Was sind die lessons learned aus diesem Vorfall?

Cybersecurity - Was ist SAST, DAST, IAST und RASP? - ein kleines Intro

Wed, 27 Jul 2022 10:27:40 +0000

In diesem Beitrag werden wir uns die Unterschiede der verschiedenen Abwehrtechniken im Bereich der Cybersecurity ansehen. Hier kann man vier Hauptgruppen identifizieren, die wir eine nach der anderen kurz durchgehen werden um die Vor- und Nach-teile darzustellen.

Wer das Video zu diesem Blogpost

auf Youtube sehen möchte:

https://youtu.be/pA1UnQ6J6Nc

SAST - Static Application Security Testing

SAST bezeichnet den Vorgang bei dem die Komponenten von einer Anwendung einer statischen Analyse unterzogen werden. Hierbei werden nicht nur Sicherheitslücken gesucht, sondern auch die Lizenzen der einzelnen Elemente bestimmt. Im nachfolgenden werde ich mich in diesem Beitrag allerdings ausschließlich um die Betrachtung der Vulnerabilities kümmern.

PCI DSS-Sicherheitsauditverfahren - alles, was Sie wissen müssen

Thu, 02 Jun 2022 14:56:43 +0000

Die Einhaltung des Datensicherheitsstandards (DSS) der Zahlungskartenbranche (PCI, engl.: Payment Card Industry) erfordert eine jährliche Berichterstattung. Diese jährliche Berichterstattung umfasst umfangreiche PCI-DSS-Auditverfahren für Organisationen, die die höchsten Transaktionsvolumina abwickeln. Die Auditverfahren werden im Rahmen einer Vor-Ort-Bewertung durchgeführt, die als Konformitätsbe

Die NIS-Richtlinie

Wed, 01 Jun 2022 17:15:33 +0000

Die Richtlinie über die Sicherheit von Netz- und Informationssystemen ist eine Richtlinie, welche in die nationale Gesetzgebung der einzelnen Mitgliedsstaaten übersetzt wird. Dies bedeutet, dass es Unterschiede in der Anwendung geben kann.

PCI-DSS 4.0 endlich am Start

Tue, 17 May 2022 18:14:27 +0000

Nach längerer Verzögerung wurde am 31. März 2022 die Version 4.0 des Datensicherheitsstandards (DSS, engl.: Data Security Standard) der Zahlungskartenbranche (PCI, engl.: Payment Card Industry) veröffentlicht. [1], [2]

Die typische Lebenslinie einer Sicherheitslücke

Wed, 30 Jun 2021 11:00:42 +0000

**Immer wieder lesen wir in den IT-Nachrichten etwas über gefundene Sicherheitslücken. Je schwerer die Einstufung dieser Lücke ist, desto mehr Aufmerksamkeit bekommen diese Informationen in der allgemeinen Presse. Über all die gefundenen Sicherheitslücken, die nicht den Bekanntheitsgrad von zum Beispiel dem SolarWinds Hack erlangen, hört und liest man meistens nichts. Aber wie ist die typische Lebenslinie einer solchen Sicherheitslücke? ** Beginnen wir mit der Geburt einer Sicherheitslücke. Das kann auf zwei unterschiedlich motivierte Arten geschehen. Zum einen kann es jedem Entwickler passieren, dass er durch eine unglückliche Kombination von Quelltextstücken eine Sicherheitslücke erzeugt. Zum anderen kann es auch auf einer gezielten Manipulation beruhen. Allerdings hat das im Wesentlichen keine Auswirkungen auf den weiteren Verlauf der Lebenslinie einer Sicherheitslücke. Wir gehen im nachfolgenden einfach davon aus, dass eine Sicherheitslücke erzeugt worden ist und diese sich nun aktiv in irgendeiner Software befindet. Dabei kann es sich um ausführbare Programme handeln oder auch um angebotene Bibliotheken die als Dependency in andere Softwareprojekte eingebunden wird.

DevSecOps - 101

Thu, 28 Jan 2021 17:20:00 +0000

Ich musste über ein Thema nachdenken, das mich Kunden oder Teilnehmer von Konferenzen seit längerer Zeit wiederholt fragen. Die Frage ist fast immer:

Was sind die “quick wins” oder “low hanging fruits”, wenn Sie sich mehr mit dem Thema Sicherheit in der Softwareentwicklung befassen möchten?

Und genau diese Frage möchte ich jetzt aus meiner Sicht heraus beantworten und beginnen mit einem Ausdruck, der in der Geschäftswelt häufig verwendet wird.

Diesen Artikel gibt es auch als Youtube Video auf meinem Kanal und ist zu finden unter

Business-Impact-Analyse mit nur 5 Slides

Tue, 08 Dec 2020 10:51:41 +0000

**Um zukünftige Schadensszenarien begegnen zu können, müssen Unternehmen im Kontext eines Notfall- bzw. Risikomanagements eine Erhebung ihrer kritischen IT-Systeme durchführen, insbesondere im Rahmen von IT-Architektur-Reviews, Assessments, Audits oder weil die Compliance dies erfordert. In der Praxis ist eine solche Betrachtung viel zu umfänglich. Eine Business-Impact-Analyse kann jedoch mit vereinfachtem Umgang auf fünf Schaubilder reduziert werden. ** Eine gängige und anerkannte Methode für die Erhebung kritischer IT-Systeme ist das Notfallmanagement nach BSI 100-4. Der Umfang dieses Vorgehens betrachtet jedoch nicht nur die IT-Infrastruktur, sondern eben ein unternehmensweites Notfallmanagement inklusive Organisation und Prozesse. Nicht selten ist ein Analyseprojekt in diesem Kontext bis zu mehrere Hundert PT groß. In der Praxis ist diese Betrachtung viel zu umfänglich, da man im ersten Schritt nur den Technologie-Stack betrachten möchte. Sofern Prozesse und Organisation nicht im Fokus stehen, kann eine Business-Impact-Analyse (BIA) mit vereinfachtem Umfang auf fünf Schaubilder reduziert werden.

Security-by-Design-Projekte in Zeiten der Datendämmerung

Tue, 22 Sep 2020 09:23:31 +0000

*Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Unter anderem gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union, hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Diesem Grundrecht trägt die neue EU-Datenschutzgrundverordnung ab dem 25. Mai 2018 verstärkt Rechnung. Sie gilt für alle Unternehmen, Behörden und Freiberufler, die personenbezogene Daten von EU-Bürgern verarbeiten. Es wird also ernst für Verantwortliche bei der Verarbeitung von Daten. Diese sind nun unmittelbar verpflichtet, alle sich aus der Neuerung ergebenden Auflagen und Pflichten zu erfüllen. ** Im Kapitel 1 Art. 4 der EU-DS-GVO finden sich die dazu passenden Begriffsbestimmungen für folgende Schlüsselbegriffe: „Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ „Verarbeitung: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ *

Die Tücken des Cloud-Computing

Fri, 07 Aug 2020 10:08:22 +0000

Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Unternehmensnetze. Die enormen Datenmengen jedoch, die Cloud-Server beherbergen, machen sie zu einem attraktiven Ziel für Hackerangriffe. Was sind die häufigsten Risiken und welche konkreten Empfehlungen gibt es, um die Gefahr von Missbrauch und extern forciertem Datenverlust zu minimieren?

Ein Unternehmen ist für den Schutz seiner Daten selbst verantwortlich. Im Falle einer öffentlich gewordenen Datenpanne drohen Ermittlungsverfahren, Strafanzeigen, Rechtsstreitigkeiten und daraus resultierende Umsatzeinbußen sowie nachhaltiger Reputationsverlust. Daher gilt bei der Wahl des Cloud-Anbieters ein besonderes Augenmerk auf physische und digitale Sicherheitskontrollen zu werfen.

Durchdachtes Log-Management für Industrie 4.0

Fri, 10 Jul 2020 12:51:25 +0000

Log- und Protokollmanagement ist eine oft wenig beachtete, aber dennoch eine der dringlichsten Herausforderungen zur Absicherung von IT-Strukturen. Dieser Artikel zeigt ein Best Case in Form eines Sicherheitskonzeptes über zehn Etappen und bedient sich dabei zur Veranschaulichung aus der Industrie 4.0-Themenwelt.

Sichere Identitäten gelten als wesentlicher Ausgangspunkt für Sicherheitsketten, welche die Datenerhebung, Datentransport und Datenverarbeitung auf Hardware-, Software- und Prozess-Ebene absichern. Damit bilden sie die Voraussetzung für viele weitere Schutzmaßnahmen, die Unternehmen in puncto Datensicherheit ergreifen sollten, um sich compliant und wettbewerbsfähig aufzustellen. Denn klar ist: Sobald es einem Angreifer gelingt, sich unberechtigt einer Identität zu bemächtigen, laufen alle darauf aufbauenden Maßnahmen wie zum Beispiel der Zugriffsschutz ins Leere. So bietet die Gewährleistung sicherer Identitäten über automatisierte Kommunikation ein solides Startglied in der Vertrauenskette. Mit der Einführung eines Sicherheitsprozesses leiten IT-Verantwortliche die notwendigen organisatorischen Veränderungen ein, definieren eine Strategie und nutzen Hilfsmittel zur Erreichung der Sicherheitsziele.

Prototyping spart Zeit und Kosten

Thu, 09 Jul 2020 16:51:10 +0000

Heute muss Software zügig entwickelt und produktiv gesetzt werden (Time-to-Market). Dabei kann Prototyping helfen, die Effizienz im Entwicklungsprozess zu verbessern. Allerdings gilt es sorgfältig zu überlegen, welche Prototyping-Methode zum eigenen Projekt passt. Softwareentwicklung ist eine sehr dynamische Disziplin, in der sich die Anforderungen schnell ändern. Häufig entwickelt die Auftraggeberseite eine Reihe von Anforderungen oder User-Stories, obwohl sie das entsprechende Resultat nicht genau einschätzen kann. Das Entwicklerteam macht sich Gedanken und arbeitet an einem repräsentablen Stakeholder. Wenn dieser jedoch hinter den Erwartungen zurückbleibt, weil die Anlage zur Visualisierung anfänglicher Anforderungen fehlt, kann es passieren, dass so ein Projekt komplett neu auf die Spur gesetzt werden muss. Das führt im Ergebnis zu einem erhöhten Budgetbedarf für die Produktentwicklung. Um den Ablauf und dementsprechend das Budget zu optimieren, können verschiedene Ansätze verfolgt werden: Proof-of-Concept, Wireframes, Funktionales Prototyping, MVP (Minimum Viable Product) oder ein Pilotprojekt. Dieser Artikel konzentriert sich auf das Prototyping:

Massive Attacken – Warum smarte Elektrotechnik nicht vertrauenswürdig ist

Fri, 01 May 2020 11:25:00 +0000

**„**Helferlein“, die intelligente Glühbirne des Comic-Antihelden Daniel Düsentrieb, saß auf seiner Schulter und hatte keinerlei Verbindung in die Cloud. Eine risikolose Beziehung. Heute vernetzt sich Lichttechnik online, schickt Datenpakete um die Welt und bietet Cyberkriminellen Raum für Attacken. Normen und Sicherheitsstandards für Dinge im Internet suchen Gebäudeplaner und Lenker digitaler Transformation nahezu vergeblich. Smart Buildings brauchen, um sich dem entgegenzustemmen, Security-by-Design-Konzepte, Privacy by Default und einen Dreiklang an Sicherheitsmaßnahmen.

Stand der Technik: Wenn sich dem Hacker alle Türen öffnen

Bis 2020 wird es weltweit über 20 Milliarden Geräte geben, die mit dem Internet verbunden sind. Ein beträchtlicher Teil dieser technischen Spielereien existiert als Teil gebäudeinterner Sicherheitssysteme, beispielsweise in Form von Überwachungskameras, ferngesteuerten Heizungs- oder Lichtanlagen. Während der Markt für Smart-Building-Technik boomt, befindet sich das dazugehörende branchenspezifische Feld der IoT-Sicherheit noch in den Kinderschuhen. Konkret bedeutet dies, dass Gebäude und ihre smarten Infrastrukturen bis dato nicht dafür geplant und ausgelegt sind, Teil eines vernetzten IoT-Universums zu sein. Der asynchrone Stand der Technik von intelligenten Geräten und ihren rudimentären Sicherheitsfunktionen öffnet Hackern Tür und Tor. Bei Attacken auf IT-Systeme via Brandmeldeanlage oder Videokamera erlangen Angreifer Fernzugriff auf sensible Daten sowie Manipulationsfreiraum. Hacker nehmen erfahrungsgemäß stets den leichtesten Weg und dieser führt auch über smarte Geräte ans schadenbringende Ziel. Bezieht man bei diesen Gedankenspielen Gebäude mit kritischen Infrastrukturen, also Krankenhäuser, Kraftwerke oder Flughäfen, mit ein, zeigt sich die Brisanz umso deutlicher.

Die 10 wichtigsten Schritte zur Verhinderung eines Datenschutzverstoßes

Thu, 30 Apr 2020 11:10:33 +0000

Heute leben wir mehr denn je in einer digitalen Welt, die sich schneller verändert, als wir die von uns gespeicherten Dateien und Daten schützen können. Es gibt keine Patentrezepte oder magische Lösung, um einen Datenschutzverstoß zu verhindern, aber es gibt wichtige Schritte, die Sie zum Schutz Ihrer Daten ergreifen können. Es gibt technisch gesehen einige wenige Arten von Datenlecks, wie interne oder externe Quellen. Obwohl Unternehmen Maßnahmen ergreifen und aktiv handeln, scheint es, dass die Zahl der Datenschutzverletzungen von Jahr zu Jahr zugenommen hat. Es kann sich wie ein unendliches Katz-und-Maus-Spiel anfühlen, weil es tatsächlich so ist. Jedes Mal, wenn Unternehmen einen neuen Weg finden, Daten zu schützen, scheint es, als ob Kriminelle einen besseren Weg finden, auf diese Daten zuzugreifen, und dann gibt es interne Lecks, die durch menschliches Versagen oder Vorsatz verursacht werden. Daten sind wertvoll und es gibt eine Vielzahl von Dingen, die mit gehackten, durchgesickerten oder gestohlenen Daten durchgeführt werden können. Die häufigste Art von Daten, die von Hackern und Cyberkriminellen verwendet werden, sind Namen, Geburtsdatum, Sozialversicherungsnummern und manchmal Kreditkarten- oder Debitkartennummern. Gesundheitsdaten sind die wertvollsten auf dem Schwarzmarkt und im dunklen Netz. Eine Sozialversicherungsnummer kann für etwa 15 US-Dollar gekauft und die Gesundheitsdaten von jemandem können für bis zu 200 US-Dollar verkauft werden. Es gibt so viele verschiedene Möglichkeiten, wie Datenschutzverletzungen auftreten können, aber es gibt einfache Schritte, die jeder tun kann, um zumindest die Grundlagen der Cybersicherheit abzudecken. Dies sind die grundlegenden Schritte, die Sie mindestens unternehmen sollten, um Verletzungen der Datensicherheit zu verhindern.

Was sollten wir im Falle eines Cybersicherheitsvorfalls in einer industriellen Umgebung tun?

Wed, 29 Apr 2020 11:00:28 +0000

Die Unvermeidlichkeit von Cyberangriffen in der heutigen Zeit bedeutet, dass Industrieanlagen auf der ganzen Welt ihre Investitionen in die digitale industrielle Cybersicherheit neu priorisieren sollten. Da sich die Prioritäten verschieben, besteht die größte Notwendigkeit darin, die Ausgaben für Strategien und Instrumente zur Erkennung und Reaktion auf Vorfälle im Vergleich zu traditionellen Schutz- und Präventionsmethoden zu verbessern. Mit anderen Worten: Es ist klar, dass es nicht mehr ausreicht, einen typischen Netzsicherheitsperimeter aufzubauen und zu hoffen, dass er den Angreifer fernhält. Die Verfahren müssen so konzipiert sein, dass sie Angriffe bewältigen können. Zudem müssen sie in der Lage sein, jeden Schaden zu mildern und zu reparieren, sobald jemand eingedrungen ist. Diese Botschaft scheint bereits in die Welt der Unternehmens-IT durchzudringen, wo das Ausmaß des Problems durch die neue Gesetzesgrundlage und das öffentliche Bewusstsein für neue Vorschriften deutlich geworden ist. Wenn es jedoch um die Steuerungstechnik (Industrial Control System, abgekürzt ICS) geht, haben viele Unternehmen immer noch Schwierigkeiten, sich anzupassen. Die alte Ausgabenregel 80/20, die besagt, dass 80 % der Ausgaben für Prävention und Schutz und nur 20 % für Erkennung und Reaktion getätigt werden, gilt nach wie vor. Es gibt bereits Anzeichen dafür, dass sich das ändern wird. Für die Anbieter kritischer Infrastrukturen in den Bereichen Banken, Versicherungen, Wasser, Fertigung, Energie, Transport und Gesundheit könnte die unzureichende Vorbereitung auf einen möglichen Vorfall bedeuten, dass neue Vorschriften, wie die Richtlinie der Europäischen Union (EU) über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) ^([1]), in Kraft treten. Compliance ist jedoch nur ein Motivationsfaktor. Ein methodischer und gut strukturierter Plan zur Bewältigung von Vorfällen kann die Sicherheit verbessern und dazu beitragen, finanzielle oder Reputationsschäden zu vermeiden.

Wie du deine Mobilfunknummer schützen kannst und warum du es tuen solltest

Tue, 28 Apr 2020 10:32:03 +0000

Angenommen, du hast sichere Passwörter und deine Zwei-Faktor-Authentisierung eingerichtet. Denkst du nun, dass deine Konten jetzt gewappnet sind? Überdenke es nochmals. Es gibt noch viel mehr für dich zu tun. Du denkst wahrscheinlich, dass deine Bankkonto- und Sozialversicherungsnummern die sensibelsten Zahlen in deinem Leben sind. Heutzutage können Hacker mit wenig Aufwand und nur mit deiner Handynummer viel mehr Schabernack anrichten. Aber im Gegensatz zu deiner Sozialversicherungsnummer bist du weitaus weniger geneigt, deine Mobilfunknummer geheim zu halten – sonst kann dich ja niemand kontaktieren! Egal, ob du ein Kunde von AT&T, Verizon, Sprint, Vodafone, O2 oder T-Mobile bist, jede Mobilfunknummer kann ein Ziel für Hacker sein. Und es erfordert bemerkenswert wenig Aufwand, um verheerende Auswirkungen auf dein Online-Leben zu haben.