Secorvo News Aktuelles aus dem Secorvo-Universum

17. Apr. 2026

2024 wurden dem BKA 131.000 Cybercrime-Fälle mit Tätern in Deutschland bekannt, darunter 950 Ransomware-Angriffe. Mit 32% lag die Aufklärungsquote deutlich unter der Quote von 58% der polizeilichen Kriminalstatistik.

BKA und Landeskriminalämter haben in den vergangenen Jahren zahlreiche Maßnahmen ergriffen, um diese wachsende Bedrohung zu bekämpfen. Dazu zählt die Aufklärung besonders komplexer Verfahren in Cybercrime-Zentren der Bundesländer.

Die Leiterin des Baden-Württembergischen Cybercrime-Zentrums, Tomke Beddies, wird auf dem kommenden Event der KA-IT-Si am 11.04.2026 vorstellen, welche Fälle beim CCZ bearbeitet werden und einen Einblick in Bekämpfungsstrategien des CCZ geben. Freuen Sie sich auch auf den anschließenden Erfahrungsaustausch beim "Buffet-Networking".

09. April 2026

Editorial: Vom Sams lernen

Wer kennt nicht Paul Maars wundervolles Buch "Eine Woche voller Samstage"? Ein Kinderbuch voller Weisheiten. Eine ist die Sache mit dem Büroschlüssel, die Herrn Taschenbier einen freien Tag beschert. Sein Chef, Herr Oberstein, hat diesen nämlich zur Sicherheit versteckt: in ein Taschentuch gewickelt, dann in einem Stiefel im Kleiderschrank eingeschlossen, den Schrankschlüssel in eine Zigarrenkiste gelegt und die Kiste in der Schreibtischschublade verschlossen.

Dann hat er vergessen, wohin er den Schubladenschlüssel geräumt hat...

05. März 2026

Editorial: Endlich Zahlen

Ransomware-Angriffe haben Hackergruppen zu Millionären gemacht - und bei einigen Unternehmen, wie z. B. PILZ, ruinöse Schäden durch Betriebsausfälle verursacht. Sie sind daher zu Recht gefürchtet.

Aber wie wahrscheinlich ist es, Opfer eines Ransomware-Angriffs zu werden? Bisher gab es dazu keine verlässlichen Zahlen. Bei Risikobewertungen urteilen Menschen in solchen Fällen nachweislich nach dem Schadensausmaß - und überschätzen die Gefahr häufig deutlich. Gilt das auch für Ransomware?

Seit dem Inkrafttreten des Digital Operational Resilience Act (DORA) am 17.01.2025 müssen 3.600 Unternehmen des Finanzsektors schwerwiegende IKT-Vorfälle an die Finanzdienstleistungsaufsicht (BaFin) melden. Am 28.01.2026 stellte Mark Branson, Präsident der BaFin, die Studie "Risiken im Fokus 2026" vor - mit Zahlen, aus denen sich die Ransomware-Angriffswahrscheinlichkeit abschätzen lässt.

27. Feb. 2026

Souveräner Umgang mit Schwachstellenmeldungen

Im Jahr 2025 wurden über 45.000 neue Schwachstellen entdeckt, ein Teil davon durch unabhängige Sicherheitsforscher. Auf diesen Trend regieren verschiedene Gesetzes- und Normierungsstellen. So werden Unternehmen durch den Cyber Resiliance Act (CRA) und die NIS-2 verpflichtet, aktiv Schwachstellen zu behandeln.

Auf unserem kommenden KA-IT-Si-Event am 16.04.2026 wird Dr. Matthias Schmidt (Aramido) Wege zum Umgang mit Schwachstellenmeldungen von Sicherheitsforschern vorstellen. Freuen Sie sich auch auf den anschließenden Erfahrungsaustausch beim "Buffet-Networking".

10. Feb. 2026

Editorial: Denkfehler

Stolz sind wir auf unser Gehirn, das täglich 400-500 Kalorien (20% unseres Energiebedarfs) verbraucht - im Ruhezustand. Fangen wir an richtig nachzudenken, verdoppelt sich sein Energiehunger. Doch die Ergebnisse sind oft dürftig - denn uns unterlaufen systematische Fehler, die Psychologen wie Daniel Kahneman in den vergangenen 50 Jahren entdeckt haben. Sie führen zu Fehlentscheidungen - nicht nur manchmal, sondern ständig.

Ein Beispiel aus dem Alltag. Ein CISO führt eine (aufwändige) Phishing-Kampagne durch. Am Jahresende lobt ihn der Vorstand: Anders als bei einem Mitbewerber kam es zu keinem Sicherheitsvorfall. Das Lob sei dem CISO gegönnt - allerdings darf bezweifelt werden, dass er es damit verdient hat.

30. Jan. 2026

Informationssicherheit bleibt herausfordernd

Warum kümmern Unternehmen sich oft erst um IT-Sicherheit, wenn etwas passiert ist? Und warum gelingt es nicht immer, die Notwendigkeit von IT-Sicherheit und die dazu erforderlichen Maßnahmen Kollegen, Mitarbeitern und manchmal auch der Unternehmensleitung zu vermitteln? Die Ursachen dafür sind tief in uns verwurzelt: Das menschliche Gehirn arbeitet mit Heuristiken, bei denen uns ständig systematische Denkfehler unterlaufen.

Auf der Jahresauftaktveranstaltung der Karlsruher IT-Sicherheitsinitiative (KA-IT-Si) am 26.02.2026 stellt Dirk Fox (Secorvo) typische "kognitive Verzerrungen" an Beispielen vor und demonstriert, wie ihre Berücksichtigung zu höherer Informationssicherheit, wirksamerer Kommunikation und mehr Awareness im Unternehmen führen kann. Anschließend erwartet Sie der Erfahrungsaustausch beim "Buffet-Networking".

13. Jan. 2026

Risikomanagement am Kamin

Die Neufassung des BSIG vom 02.12.2025 fordert entsprechend der NIS-2-Richtlinie von wichtigen Unternehmen geeignete Maßnahmen zum Risikomanagement. Die Geschäftsleitungen der betroffenen Unternehmen müssen die Umsetzung dieser Maßnahmen nicht nur kontrollieren, sondern sich nach § 38 BSIG zudem durch Schulungen "ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken" der Informationssicherheit aneignen.

Wir vermitteln diese Kenntnisse in einem ganz besonderen Rahmen - als Kaminabend in der Villa Hammerschmiede (in Söllingen bei Karlsruhe), inklusive Kamingespräch und gemeinsamem Abendessen mit Experten und Geschäftsleitungen.

Nächster Termin: 05.03.2026.
(Die Teilnehmerzahl ist begrenzt; wir empfehlen daher eine schnelle Anmeldung.)

12. Jan. 2026

Editorial: Sicheres Wichteln

Ich mag Kryptografie. Mit jedem beliebigen Menschen sicher kommunizieren zu können, ohne ihn zuvor zu kennen, ist für mich Magie. Magie kann auch weh tun - wer je ein Zertifikat erneuert hat, weiß was ich meine. Doch in der Weihnachtszeit kann man Kryptografie schmerzfrei verwenden: beim Wichteln.

Was hat Wichteln mit Kryptografie zu tun? Beim Wichteln muss jeder Teilnehmer wissen, wen er beschenken soll - aber darf sich weder jemanden aussuchen noch selbst beschenken (müssen). Dafür braucht man eine zufällige (geheime) Zuordnung jedes Teilnehmers zu einem anderen - eine fixpunktfreie Permutation also. Sie ahnen es: Hier kommt Kryptografie ins Spiel.

18. Dez. 2025

Editorial: Gel(i)ebte Freiheit

Risikomanagement ist in vielen Unternehmen ein ungeliebtes Kind: Entweder fristet es ein trauriges Schicksal als Teil des Compliance-Buzzword-Bingo oder es quält Riskmanager und Unternehmensleitungen Jahr für Jahr bei dem Versuch, das nicht Messbare irgendwie zu objektivieren.

Mit etwas Distanz betrachtet wirkt das eigenwillig. Denn "Management" ist Tag für Tag nichts anderes als der Umgang mit Risiken: Marktrisiken, Inflationsrisiken, Innovationsrisiken, Personalrisiken, Wettbewerbsrisiken, Sicherheitsrisiken: Jede Management-Entscheidung ist eine Entscheidung über eine ungewisse Zukunft, die sich im Rückblick als falsch erweisen kann. Das ist - riskant.

19. Dez. 2025

Threat Modeling

Entdeckt man Sicherheitslücken bereits beim Design eines Systems oder einer Software, lässt sich viel Ungemach vermeiden. In der Ausgabe 1/2026 der iX führen Oliver Oettinger und Kai Jendrian in die Grundlagen und Möglichkeiten des Threat Modeling ein - von den Grundprinzipien bis zur Tool gestützten Modellierung komplexer Bedrohungsmodelle.

16. Nov. 2025

Editorial: Alter Wein, neue Schläuche...

Seit drei Jahren diskutiert die EU über die Einführung einer "Chatkontrolle" - eine Neuauflage der "Kryptodebatte" der 90er Jahre. Führende Kryptologen warnten damals überzeugend vor den Risiken von Key Escrow und Key Recovery. Weder in den USA noch in Europa kam es zu Beschränkungen von Verschlüsselungslösungen, doch die Debatte riss nicht ab. 2015 nahmen die Autoren daher erneut Stellung. Um die Verbreitung von Darstellungen sexualisierter Gewalt gegen Kinder zu bekämpfen, sollen Kommunikationsdienste in der EU verpflichtet werden, private Nachrichten auf verdächtige Inhalte zu durchsuchen.

14. Nov. 2025

Freie Security Tools

Das aktuelle iX Special gibt auf 150 Seiten eine aktuelle Übersicht freier und kostenloser Security Tools - zur Suche nach Schwachstellen, der Erkennung von Angriffen, der Härtung und Überwachung von Systemen und der forensischen Analyse. Oliver Oettinger und Paul Blenderman haben dazu beigetragen - mit einer Vorstellung von NetExec und PowerHuntShares, einem Hilfsmittel zum Auffinden zu großzügig vergebener Berechtigungen auf File Shares.

20. Okt. 2025

Editorial: Unter Schafen

Vor 17 Jahren hat das Bundesverfassungsgericht (BVerfG) sein Urteil zur "Online-Durchsuchung" verkündet und darin - ähnlich wie 25 Jahre zuvor die "informationelle Selbstbestimmung" - das Grundrecht auf "Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" hergeleitet. Dabei hat es allerdings anerkannt, dass es zur effektiven Gefahrenabwehr erforderlich sein kann, dass staatliche Stellen in IT-Systeme Verdächtiger eindringen. Diese Befugnis wurde jedoch auf Fälle konkreter Gefahr für überragend wichtige Rechtsgüter (Leib und Leben, Freiheit, Grundlagen des Staates) beschränkt - als ultima ratio, wenn mildere Maßnahmen nicht zum Ziel führen.

06. Okt. 2025

Michael Schrempp ist heute zu unserem Beratungsteam dazugestoßen. Mit einem Master in Advanced IT Security (KIT) bringt er aktuelles und fundiertes Informationssicherheitswissen mit. Herzlich willkommen im Secorvo-Team!

03. Sep. 2025

Editorial: Sicherheit Dank KI

Inzwischen wissen wir, dass LLMs Blender sind (SSN 5/2025), wenn auch sprachlich beeindruckende, die selbst bei der Suche nach Sicherheitslücken halluzinieren (SSN 6/2025). Dennoch: Wer ein KI-System richtig befragt und die Antworten kritisch bewertet, erhält wertvolle Ergebnisse. Die Leistung ist besonders faszinierend, wenn die KI einen Text sprachlich überarbeitet. Kein Wunder, gebildet wie LLMs sind: Ein Mensch könnte in seinem ganzen Leben nicht vergleichbar viel lesen - und würde obendrein viel vergessen.

01. Sep. 2025

Wahlen und Abstimmungen - in Vereinen, Organisationen, Gemeinden, Land und Bund - sind organisatorische und manchmal auch logistische Herausforderungen. Was liegt da näher, als sie zu "digitalisieren"?

Beim nächsten KA-IT-Si-Event am 23.10.2025 in der "Church" des CyberForum beleuchtet Frau Professorin Melanie Volkamer (Secuso, KIT) die Sicherheitsanforderungen an Internet-Wahlen und -Abstimmungen, stellt praktische Beispiele vor und diskutiert die Vor- und Nachteile ihres Einsatzes.

15. Aug. 2025

Nach 20 Jahren in der Ettlinger Straße sind wir umgezogen - in nur 500m entfernte wunderschöne, denkmalgeschützte Räumlichkeiten direkt gegenüber dem Karlsruher Hauptbahnhof. Wir freuen uns darauf, Sie hier bei nächster Gelegenheit zu begrüßen!

12. Aug. 2025

Editorial: Informiert und selbstbestimmt

Nicht erst seit der Corona-Krise verstärkt sich der Eindruck, dass der Staat mehr und mehr in Wirtschaft und Leben eingreift. Der Staat agiert wie "Bulldozer-Eltern": Er versucht, Bürgerinnen und Bürger vor allem Möglichen zu bewahren, nimmt ihnen Verantwortung ab und beraubt sie dadurch ihrer Freiheit. So teilte die Berliner Beauftragte für den Datenschutz am 27.06.2025 mit, dass die chinesische KI-App DeepSeek rechtswidrig sei, da sie "umfangreiche personenbezogene Daten der Nutzer" verarbeite. Sie müsse deshalb aus den App-Stores von Apple und Google entfernt werden.

15. Juli 2025

Jetzt hat auch der Seminar- und Eventbereich Verstärkung: Herzlich willkommen, Vera Kuhlmann!

09. Juli 2025

Editorial: Von Genie bis Wahnsinn

KIs versprechen, Sicherheitslücken schneller und gründlicher zu finden als der Mensch. Oft aber liegen sie völlig daneben. Erst kürzlich strapazierte ein offensichtlich KI-generierter Schwachstellenbericht von hackerone die Gelduld von Daniel Stenberg, dem Entwickler von curl. Bereits 2023 hatte er mit unseriösen Berichten über die angebliche Schwachstelle CVE-2020-19909 zu kämpfen; jetzt muss er sich gegen automatisierte Meldungen von KI-halluzinierten Schwachstellen wehren.

30. Juni 2025

Und nochmal wächst unser Beratungsteam: Liza Trace ist dazugestoßen. Herzlich willkommen im Secorvo-Team!

10. Juni 2025

Editorial: Beeindruckende Blender

Die Aufregung war nicht zuletzt unter Datenschützern groß, als im vergangenen August Microsofts Copilot den Journalisten Martin Bernklau unter anderem zum verurteilten Kinderschänder erklärte: Er hatte als Gerichtsreporter regelmäßig über Verurteilungen von Straftätern berichtet und war als Autor des veröffentlichten Beitrags namentlich genannt worden.

04. Juni 2025

Wir freuen uns sehr, dass seit gestern Dr. Alexander Koch, Informatiker mit Schwerpunkt Kryptografie und Informationssicherheit, unser Beratungsteam verstärkt.

Herzlich willkommen!

03. Juni 2025

Netzwerksegmentierung ist ein zentrales Schutzkonzept zur Begrenzung der Auswirkungen von Cyber-Angriffen, und nicht erst seitdem "Zero Trust" durch die Dörfer getrieben wird. Wirksame Segmentierungen haben schon bei vielen Unternehmen die Ausbreitung von Ransomware begrenzen können.

Am 26.06.2025 zeigt Paul Blenderman (Secorvo) auf einer Veranstaltung der KA-IT-Si, was bei der Segmentierung zu beachten ist - technisch und konzeptionell -, um einerseits die Funktion der Dienste und erforderliche Zugriffe nicht einzuschränken und andererseits Angreifern den Weg durchs Netzmit möglichst vielen Barrieren zu versperren.

14. Mai 2025

Editorial: Erpressbar

Drei Jahre ist es her, da erschrak Deutschland anlässlich des russischen Angriffs auf die Ukraine ob der Einsicht, dass rund 55% der Gaslieferungen aus Russland stammten - und 25% der deutschen Gasspeicher dem Energiekonzern Gazprom gehörten: Wir waren erpressbar. Die Verringerung dieser über Jahrzehnte gewachsenen Abhängigkeit gelang - und hat ein Vermögen gekostet. Doch seit über zehn Jahren stürzen wir uns - noch blauäugiger - in eine Abhängigkeit, die weit dramatischere Auswirkungen haben kann: die Nutzung amerikanischer Cloud-Anbieter für zentrale IT-Services.

10. Mai 2025

Kai Jendrian und Oliver Oettinger (Secorvo) tauchen am 02.06.2025 auf dem "Karlsruher Entwicklertag 2025" zusammen mit Dr. Sebastian Frühling (andrena) in die Welt der Software-Sicherheit ein. In einem halbtägigen Workshop erarbeiten sie zusammen mit den Teilnehmern, wie Bedrohungen systematisch bewertet und wie Sicherheitslücken geschlossen werden können. In praktischen Übungen und an realen Beispielen zeigen sie, warum klassische Security-durch-Kontrolle-Ansätze oft scheitern und wie moderne, teambasierte Security-Konzepte funktionieren.

11. Apr. 2025

Editorial: Selbstmord aus Todesangst?

Den Begriff des "Quantencomputers" prägten die Physiker Paul Benioff und Richard Feynman im Jahr 1981. Gut 40 Jahre später gibt es erste Prototypen für Quantenprozessoren. Einige Herausforderungen wie die hohe Fehlerrate sind noch nicht gelöst, aber es ist vorstellbar, dass in einigen Jahrzehnten leistungsfähige Quantencomputer existieren. Sollte das gelingen, droht ein "Krypto-Blackout": Mit einem Schlag wären fast alle im Internet genutzten Verschlüsselungen und Signaturen wirkungslos, denn mit dem Algorithmus von Peter Shor (1994) ließen sich die heute eingesetzten asymmetrischen Kryptoverfahren in kürzester Zeit brechen.

07. Apr. 2025

In der Softwareentwicklung bedient man sich heute zahlreicher Bibliotheken, teilweise aus Open Source Software, teilweise von Zulieferern. Während des Betriebs und der Weiterentwicklung der Software wird es aber immer schwieriger, die große Zahl direkter und indirekter Abhängigkeiten zu überblicken und auf einem aktuellen Stand zu halten.

Am 15.05.2025 zeigt Christian Kühn (dmTECH), wie man automatisiert Transparenz über bekannte Schwachstellen in den verwendeten Bibliotheken sowohl im Entwicklungsteam als auch in der zentralen Sicherheitsorganisation herstellen kann.

05. Apr. 2025

Standardisierungsgremien in den USA und das BSI fordern eine Migration auf quantenresistente Public-Key-Verfahren bis 2033. Das wird in den kommenden Jahren zur Herausforderung - denn viele Protokollstandards sind noch nicht umgestellt oder widersprechen einander beim Umgang mit PQC-Verfahren.

In einem Fachbeitrag in der DuD (Datenschutz und Datensicherheit) 3/2025 geben Hans-Joachim Knobloch (Secorvo) und Noah Freising (Uni Bochum)einen Überblick über den Stand der Entwicklung und absehbare Herausforderungen bei der Migration.

05. März 2025

Editorial: Datenschutz tötet doch!

Der Datenschutz hat sein erstes Todesopfer gefordert - zum Glück kein menschliches, sondern ein technisches: das gute alte Fax. Vor fünf Jahren wurde in Österreich das Gesundheitstelematikgesetz verabschiedet, das das Ende des Faxes im Gesundheitssystem zum 01.01.2025 besiegelte. Die Umsetzung kam, wie könnte es anders sein, für alle Beteiligten völlig überraschend. Daher gelang es auch nicht, sich rechtzeitig auf ein einheitliches sicheres Kommunikationssystem zur Ablösung des Faxes zu einigen.

28. Feb. 2025

Die Entwicklung der Quantencomputer bedroht alle heute eingesetzten kryptografischen Verfahren - und schreitet offenbar schneller voran, als noch vor wenigen Jahren erwartet. Die Migration auf quantenresistente Public-Key-Verfahren wird daher in den kommenden Jahren zur Herausforderung - und zu einem Rennen gegen die Zeit. Es ist zu erwarten, dass die Verfahren über einen längeren Zeitraum wiederholt aktualisiert und angepasst werden müssen.

Am 03.04.2025 gibt Hans-Joachim Knobloch (Secorvo) einen Überblick über den Stand der Entwicklung und Ansätze, Vorgehensweisen und mögliche Probleme bei der Migration.

26. Feb. 2025

Sichere Softwareentwicklung für Einsteiger

In einem praxisorientierten Workshop auf der Heise-Konferenz secIT in Hannover stellen Kai Jendrian und Oliver Oettinger am 18.03.2025 vor, wie man Schwachstellen in Anwendungen erkennen und vermeiden kann. Dabei stehen drei Übungsblöcke im Zentrum: Threat Modeling (Identifikation potentieller Bedrohungen), Web Pentesting (Aufspüren und Schließen von Sicherheitslücken in Webanwendungen) und Secure Software Supply Chain (Absicherung der Software-Lieferkette).

10. Feb. 2025

Editorial: "Bisher noch nie gehackt"

Die elektronische Patientenakte (ePA) ist im Grunde eine gute Sache: weniger Papier, überall verfügbar. Verständlich, dass Bundesgesundheitsminister Karl Lauterbach sie endlich für alle einführen will. Die Akte enthält jedoch äußerst vertrauliche Daten. Ein besonders sicheres Konzept und eine sorgfältige technische Umsetzung sind daher unerlässlich. In seiner Rede im Bundestag zum Gesundheitsdatennutzungsgesetz versicherte Lauterbach, das aktuelle System verwende Technik, die "bisher noch nie gehackt werden" konnte.

16. Jan 2025

Auf der 32. DFN-Konferenz "Sicherheit in vernetzten Systemen" (11.-12.02.2025) in Hamburg werden Hans-Joachim Knobloch und Noah Freising einen aktuellen Blick auf die Entwicklung quantenresistenter PKIs werfen. Der Beitrag findet sich auch im Tagungsband der Konferenz und erschien vorab in Ausgabe 2/2025 des Linux-Magazins.

08. Jan. 2025

Editorial: Gotcha

Einer Kleinen Anfrage im Bundestag und Recherchen von netzpolitik.org ist die Information zu verdanken, dass mit dem Gesichtserkennungssystem des Bundeskriminalamts (BKA) jährlich rund 3.500 Personen identifiziert werden. Referenzbilder von 5 Mio. Menschen seien in der Datenbank des Systems erfasst; Jahr für Jahr kämen rund 10% hinzu. Bemerkenswert ist offenbar die Erkennungsrate des KI-unterstützten BKA-Systems, bei dem eine menschliche "Endkontrolle" inzwischen verzichtbar sei.

19. Dez. 2024

Editorial: Nicht mehr allein

In den 90er Jahren benutzten Kinder noch ganz konventionelle Zahlungsmittel: Kevin McCallister entnahm die Ersparnisse seines Bruders Buzz einem Vorratsglas. In Teil 2 bezahlte Kevin Zimmer und Service im Plaza in New York schon mit der Kreditkarte seines Vaters, nachdem er seine Familie am Flughafen verloren hatte. 2024 sollen Minderjährige nach Auffassung von Google Kinder-Smartwatches wie das Fitbit Ace LTE als Zahlungsmittel verwenden.

17. Dez. 2024

Wer zahlt die Zeche?

Risiken kann man ignorieren, reduzieren - oder transferieren. Mit der Zunahme erfolgreicher Cyberangriffe steigt daher auch die Nachfrage nach Cyberversicherungen. Aber wie das so ist im Leben: Erst im Ernstfall zeigt sich, was eine Vereinbarung wert ist. Denn nicht jeder Vorfall ist automatisch auch ein Versicherungsfall - angesichts der wachsenden Vorfallszahlen und sinkenden Margen im Cyberversicherungsgeschäft wird aus einem Vorfall schnell ein Streitfall. Wie so etwas in der Praxis ablaufen kann und was Versicherungsnehmer schon bei Vertragsabschluss beachten sollten, erläutert anschaulich und spannend an einem realen Beispiel Dr. Christian Förster (Bartsch Rechtsanwälte) in seinem Vortrag am 27.02.2025.

20. Nov. 2024

Editorial: Parkinson Reloaded

Wer seit Jahrzehnten in der IT zu Hause ist, erinnert sich sicherlich noch an die Euphorie, mit der in den 90er Jahren die Digitalisierung herbeigesehnt wurde: endlich einfache, schnelle, bürokratie- und medienbruchfreie, von jedem Ort und zu jeder Zeit nutzbare Dienste. Die Wirklichkeit entpuppt sich zunehmend als das erschreckende Gegenteil.

22. Okt. 2024

IT-Sicherheit hinter den Spiegeln

Nach dem erfolgreichen Event im November 2019 lädt die IT-Sicherheitsregion Karlsruhe (FZI Forschungszentrum Informatik, Karlsruher IT-Sicherheitsinitiative KA-IT-Si und KASTEL Security Research Labs) am 21.11.2024 erneut in das Winter-Wunderland der Karlsruher Palazzo-Halle. Unter anderem demonstrieren Mitarbeiter von aramido in ihrem Vortrag "Voice Cloning - faszinierend oder erschreckend einfach?", wie mit KI-unterstützter Stimmenfälschung Angriffe möglich sind - und wie man sich davor schützen kann. Die Aktivitäten der IT-Sicherheitsregion zeigen die Partner an ausgewählten Exponaten.

10. Okt. 2024

Editorial: Fantastilliarden an Schäden

Der deutsche IT-Branchenverband bitkom hat am 24.08.2024 die Ergebnisse seiner jährlichen Studie "Wirtschaftsschutz 2024" veröffentlicht. Danach verursachte Cyberkriminalität im Vorjahr einen Schaden von 266,6 Milliarden Euro - über sechs Prozent des Bruttoinlandsprodukts 2023, fast das Vierfache des Verteidigungsetats und etwa 70% der Summe, die die Weltbank 2023 für den Wiederaufbau der Ukraine veranschlagt hat.

09. Okt. 2024

Compliance Risk oder Consumer Respect Act?

Der Cyber Resilience Act (CRA) legt Herstellern von Software und auch Open Source Communities strenge Regeln in Bezug auf IT-Sicherheit ihrer Produkte auf. Markus Toran (Secorvo) gibt am 19.11.2024 auf einem Round Table im CyberForum einen Überblick über die Ziele und Inhalte dieses Gesetzes und diskutiert im Anschluss an seinen Impulsvortrag die Herausforderungen bei der Umsetzung.

02. Okt. 2024

Immer mehr Anwendungen verlangen eine Anmeldung. Ohne den Zugriff auf andere Dienste sind sie oft nicht sinnvoll nutzbar. Deshalb ist moderne Authentifizierung mit OAuth-Tokens längst ein wichtiges Thema. Auch im Business-Bereich nutzen Dienste zunehmend die Authentifizierung mit OAuth-Tokens, um einen sicheren Zugriff auf Endpunkte und bestimmte Services bereitzustellen.
Eberhard Ratzel und Moritz Gabriel (dmTECH) haben sich im vergangenen Jahr intensiv mit diesem Thema beschäftigt. In ihrem Vortrag am 17.10.2024 geben sie einen Überblick über ihre Erfahrungen und Erkenntnisse bei der Nutzung von Microsoft Entra ID zur Erstellung von OAuth-Tokens.

09. Sep. 2024

Editorial: Halluzinierte Wirklichkeit

Alter Wein in neuen Schläuchen - danach klingt die aktuelle KI-Euphorie, zumindest in den Ohren derjenigen, die die zahlreichen KI-Wellen der vergangenen 40 Jahre miterlebt haben. Neu ist allerdings die beeindruckende Leistungsfähigkeit heutiger Sprachmodelle. Da vergisst man leicht, dass sie wenig anderes liefern als eine Prognose für das nächste Wort.

28. Aug. 2024

Der Cyber Resilience Act (CRA) legt Herstellern von Software und Open Source Communities strenge Regeln zur IT-Sicherheit ihrer Produkte auf. Auch Open-Source-Software wird von dieser Regulierung betroffen sein. Verstöße können mit bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden. Markus Toran (Secorvo) gibt am 12.09.2024 einen Überblick über die gesetzlichen Regelungen und erläutert, worauf sich Hersteller, Open Source Communities und Verbraucher einstellen. (Hinweis: Der ursprünglich geplante Vortrag von Professorin Volkamer wird nachgeholt.)

05. Aug. 2024

Editorial: Manchmal muss man müssen wollen...

Seit Monaten werden in einschlägigen Medien Drohkulissen aufgebaut, wie sehr die deutschen Unternehmen von neuen Regularien zur Cybersicherheit durch die Umsetzung von NIS-2 geknechtet werden sollen. Man liest sogar, dass Unternehmen bis zum 17.10.2024 schier unerfüllbare Anforderungen umsetzen müssten.

17. Juli 2024

Editorial: Impertinent

Die Vertraulichkeit der Kommunikation ist ein seit Jahrhunderten umstrittenes Grundrecht. Die Möglichkeit vermeintlich geschützte Nachrichten heimlich mitzulesen brachte eine Königin aufs Schafott, die USA in den ersten Weltkrieg und 1943 die Entscheidung im U-Boot-Krieg.

17. Juni 2024

Editorial: Keine Märchen

Märchen leben bekanntermaßen davon, dass sie wiederholt erzählt oder gar aufgeschrieben und im Rahmen mündlicher oder schriftlicher Überlieferung verbreitet werden. Märchen sind gemeinhin frei erfundene Prosatexte, und so verhält es sich auch beim Märchen "Datenschutz kann Leben kosten", das erst wieder am 07.05.2024 von der Süddeutschen Zeitung publiziert wurde.

21. Mai 2024

Cybercrime-Statistiken, überall zitiert und gerne zur Begründung von Maßnahmen und Regulierungen herangezogen, jonglieren mit Schadenssummen in luftigen Höhen: Milliarden, Billionen, Trilliarden... Allein: Oft sind die Quellen ungewiss. Wiebke Reimer und Dr. Boris Hemkemeier (Commerzbank) haben sich auf die Spurensuche begeben: Wo kommen diese Zahlen her? Sind sie fundiert - oder frei erfunden? Worauf kann man sich stützen und was darf man tatsächlich glauben? Wir freuen uns auf die Diskussion mit Ihnen auf dem KA-IT-Si-Event am 20.06.2024 in den Räumen des FZI (House of Living Labs).

18. Mai 2024

Der Cyber Resilience Act (CRA) legt Herstellern von Software und auch Open Source Communities strenge Regeln in Bezug auf die IT-Sicherheit ihrer Produkte auf. In seinem Vortrag auf der diesjährigen "Gulanschprogrammiernacht" (GPN22) des CCC (Entropia Karlsruhe) am 02.06.2024 im ZKM gibt Markus Toran (Secorvo) einen Überblick über die Ziele und Inhalte dieses Gesetzes. Der Schwerpunkt liegt auf den geforderten technischen und administrativen Regelungen und Verpflichtungen. Er erläutert, worauf sich Hersteller, Open Source Communities und Verbraucher einstellen (Foto: Florian Köhler, cheatha.de; CC BY 3.0).

15. Mai 2024

Zum Tag der IT-Sicherheit, einer Kooperationsveranstaltung der KA-IT-Si mit der IHK Karlsruhe, KASTEL und dem CyberForum, laden wir Sie am 18.07.2024 wieder herzlich in den Saal Baden der IHK Karlsruhe ein.

Der Tag der IT-Sicherheit beschäftigt sich in diesem Jahr zum vierzehnten Mal mit aktuellen IT-Sicherheitsherausforderungen für Unternehmen. Es erwarten Sie spannende Fachvorträge zu den Themen Sicherheit und KI bei Microsoft, NIS2 und OT-Sicherheit.

08. Mai 2024

Editorial: Keine Zauberei

Warum gelingen immer mehr Angriffe auf IT-Infrastrukturen von Behörden und Unternehmen? Werden Cyberkriminelle gefährlicher, kompetenter, offensiver? Oder besitzen die IT-Systeme immer mehr Schwachstellen?

Wer die Ursachen erfolgreicher Angriffe analysiert, stellt fest, dass weder das eine noch das andere zutrifft.

30. Apr 2024

Das Recht auf Auskunft über die Verarbeitung persönlicher Daten ist ein Grundrecht. Durch die zunehmende Sensibilität für Datenschutz stellen immer mehr Betroffene Auskunftsanfragen nach Art. 15 DSGVO - und viele Verantwortliche damit vor Herausforderungen. Friederike Schellhas-Mende (Secorvo) stellt in ihrem Vortrag am 16.05.2024 vor, was eine Auskunft nach aktueller Rechtsprechung konkret umfassen muss und wie man sich darauf vorbereiten kann.

17. Apr 2024

Editorial: Voyeure überall

Am 15.03.2024 veröffentlichte Kaspersky den Stalkerware Report 2023. Unter Stalkerware werden kommerzielle Apps verstanden, die eine Überwachung des Smartphones einer anderen Person aus der Ferne ermöglichen. Rund 31.000 Fälle hat Kaspersky im Jahr 2023 allein bei Nutzern von Kaspersky-Lösungen gezählt. Die Gesamtzahl dürfte deutlich höher liegen, zumal Apps wie beispielsweise Ortungsdienste gar nicht unter die Definition von Stalkerware fallen, aber zum Stalking missbraucht werden können.

25. März 2024

Editorial: Schöne neue Welt

Wie wunderbar haben wir uns damals die Zukunft vorgestellt: digitale Dokumente statt ressourcenfressender Papierberge, Online-Erledigungen statt Ämterwarteschlangen und ortsunabhängig verfügbare Warenvielfalt in digitalen Riesenkaufhäusern. Lange sah es so aus, als ob diese Digitalisierungsträume tatsächlich in Erfüllung gehen: Einheitliche Dateiformate (PDF, mp3, jpg) machen Texte, Musik und Bilder universell austauschbar, mobile Endgeräte erlauben ein "Always on" ohne nennenswerte Technik-Kenntnisse und zahlreiche Dienste erleichtern das tägliche Leben - wie Online-Shops, Navigation oder Videokommunikation.

15. März 2024

Die Umsetzung der gesetzlichen Datenschutzanforderungen ist eine große Herausforderung in Unternehmen, die aus vielen, insbesondere internationalen Organisationseinheiten bestehen, wie z. B. Konzerne. Ingo Lorenz (Hansgrohe) und Dirk Fox stellen ein Reifegradmodell vor, das eine strukturierte Vorgehensweise für den Aufbau und Betrieb eines Datenschutzmanagement-Systems über beliebig viele Organisationseinheiten bietet und zugleich eine differenzierte Bestimmung des erreichten Datenschutzniveaus ermöglicht.

04. März 2024

Seit heute verstärkt Markus Toran (M.Sc. mit Schwerpunkt Kryptografie und Informationssicherheit) unser Beratungsteam.

Herzlich willkommen!

29. Feb 2024

Das erstmals 2011 erschienene "T.I.S.P.-Buch" von Secorvo hat sich zum anerkannten Standardwerk der Informationssicherheit und des Datenschutzes entwickelt. Ab dem 07.03.2024 ist die vierte, aktualisierte und auf 32 Kapitel erweiterte, nun 874 Seiten starke Auflage lieferbar. Hinzugekommen sind die Kapitel "Datenschutzkonzept", "Virtualisierung", "Löschkonzept" und "Cloud Security". Das Kapitel zu rechtlichen Aspekten wurde grundlegend überarbeitet und in "Datenschutzrecht" und "Rechtliche Anforderungen an die Informationssicherheit" unterteilt. Alle anderen Themengebiete wurden auf den aktuellen Stand der Technik gebracht.

28. Feb 2024

Im Zentrum des Informationssicherheits-Managements stehen die Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. Kai Jendrian (Secorvo) wird in seinem Vortrag am 11.04.2024 Einblicke in seine Erfahrungen aus 18 Jahren Beratungstätigkeit zur Informationssicherheit geben - mit einem besonderen Augenmerk auf der Bewertung von Risiken und der Abschätzung von Eintrittswahrscheinlichkeiten. Freuen Sie sich auf praxiserprobte Ideen für die Bewältigung der Herausforderungen beim Risikomanagement - und den Erfahrungsaustausch beim "Buffet-Networking".

02. Feb 2024

Editorial: Checks & Balances
Datenschutz ist schon immer ein kontroverses Thema. Zwar hört man die Gleichsetzung der 80er Jahre "Datenschutz = Täter-schutz" und das naiv-plakative "Ich habe nichts zu verbergen" ("Dann geben Sie mir doch bitte Zugriff auf Ihr E-Mail-Konto") nur noch selten. Doch jüngst häufen sich Äußerungen, die ihn als Ver-hinderung jeder modernen Datenverarbeitung schmähen. Eine beunruhigende Entwicklung. Denn angesichts der um sich greifenden Digitalisierung gibt es kein wichtigeres Grundrecht. Darüber wachen in Deutschland mehrere Aufsichtsbehörden.

17. Jan 2024

Auf der 31. DFN-Konferenz "Sicherheit in vernetzten Systemen" (30.-31.01.2024) in Hamburg werden Friederike Schellhas-Mende und Christian Blaicher über das Risiko von Auskunftsersuchen für Verantwortliche in Recht und Praxis vortragen. Die Beiträge finden sich auch im Tagungsband der Konferenz.

12. Jan 2024

Editorial: Lernen durch Schmerzen
Also doch. Bei der Publikation der Untersuchungsergebnisse, wie Microsoft mindestens ein Entra-ID-Signierschlüssel abhanden kommen konnte, sprach das Unternehmen am 06.09.2023 noch von einer Aneinanderreihung unglücklicher, aber verzeihlicher Fehler. Die Ankündigung des stellvertretenden Vorstandsvorsitzenden Brad Smith vom 02.11.2023 klingt da schon ganz anders: Die Cyberangriffe der letzten Monate hätten Microsoft von der Notwendigkeit einer Reaktion überzeugt - der Secure Future Initiative. Es ist die Rede von einer firmenweiten Anstrengung, bei der auch KI zum Einsatz kommen soll. Das vom Marketing zunächst kleingeredete Ereignis hat das Unternehmen intern wohl doch erschüttert.

21. Dez 2023

Editorial iX 1/2024: Böcke und Gärtner
Nicht erst seit Inkrafttreten der DSGVO ist der Datenschutz ein kontroverses Thema. Immerhin: Die dummen Sprüche der 80er-Jahre "Datenschutz ist Täterschutz" und das naiv-plakative "Ich habe nichts zu verbergen" ("Dann geben Sie mir doch bitte Zugriff auf Ihr E-Mail-Konto") hört man zum Glück nur noch selten. Doch immer wieder muss der Datenschutz als Vorwand herhalten, um unbequeme Anfragen abzuwehren. Und in jüngerer Zeit häufen sich Äußerungen, die ihn als Verhinderung jeder modernen, dem 21. Jahrhundert würdigen Datenverarbeitung schmähen.

11. Dez 2023

Seit dem 11.12.2023 verstärkt der Volljurist Robert Eitel (LL.M., VCI) das Datenschutzteam von Secorvo.

Herzlich willkommen!

30. Nov 2023

Unser erstes Event des neuen Jahres am 22.02.2024 startet mit einem ganz besonderen Ereignis: Dr. Rolf Häcker, CISO des Landtags Baden-Württemberg, wird auf magische Weise für die Beschäftigung mit Informationssicherheit motivieren.

Anschließend wird Dr. Swantje Westpfahl (Institute for Security and Safety GmbH) an einem Beispielfall illustieren, wie weit man mit den neuesten Hilfstools kommt, wie beispielsweise ChatGPT, und die Frage beantworten, ob sie wirklich Anleitungen zum Hacken liefern können. Schließlich wird sie veranschaulichen, inwiefern diese Tools umgekehrt zur Absicherung gegen Cyberangriffe verwendet werden können und wo die Grenzen solcher Off-the-Shelf-Tools liegen.

17. Nov 2023

Editorial: Herrschaftswissen
Der Philosoph Max Scheler (1874-1928) definierte in seiner Anthropologie Herrschaftswissen als das Wissen, das der Stabilisierung einer Herrschaft und deren Machtbestrebungen dient. Im Kern ist darunter jeder Wissensvorsprung zu verstehen, der in diesem Sinne vorteilhaft für den Wissenden ist. Jede Herrschaft ist bestrebt, sich mit solchen exklusiven Wissensvorsprüngen zu stabilisieren - je prekärer die Legitimation, je geringer der Rückhalt bei den Beherrschten und je größer die äußere Bedrohung, desto stärker dieses Bestreben.

01. Nov 2023

Datenschutz als Wettbewerbsvorteil und Wettbewerbsnachteil
Auf der jährlichen Konferenz der T.I.S.P.-Absolventen in Berlin, die mit über 500 Teilnehmern stets hervorragend besucht ist, wird Friederike Schellhas-Mende am 07.11.2023 die Wettbewerbsvor- und -nachteile des Datenschutzes diskutieren, dessen Bedeutung in Unternehmen seit der Verabschiedung der DSGVO vor gut fünf Jahren erheblich gestiegen ist.

19. Okt 2023

Je mehr kryptografische Zertifikate als Authentifikationsmechanismus genutzt werden, desto kritischer sind Konfigurations- oder Implementierungsfehler, die es einem Angreifer ermöglichen, gefälschte Zertifikate als "Dietrich" zu benutzen - das hat erst kürzlich der Diebstahl eines "Generalschlüssels" zur Microsoft Cloud gezeigt.

Die wachsende Komplexität der Authentifikationsmechanismen macht solche Fehler immer wahrscheinlicher. Hans-Joachim Knobloch und Oliver Oettinger (Secorvo) demonstrieren am 23.11.2023 aktuelle Angriffe mit solchen "Goldenen Zertifikaten" auf das AD vor und zeigen, wie man sich davor schützen kann.

12. Okt 2023

Editorial: Morgengrauen
Seit dem Inkrafttreten der DatenschutzGrundverordnung hat sich die Spannung zwischen Grundrechtschützern und (nicht allein staatlichen) Kontrollinteressen spürbar verschärft. Während einerseits engagierte Datenschützer wie Max Schrems von vielen klaren EuGH-Entscheidungen zu Gunsten des Persönlichkeitsschutzes Recht bekamen, fielen zugleich immer mehr Lebensbereiche der raumgreifenden digitalen Erfassung unseres Verhaltens zum Opfer.

09. Okt 2023

Microsoft hat sich nun öffentlich zum Generalschlüsselverlust geäußert - Hans-Joachim Knobloch erläutert dazu die Hintergründe und (möglichen) Folgerungen in der aktuellen Ausgabe der iX.

15. Sep 2023

Was hat ein globaler Fast-Food-Gigant wie McDonald's mit Ransomware gemeinsam? Bei genauerem Hinsehen entdeckt man erstaunliche Parallelen im Betrieb und den Geschäftsmodellen. Besonders deutlich werden sie bei Ransomware-as-a-Service (RaaS), einer beunruhigenden Entwicklung in der Cyberkriminalität - ein Franchise-Modell wie das von McDonald's. Es ermöglicht auch technisch weniger versierten Akteuren die Nutzung von leistungsstarken Angriffstools.

Martin Dukek vom Kompetenzzentrum IT-Sicherheit am Forschungszentrum Informatik (FZI) erläutert in seinem Vortrag am 12.10.2023 die Funktionsweise und die Auswirkungen von RaaS und beleuchtet die aufschlussreichen Parallelen zwischen Franchise-Welt und Cyberkriminalität.

12. Sept 2023

Editorial: Wayback Machine
Sie erinnern sich zweifellos: Es war ein Monat weltbewegender Ereignisse. Bundesverteidigungsminister Rudolf Scharping wurde von Gerhard Schröder entlassen, die Bahn eröffnete die Schnelltrasse Frankfurt-Köln und MCI WorldCom geriet in die Insolvenz. Michael Schuhmacher wurde zum fünften Mal (und vorzeitig) Formel-1-Weltmeister, Serena Williams gewann Wimbledon vor ihrer Schwester und die deutsche Fußballnationalmannschaft musste im Finale der Weltmeisterschaft Brasilien den Vortritt lassen.

24. Aug 2023

Das T.I.S.P.-Zertifikat erfreut sich in Deutschland mit bald 2.000 Absolventen wachsender Beliebtheit als berufsqualifizierender Nachweis. In der iX 9/2023 stellt Stefan Gora das jüngst überarbeitete Curriculum des Zertifikats vor, auf das man sich mit dem T.I.S.P.-Buch vorbereiten kann. (Nächster Seminartermin bei Secorvo: 13.-17.11.2023)

24. Aug 2023

Microsoft hat einen Generalschlüssel zur Azure-Cloud verloren - mit dem chinesische Hacker in die Exchange-Server amerikanischer Regierungsbehörden eindrangen. Entdeckt hat das nicht Microsoft, sondern die amerikanische Cybersecurity-Behörde CISA. Mindestens 25 Organisationen waren von dem Angriff betroffen - und viele sind es vielleicht noch: Hans-Joachim Knobloch hat den Vorfall für die iX untersucht und in Ausgabe 9/2023 seine (ernüchternden) Einsichten veröffentlicht.

10. Aug 2023

Editorial: Die Quanten kommen
Im Jahr 1994 schockierte Peter Shor die Krypto-Community mit der Publikation eines Algorithmus', mit dem die Faktorisierung ganzer Zahlen und die Bestimmung diskreter Logarithmen auf einem Quantencomputer mit einen Aufwand von O(log n) möglich ist - also in polynomieller Zeit. Damit erschütterte er die Grundlagen der modernen (asymmetrischen) Kryptographie, kurz: den Kern aller heutigen Schutzmechanismen in vernetzten IT-Systemen.

23. Juli 2023

Die Cybersicherheit von mit dem Internet verbundenen Geräten (IoT) betrifft nicht nur Smart-Home- und Consumer-Elektronik-Produkte, sondern auch Fahrzeuge und Industrieanlagen.

Tamás Horváth von Nexus gibt am 14.09.2023 einen Überblick über IoT-typische Bedrohungen und die entsprechenden Sicherheitsziele. Er zeigt, warum sich eine Public Key Infrastruktur (PKI) für IoT-Lösungen besonders eignet und wie die Provisionierung digitaler Identitäten während der Herstellung und im Betrieb umgesetzt wird.

An einem Praxisbeispiel zeigt die Firma STIHL die Nutzung von PKI-basierten Identitäten in ihren internetfähigen iMow Rasenmäherrobotern. Es wird vorgestellt, wie der Provisionierungsprozess mit Hilfe einer autonomen "Factory Certificate Authority" gelingt.

10. Juli 2023

Editorial: Die IT frisst ihre Kinder
Es war wohl der IBM PC, der vor über 40 Jahren den Siegeszug der Informationstechnik auslöste. Das Versprechen: Computer machen unser Leben leichter. Und tatsächlich: Wer zuvor Schreibmaschine und Stift für die Korrespondenz benutzt hatte, konnte seinen Durchsatz mit Tastatur und E-Mail leicht verzehnfachen.

04. Juli 2023

Seit dem 04.07.2023 verstärkt Paul Blenderman mit mehr als 20 Jahren Erfahrung in der IT-Sicherheit von Produktionsumgebungen das Secorvo-Team.

Herzlich willkommen!

05. Juni 2023

Editorial: Tröpfchen
Ohne Einwilligung, gesetzliche Grundlage oder einen Vertrag ist die Verarbeitung personenbezogener Daten verboten. Das gilt auch für Daten, die nach Vertragsende oder Ablauf einer Aufbewahrungspflicht noch in Systemen schlummern. Diese Daten sind der Kern des (Datenschutz-) Problems.

22. Mai 2023

Zum Tag der IT-Sicherheit, einer Kooperationsveranstaltung der KA-IT-Si mit der IHK Karlsruhe, KASTEL und dem CyberForum, laden wir Sie am 20.07.2023 wieder herzlich in den Saal Baden der IHK Karlsruhe ein.

Der Tag der IT-Sicherheit beschäftigt sich in diesem Jahr zum dreizehnten Mal mit aktuellen IT-Sicherheitsherausforderungen für Unternehmen. Es erwarten Sie spannende Fachvorträge zu den Themen KI, Quantencomputer und Patch-Management.

10. Mai 2023

Unsere Datenschutzexperten Friederike Schellhas-Mende und Christian Blaicher bechäftigen sich in einem Beitrag in der Fachzeitschrift "Datenschutz und Datensicherheit (DuD)" (Springer) mit der immer häufigeren Analyse des Nutzerverhaltens in E-Mail-Newslettern und den dabei zu beachtenden datenschutzrechtlichen Vorgaben.

Datenschutz und Datensicherheit (DuD) 5/2023, S. 269-274.

04. Mai 2023

Editorial: Lernen durch Schmerzen
In jüngster Zeit mussten sich Gerichte vermehrt mit Schadensersatzklagen im Zusammenhang mit Datenschutzverstößen befassen. Immer wieder war dabei die Frage zu beantworten: Reicht es für einen Schmerzensgeldanspruch, dass sich ein Datenschutz-Risiko verwirklicht hat? Und falls ja, welches Schmerzensgeld ist angemessen?

04. Mai 2023

Schwachstellen sind die Kletterhaken der Angreifer - wer Software entwickelt, muss sie meiden wie der Teufel das Weihwasser. Wie man mit Hilfe von Vulnerability Management Systemen Schwachstellen sucht und bewertet, wird das Thema des nächsten KA-IT-Si-Events am 22.06.2023 um 18 Uhr in den wunderbaren Räumen der WIBU-Systems (IT Security Club) sein.

04. Apr 2023

Editorial: Von Bäumen und Wäldern
Es gab eine Zeit in der IT-Sicherheit, da galten einfache, klare Regeln. So erforderte eine gute Authentifikation 'Wissen' und 'Besitz' und wurden Daten, die von außen durch die Firewall gelangten, grundsätzlich als 'potentiell gefährlichen Inhalts' eingestuft.

Das war einmal...

28. März 2023

Wie realistisch ist es für Angreifer, mit frei verfügbaren und öffentlichen Informationen Domain-Administrator auf einem fremden System zu werden?

Auf unserem KA-IT-Si-Event am 04.05.2023 zeigen die Ethical Hacker von aramido anhand von realen Bedrohungen, wie ein Angreifer auf interne Systeme zugreifen und anschließend die gesamte Infrastruktur übernehmen kann, indem er Domain-Admin-Privilegien erlangt.

24. März 2023

Am 01.06.2023 (9-16:30 Uhr) führen die Fachbereiche "Sicherheit" und "Softwaretechnik" zusammen mit der Fachgruppen Ada der Gesellschaft für Informatik und der Förderverein Ada Deutschland e.V. an der Hochschule Karlsruhe einen Workshop zum Zusammenhang zwischen IT-Sicherheit und Künstlicher Intelligenz durch.

Es werden die Chancen und Herausforderungen der KI-Verfahren im realen Einsatz sowohl aus Sicht der industriellen Praxis und der Anwender als auch aus der Sicht der Wissenschaft und Forschung diskutiert.

12. März 2023

Editorial: Leichen im Keller
Jede App, die personenbezogene Daten verarbeitet, muss diese Verarbeitung in einer Datenschutzerklärung erläutern. Nur so ist eine "faire und transparente" Verarbeitung der Daten - wie von der DSGVO gefordert - möglich, da für einen Nutzer beispielsweise nicht offensichtlich ist, ob eine App die Verarbeitung lokal durchführt oder einen Cloud-Dienst in Anspruch nimmt.

01. März 2023

Goldene Zertifikate für Pentester und Admins

Die Sicherheit unserer IT-Infrastrukturen basiert in wachsendem Umfang auf Public Key Infrastrukturen - als der Vertrauenswürdigkeit von Schlüssel-Zertifikaten. Wer Zertifikate fälschen oder sich gar ein "Goldenes Zertifikat" für die Ausstellung gültiger Zertifikate sichern kann, hat die Infrastruktur in seiner Gewalt. Hans-Joachim Knobloch und Oliver Oettinger stellen am 14.03.2023 auf einem Workshop und am 15.03.2023 in einer Keynote auf der SecIT in Hannover vor, wie das geht - und wie man sich davor schützen kann.

10. Feb 2023

Editorial: Datenparadies Irland
Gegen die europäischen Niederlassungen mehrerer Meta-Unternehmen hatte Max Schrems' Initiative noyb wegen Umgehung der Einwilligungspflicht bei personalisierter Werbung sowie mangelnder Transparenz bei verschiedenen europäischen Aufsichtsbehörden mehrere Datenschutz-Beschwerden eingereicht - pünktlich zum Inkrafttreten der DSGVO am 25.05.2018...

21. Jan 2023

Ein weltweit agierendes Kollektiv anarchischer Hacker, getrieben von anarchistischen Freiheitsidealen, hat sich zum Ziel gesetzt, die vorherrschenden Gesellschaftsstrukturen zu destabilisieren und in totales Chaos zu stürzen. Ihr erstes Ziel: die Energiewirtschaft.

Beim Jahreseröffnungsevent der KA-IT-Si am 16.03.2023 berichtet Jan Tomasch, Information Security Awareness Manager der EnBW, in seinem Vortrag "Security Awareness Kampagne mit Gamification", wie die Mitarbeitenden der EnBW als Cyber-Interventionsteam ihre Verteidigungslinie aufbauen, um den Hackern das Handwerk zu legen.

18. Jan 2023

Auf der 30. DFN-Konferenz "Sicherheit in vernetzten Systemen" (08.-10.02.2023) in Hamburg werden Friederike Schellhas-Mende und Christian Blaicher über die rechtskonforme Gestaltung von E-Mail-Tracking und Profiling vortragen, und Hans-Joachim Knobloch wird über den "Kampf gegen Goldene Zertifikate" berichten. Die Beiträge finden sich auch im Tagungsband der Konferenz.

12. Jan 2023

Editorial: Runder Kopf
Der Kopf ist rund, damit das Denken die Richtung wechseln kann. (Francis Picabia)
Verfolgt man, welche Standpunkte in jüngster Zeit zum Thema Datenschutz eingenommen werden, lassen sich nur zwei Positionen finden: Die derjenigen, die jegliche Risiken für die Betroffenen vermeiden, und die derjenigen, die den Datenschutz am liebsten ganz abschaffen möchten...

05. Dez 2022

Editorial: Festgebissen
Was die Animosität ausgelöst hat, wird sich kaum mehr feststellen lassen. Sicher ist: Die deutschen Aufsichtsbehörden haben sich auf Microsoft eingeschossen, wie die aktuelle Entscheidung der Datenschutzkonferenz (DSK) zu MS 365 vom 24.11.2022 belegt.

Wie berechtigt die Kritik auch einmal gewesen sein mag ...

22. Nov 2022

Vor rund einem Jahr sorgte die Schwachstelle log4j für erhebliche Aufregung. Der Auslöser wurde mittlerweile beseitigt, und viele der betroffenen Softwareprodukte von den Herstellern gepatcht. Doch die tiefere Ursache des Problems besteht weiterhin. Denn die Schwachstelle war gar kein Fehler, sondern eine gewünschte Funktionalität, die über viele Jahre in der Bibliothek enthalten war.

Security-by-Design geht anders, wie Johann Grathwohl auf unserem KA-IT-Si-Event am 08.12.2022 zeigen wird.

17. Nov 2022

Editorial: SPoTs
Viele Desaster haben ihren Ursprung in einem "Single Point of Failure" (SPoF) - einem Glied in einer wichtigen Prozesskette, dessen Ausfall nicht kompensiert werden kann und den Prozess zum Stillstand (oder, schlimmer noch, zum Kippen oder Aufschwingen) bringt. So gab es auf der Titanic, als nach der Kollision mit einem Eisberg sechs statt maximal vier geschottete Bereiche voll Wasser liefen, nicht genügend Rettungsboote, um alle Passagiere aufzunehmen. Und in Tschernobyl löste eine Stromabschaltung im Rahmen eines Sicherheitstests die Katastrophe aus.

Besonders bei der Digitalisierung ist ein SpoF schnell übersehen...

01. Nov 2022

Phishing Awareness

Phishing-Angriffe stellen derzeit eine große Gefahr für Untenrehmen dar. Daher "sensibilisieren" viele Unternehmen ihre Mitarbeiter mit simulierten Phishing-Angriffen - und untergraben damit häufig Loyalität und Vertrauen der Mitarbeiter. In seinem Vortrag auf dem T.I.S.P.-Community-Meeting in Berlin am 10.11.2022 zeigt Dirk Fox, dass Phishing Awareness auch ohne ein "Vorführen" von Mitarbeitern gelingt: mittels Gamification in Gestalt eines "Unternehmens-Adventures".

17. Okt 2022

Das Verfolgen des Besucherverhaltens auf Webseiten, vulgo Website Tracking, ist bekannt und wird öffentlich diskutiert. Bei E-Mails haben Tracking und Profiling hingegen bisher keine vergleichbare Aufmerksamkeit erfahren, obwohl beides bei Newslettern und deren Inhalten regelmäßig angewendet wird. Auf dem kommenden KA-IT-Si-Event am 03.11.2022 stellen Milan Burgdorf und Christian Bleicher exemplarisch technische Möglichkeiten und Umsetzungen von E-Mail-Tracking und -Profiling vor und untersuchen die rechtlichen Rahmenbedingungen für deren Verwendung.

10. Okt 2022

Editorial: Androide Gegner
Noch sind sie nicht die Regel, aber vereinzelt dürften sie bereits vorkommen: mit künstlicher Intelligenz optimierte Angreifer. Das wachsende Angebot Cloud-basierter - also schnell und kostengünstig skalierbarer - KI-Systeme bietet immer mehr leistungsfähige Möglichkeiten, Angriffe auf IT-Systeme mit maschinellem Lernen zu verbessern.

Dass Angreifer die Suche nach bekannten Schwachstellen mit Crawlern automatisieren, ist lange bekannt. Auch die mühsame manuelle Suche nach Schwächen in der Eingabe-Validierung von Web-Anwendungen ...

05. Sep 2022

Editorial: Deep Fake
Die technischen Möglichkeiten, Bilder, Videos und Sprache zu verfälschen, sind inzwischen gleichermaßen bekannt wie verbreitet. Mit ihrer Hilfe lassen sich biometrische Authentifikationsverfahren austricksen und "fake news" erzeugen. Doch ist der Aufwand für praktisch nicht nachweisbare Fälschungen noch immer so hoch, dass sie zum Glück bisher isolierte Einzelerscheinungen sind - und bei ihrem Erscheinen schnell Zweifel an der Echtheit laut werden.

Ganz anders ist das bei Verfahren, die derzeit fast unbemerkt Einzug in unsere Lebenswirklichkeit halten: die KI-gesteuerte Erzeugung von Texten...

02. Sep 2022

Wir suchen Sie - als Unterstützung für unser Marketing, Event und Office Management
Im Marketing sind Sie verantwortlich für die Gestaltung, Pflege und Weiterentwicklung unserer Web-Präsenz, Social-Media-Kanäle und für unsere komplette CI. Im Event Management sind Sie verantwortlich für die gesamte Organisation unserer externen und internen Veranstaltungen, insbesondere der Fachseminare und Events der Karlsruher IT-Sicherheitsinitiative. Im Office Management organisieren Sie das Beschaffungswesen, koordinieren unsere Dienstleister und behalten den Zustand unserer Räumlichkeiten im Blick.

Das klingt spannend? Dann auf zu neuen Ufern!

01. Sep 2022

Am 01.09.2022 ist unser Team erneut gewachsen - seitdem ergänzt Oliver Oettinger unsere PKI- und Forensik-Kompetenz.

Herzlich willkommen im Secorvo-Team!

29. Aug 2022

Unser Kryptologe Hans-Joachim Knobloch beschreibt in seinem Artikel "Certifried: Zertifikate als Hintertür ins AD" in der aktuellen iX-Ausgabe 09/2022 (Seite 105) wie ein Angreifer über die Certifried Schwachstelle an Goldene Zertifikate gelangen und so schlimmstenfalls Zugriff auf alle Benutzer­konten erhalten kann.

Trotz Patches von Microsoft, die neue Zertifikatserweiterungen erzeugen, ist die Lücke noch nicht vollständig gestopft.

17. Aug 2022

Editorial: Moderne Abhängigkeiten
Lange schon sind die Produktlebenszyklen bei IT-Produkten - verglichen mit anderen Branchen - recht kurz. Das gilt besonders für Software. Solange die Produkte in Organisationen oder bei Privatpersonen betrieben wurden, erwuchs daraus selten ein Problem: Man nutzte ein Programm so lange, bis ein nicht behebbarer Fehler oder fehlende Features eine Migration erzwangen.

Inzwischen sind immer mehr Organisationen und Menschen von IT-Diensten abhängig, die sie nicht mehr selbst kontrollieren, wie bspw. Cloud-Dienste, Steuersysteme in Fahrzeugen oder auch Lösungen, die bedeutsam für die Gesundheit von Menschen sind.

28. Juli 2022

Wie geht das - Entwicklung und Produktion von Hardware-Security-Modulen in Deutschland? Welche Herausforderungen sind damit verbun­den - und wie werden die von einem der wenigen deutschen Hersteller von IT-Security Hardware gemeistert, der WIBU-SYSTEMS aus Karlsruhe? Das grenzt manchmal schon an Zauberei...

Erfahren Sie bei unserem kommenden KA-IT-Si-Event am 15.09.2022 aus erster Hand, welche Hürden bei der Entwicklung, den Multiplattform-Tests, der Beschaffung und der sicheren Produk­tion von Security Controllern "Made-in-Germany" zu bewältigen sind.

20. Juli 2022

Wir su­chen Sie - für den Bereich Seminar- und Office Management
Im Seminarmanagement sind Sie verantwortlich für die gesamte Organisation des Seminar­be­reichs von der Planung und Gestaltung der Marketingaktivitäten über die Redaktions­be­glei­tung und die Teilnehmerverwaltung bis zur Vor­be­reitung und Durchführung der Fachseminare. Im Office Management organisieren Sie das Beschaffungswesen, koordinieren unsere Dienstleister und behalten den Zustand unserer Räumlichkeiten im Blick.

Das klingt spannend? Dann auf zu neuen Ufern!

06. Juli 2022

Editorial: Wer nicht hören will...

Dieser Grundsatz gilt fast überall, nur nicht für den Datenschutz im öffentlichen Bereich: An­läss­lich des EuGH-Urteils vom 05.06.2018 hatte die Datenschutzkonferenz am 01.04.2019 An­forderungen an den rechtskonformen Betrieb von Facebook-Fanpages aufgestellt. Zuletzt ver­öffentlichten die Datenschutzaufsichtsbehörden hierzu am 18.03.2022 ein Kurzgutachten und forderten im selben Atemzug Ministerien und weitere öffentliche Stellen auf, für daten­schutz­konforme Zustände zu sorgen, sprich: die Nutzung von Facebook-Fanpages einzustellen.

27. Juni 2022

"Was man zur Effektivität braucht, ist eine durch Übung gewonnene Kompetenz." (Peter F. Drucker)

Unser Seminarangebot spiegelt die langjährige Berufserfahrung unserer Referenten wider. Da­her können wir Ihnen qualitativ hochwertige Fachseminare anbieten, um Ihr Know-How zu verbessern, Ihre bestehenden Kenntnisse zu vertiefen oder Ihr Wissen mit einer Zertifizierung sichtbar zu machen. Nutzen Sie jetzt noch den Frühbucherrabatt und melden Sie sich zu einem unserer nächsten Seminare an.

13. Juni 2022

Zum Tag der IT-Sicherheit, einer Kooperations­veranstaltung der KA-IT-Si mit der IHK Karls­ruhe, KASTEL und dem CyberForum, laden wir Sie am 14.07.2022 wieder herzlich in den Saal Baden der IHK Karls­ruhe ein. Der Tag der IT-Sicherheit beschäftigt sich in diesem Jahr zum dreizehnten Mal mit aktuellen IT-Sicher­heits­herausforderungen für Unternehmen. Es erwarten Sie spannende Fachvorträge zu den Themen Digitale Souveränität, Sicherheit und Erklärbarkeit von KI, Quantencomputer und Cybersicherheit sowie sicheres Betriebssystem durch Asset-, Lifecycle- und Patch-Management.

03. Juni 2022

Editorial: Behind the Scenes

Die meisten Internet-Nutzer werden wissen, dass Webseiten, die sie besuchen, ihre Seiten­aufrufe tracken - nicht selten ohne rechts­wirk­same Einwilligung. Weniger Internet-Nutzer werden wissen, dass die auf der Seite ange­zeigte Werbung meist von Dritten eingespielt wird. Doch die wenigsten Internet-Nutzer wissen, dass und wie die Werbung auf sie persönlich zugeschnitten wird.

16. Mai 2022

Unsere Datenschutzexpertin Friederike Schell­has-Mende setzt sich im DuD-Artikel "Video­kon­ferenz­sys­teme als Telekommunikationsdienst" mit den Auswirkungen der datenschutz­recht­lichen Beurteilung von Videokonferenzsystemen nach TKG und TTDSG auseinander. Anfang Dezember 2021 löste das Telekommunikations-Telemedien-DatenschutzGesetz (TTDSG) die datenschutzrechtlichen Vorschriften aus Telekommunikations (TKG) und Tele­medien­ge­setz (TMG) ab. Insbesondere werden dort num­mern-unabhängige interpersonelle Tele­kommu­ni­kationsdienste neu geregelt - mit erheblichen Auswirkungen auf die datenschutzrechtliche Beurteilung von Videokonferenzsystemen.

Datenschutz und Datensicherheit (DuD) 5/2022, S. 291-295.

16. Mai 2022

Die dritte Überarbeitung der ISO 27002 wurde im Februar 2022 veröffentlicht. Im DuD-Artikel "ISO 27002 revisited" stellen unseren beiden Experten Milan Burgdorf und Kai Jendrian die überar­bei­te­te Struktur, die neuen sowie die über­ar­bei­te­ten Maßnahmen und die neuen Maßnahmen­eigen­schaf­ten der Neufassung vor und zeigen die inhaltlichen Ähnlichkeiten zu ihrer Vorgänger­version auf, um Hinweise für die Umstellung auf die aktuelle Norm zu geben.

Datenschutz und Datensicherheit (DuD) 5/2022, S. 301-304.

12. Mai 2022

Editorial: Cyber, Cyber, Cyberagentur

Mit der von der Bundesregierung 2020 gegründeten "Agentur für Innovation in der Cybersicherheit" soll Deutschland "bei der Cybersicherheit im internationalen Vergleich die Führung, zu­mindest eine Spitzenposition übernehmen." Um das zu erreichen, soll sie Forschung und bahnbrechende Innovationen im Bereich der Cyber­sicherheit vorantreiben (Strategie 2022-2025). Bis 2023 stehen ihr dafür zunächst 280 Mio. EUR Steuergeld zur Verfügung. Wem hilft das?

28. Apr 2022

In der aktuellen <kes> 02/2022 erläutert unser Datenschutz-Experte Dr. Volker Hammer in seinem Artikel "Das große Reinemachen - Stan­dar­ds für Löschkonzepte und ihr Nut­zen für die Informationssicherheitwelche" welche Hilfestellung die zwei existierenden Standards zu Löschkonzepten DIN 66398 und ISO/IEC 27555) auch für die Informationssicherheit bieten können, wie die Informationssicherheit übergreifende Löschkonzepte unterstützen kann und welche Synergieeffekte zwischen Informationssicherheit und Datenschutz hierbei entstehen.

25. Apr 2022

Gesucht: Innovationen in der Cybersicherheit

Auch dieses Jahr schreibt die Techno­lo­gie­Region Karlsruhe wieder den Innovationspreis NEO aus. Gesucht werden Innovationen in der Cybersicherheit. Dabei kann es sich u.a. um Organisationskonzepte, Methoden, Prozesse, Technologien oder Produkte und Dienst­leistungen, die der Cybersicherheit dienen und sie nachhaltig verbessern, Sicherheitslücken aufdecken oder im Falle eines Angriffs die Folgeschäden möglichst minimieren, handeln. Jetzt bis zum 19. Mai 2022 bewerben!

19. Apr 2022

Die Geschichte der Smartphones ist kurz. Erst vor 15 Jahren stellte Apple das erste iPhone vor, ein Jahr später kam mit Android, das heute dominierende Smartphone-Betriebssystem auf den Markt. Und genauso alt wie das Smartphone selbst ist die Geschichte der ersten Smartphone Hacks: von den ersten Jailbreaks, über die Celebrity Nudes bis hin zu kommerzieller und staatlicher Spyware.

Anhand von Attack Trees und Live-Hacking-Demonstrationen zeigen Ihnen die Referenten beim KA-IT-Si-Event am 19.05.2022 wie Smartphones angegriffen werden. Dieses Verständnis ist Grundlage für effektive Schutzmaßnahmen.

11. Apr 2022

Editorial: Warnung

Am 15.03.2022 veröffentlichte das BSI eine Warnung vor dem Einsatz von Kaspersky-Virenschutzprodukten - und löste damit in den IT-Abteilungen vieler Unternehmen und Behörden hektische Betriebsamkeit aus. Natürlich stimmt das Argument, dass die hohen lokalen Berechtigungen eines Virenschutzprodukts, das zudem regelmäßig große Datenmengen (Signaturdateien) nachlädt, sich für einen (nachrichtendienstlichen) IT-Angriff geradezu anbieten. Nur: Kein Geheimdienst der Welt, der einen solchen Angriff plant, würde damit wochenlang warten - vor "Cyberattacken" aus Russland hatte das BSI bereits im Feb. Weiterlesen

21. März 2022

Warum wir uns manchmal selbst im Weg stehen

Warum kümmern wir uns meist erst um IT-Sicherheit, wenn etwas passiert ist? Und warum gelingt es häufig nicht, die Notwendigkeit von IT-Sicherheit - und die dafür erforderlichen Verhaltensänderungen - Kollegen und Mitarbeitern zu vermitteln? Die Ursachen dafür sind tief in uns verankert: Die Abläufe und Entscheidungsprozesse des menschlichen Gehirns arbeiten nach Heuristiken, denen systematische Fehler unterlaufen. Wei ein tieferes Verständnis dieser Ursachen hilft, Sicherheitsprobleme durch "Missverständnisse" zwischen den Anforderungen der IT-Sicherheit und den Anwendern zu vermeiden, stellt Dirk Fox am 31.03.2022 auf der SecIT in Hannover vor.

14. März 2022

Wie erpressbar sind deutsche Unternehmen und Institutionen? Wer bei einem gezielten Hacker-Angriff seine gesamten Daten verliert und auf einen Schlag ohne IT-Dienste dasteht, wird geneigt sein, nahezu jeden Preis für die Wieder­herstellung seiner Infrastruktur zu zahlen.

Ein Unternehmen, das genau das nicht getan hat, ist das Familienunternehmen Pilz. Pilz hat sich 2019 trotz eines Totalausfalls der gesamten IT dagegen entschieden, den Kriminellen Lösegeld zu zahlen - und ist durch eine harte Zeit gegangen. Was Pilz aus diesem einschneidenden Erlebnis gelernt hat und anderen Unternehmen und Unternehmern mitgeben möchte, erfahren Sie auf dem KA-IT-Si-Event am 07.04.2022.

04. März 2022

Editorial: Zutatenverzeichnis

Ende des kommenden Jahres feiert die Regelung ihren 40. Geburtstag: Seit dem 26.12.1983 kennt das deutsche Lebensmittelrecht die Pflicht, je­dem Produkt auf der Verpackung eine Zu­ta­ten­liste in absteigender Reihenfolge der Zugabe­menge beizufügen. Dank dieser Transparenz kennen Verbraucher seitdem die Bestandteile ihrer Nahrungsmittel und können somit Un­ver­träglichkeiten vermeiden und die Qualität angebotener Lebensmittel einschätzen.

21. Feb 2022

Mit unserem dreitägigen Seminar "BSI Vorfall-Experte - Aufbauschulung" bereiten wir Sie auf die Zertifizierung zum Vorfall-Experten gemäß dem Curriculum des BSI vor.

Sichern Sie sich Ihren Platz im Seminar vom 17.-19.05.2022.

16. Feb 2022

Sie haben die Jahresauftaktveranstaltung "Willkommen bei den Quanten" am 03.02.2022 verpasst oder möchten sich das Experten­ge­spräch gerne noch einmal ansehen? Dann haben Sie jetzt die Möglichkeit dazu. Wir haben die Aufzeichnung der Veranstaltung auf unserem YouTube-Kanal veröffentlicht.

Im Expertengespräch wird erläutert wie Quan­ten­computing heutige Kryptosysteme gefährdet, wie ernsthaft diese Bedrohung genommen wer­den muss und was das für Hersteller und An­wen­der von kryptografischen Systemen bedeutet.

08. Feb 2022

Wir freuen uns über eine erneute Verstärkung unseres Datenschutz-Teams: Zum 01.02.2022 konnten wir den Volljuristen Christian Blaicher für das Secorvo-Team gewinnen.

Herzlich willkommen!

07. Feb 2022

Wir laden Sie herzlich zu unserem zweiten "Literarischen KA-IT-Si-Kabinett" am 10.03.2022 ein. An diesem Abend werden wir Ihnen weitere Werke der (Welt-)Literatur vorstellen, die sich mit dem Thema Datenschutz oder Daten­sicher­heit beschäftigen und die Sicherheits- und Datenschutz­experten daher gelesen haben "müssen".

Wir freuen uns nicht nur auf Ihre Anmeldung, sondern auch über Ihre persönliche Rück­mel­dung: Welche weiteren Bücher gehören Ihrer Ansicht nach unbedingt auf diese "Liste"? Und: Haben Sie Lust, Ihr eigenes Lieblingsbuch, das Sie im Hinblick auf IT-Sicherheit oder Daten­schutz nachdenklich oder betroffen gemacht hat, kurz in 15 Minuten vorzustellen?

01. Feb 2022

Editorial: Rechtsstaatsprinzip
Vor fünf Jahren hat das BVerfG in seinem Urteil zum NPD-Verbot die Prinzipien der freiheitlich-demokratischen Grund­ordnung präzisiert - die Wesenseigenschaften unserer politischen Ordnung, die uns von einer Diktatur unterscheiden. Darunter: die quot;Rechtsbindung der öffent­lichen Gewalt" nach Art. 20 Abs. 3 GG. Polizei, Verwaltung und Regierung müssen sich an geltende Gesetze halten.

24. Jan 2022

Am 03.02.2022, 18:00 Uhr findet das Jahresstartevent "Willkommen bei den Quanten" der KA-IT-Si statt. Professor Dr. Müller-Quade (KASTEL), Oliver Winzenried (WIBU-SYSTEMS) und Dirk Fox (Secorvo Security Consulting) werden erörtern, wie ernsthaft die Bedrohung durch Quantencomputing ist und gemeinsam mit Ihnen diskutieren.

Die limitierten Präsenzplätze sind bereits ausgebucht, aber Sie können das Expertengespräch per Livestream miterleben.

04. Jan 2022

Um Ihnen unter allen Umständen die Möglichkeit zur Weiterbildung zu geben, entscheiden wir in diesem Jahr flexibel, welche Durchführungsform machbar ist. Sollte eine Durchführung in Präsenz nicht möglich sein, werden wir das Seminar als Online-Seminar für Sie realisieren.

22. Dez 2021

Albert Einstein (1879-1955)

Wir wünschen Ihnen erholsame Feiertage und ein neues Jahr voller Geheimnisse.

20. Dez 2021

Wie funktionieren Quantencomputer? Und warum lässt sich mit ihnen das "Faktorisierungs­problem" lösen? Stellen sie schon eine Be­droh­ung der Sicherheit heutiger Krypto-Tech­no­lo­gie dar? Sind auch symmetrische Verfahren wie der AES gefährdet? Bis wann müssen wir Er­satz­ver­fahren verfügbar haben? Worauf sollten wir schon heute achten?

Beim Jahresstartevent der KA-IT-Si am 03.02.2022 werden Professor Dr. Müller-Quade (KASTEL), Oliver Winzenried (WIBU-SYSTEMS) und Dirk Fox (Secorvo) erörtern, wie ernsthaft die Bedrohung durch Quantencomputing ist und gemeinsam mit Ihnen diskutieren.

13. Dez 2021

Am 03.12.2021 erhielt Milan Burgdorf sein Zertifikat als ISO 27001 Lead Auditor.

Herzlichen Glückwunsch!

Damit verstärkt er das Informations­sicherheits­management-Team von Secorvo mit einer wei­teren "Lizenz zum Prüfen".

10. Dez 2021

Ein wichtiger Bestandteil eines jeden Pene­tra­tionstests ist die Informa­tions­beschaffung. Denn: Um ein System oder ein Unternehmen er­folgreich zu infiltrieren, muss ein Angreifer zu­erst verstehen, welche Schnittstellen ihm zur Verfügung stehen und wie er diese ausnutzen kann.

Unser Pentester Christian Titze beleuchtete am 09.12.2021 auf der Online-Konferenz secIT by Heise: Hacking for Security das Thema "Open Source Intelligence" und ging auf dessen Gren­zen und Einschränkungen aus der Perspektive eines Penetrationstesters ein.

08. Dez 2021

Nach dem schwarzen Gürtel ist vor dem schwarzen Gürtel: Gute sechs Monate hat sich André Domnick auf die 48stündige Prüfung vorbereitet, bei der die Umgehung bestehender Schutzmechanismen das Ziel ist. Und hat sie am 18.11.2021 mit Bravour bestanden. Jetzt darf er sich "Offensive Security Experienced Penetration Tester" (OSEP) nennen - der dritte DAN.

06. Dez 2021

Editorial: Keks-Transparente

Sie nerven. Kaum eine Webseite, die noch ohne Mausklick zu erreichen wäre: Zuerst muss man den "Cookie-Banner" hinter sich bringen. Schlimmer noch: Seltenst kann man das Tracking mit einem einzigen Klick ablehnen - erst auf einer weiteren Seite, oft nach längerem Scrollen und manchmal erst nach mühseligem Deaktivieren der (rechtswidrig) voreingestellten ungewünschten Datenerhebungen. Dabei versuchen Text, Hervorhebung und Farbe der "Knöpfe" den Besucher zu einem vorschnellen "Einverstanden" zu bewegen - "Nudging" heißt dieser neue Wettlauf zwischen Werbestrategen und genervten Seitenbesuchern.

03. Dez 2021

Zum Glück werden IT-Infrastrukturen immer sicherer. Das erschwert aber auch Pene­trationstestern die Arbeit: Bei oberflächlichem Blick sieht meist alles gut aus. Lücken kommen meist erst zu Tage, wenn man tiefer bohrt - und das erfordert aktuelle, vertiefte Kenntnisse über Angriffstechniken und Systemschwachstellen. Wer über sie verfügt hat Chancen, die 24stün­dige Prüfung zum "Offensive Security Certified Professional" (OSCP) zu bestehen - den schwarzen Gürtel für Pentester. Das ist Enes Erdoğan am 29.09.2021 gelungen - er ist damit der vierte "Black Belt" im Secorvo-Team.

24. Nov 2021

Der DuD-Artikel zum Thema "NoPhish-Challenge-Karten" setzt sich mit der Frage auseinander, wie Mitarbeitende zum Thema Erkennen von Phishing-Angriffen angesprochen und sensibilisiert werden können. Dabei werden die an einer Hochschule entwickelten Challenge-Karten vorgestellt und zu den Ergebnissen eines Vor-Ort-Awareness-Tags berichtet. Der Artikel wurde gemeinsam von Lukas Aldag, Benjamin Berens, Andreas Lorenz, Marie-Claire Thiery, Melanie Volkamer und unserem ISMS- und Daten­schutz­experten Milan Burgdorf veröffentlicht.
Datenschutz und Datensicherheit (DuD) 11/2021, S. 721 - 725.

17. Nov 2021

Awareness-Kampagnen erfordern nicht nur eine diferenzierte Zieldefnition, sondern auch eine aus dieser abgeleitete präzise Festlegung der zu vermittelnden Inhalte und die Konzeption eines geeigneten Trainings. Dabei kann der Einsatz moderner Vermittlungsmethoden wie "Gamifi­cation" und "Storytelling" helfen, die Akzeptanz und Attraktivität der Sensibili­sierungsmaß­nah­men deutlich zu erhöhen und so einen großen Teil der Belegschaft für die aktive Mitwirkung zu gewinnen. Dies wird am Beispiel einer Phishing-Awareness-Kampagne vorgestellt.
Datenschutz und Datensicherheit (DuD) 11/2021, S. 727-732.

11. Nov 2021

Editorial: Aufgelöste Verantwortung
Schneller als gedacht sind Cloud-Dienste zum neuen Standard geworden. Doch unsere Vorstellung, dass es dabei im Wesentlichen auf die Wahl eines vertrauenswürdigen Anbieters ankäme, ist zu kurz gesprungen. Denn tatsächlich bestehen viele Cloud-Lösungen selbst wieder aus zahl­reich­en Einzeldiensten, die über die Cloud eingebunden werden: Ticketsystem, E-Mail-Services, Zahlungssystem, Benutzersupport, Shopsystem, Chat, Tele­fonie, Adressdatenbank, Tracking, Videostreaming … - warum sollte ein An­bieter das auch neu implementieren, wenn er es günstig hinzukaufen kann?

10. Nov 2021

Viele Unternehmen führen bereits technische Sicherheitsprüfungen der IT-Infrastruktur im Rahmen von Penetrationstests durch oder planen deren Durchführung. Im Rahmen unser langjährigen Erfahrung hat sich eine standardisierte Vorgehensweise ergeben, die eine wiederholbare und modularisierte Durchführung erlaubt. In unserem überarbeiteten White Paper stellen wir die Vorgehensweise von Secorvo vor und geben konkrete Handreichungen zur erfolgreichen Durchführung von Penetrationstests.

04. Nov 2021

Beim diesjährigen "T.I.S.P. Community Meeting" war unser Pentester Christian Titze mit dem Vortrag "Cloud Security: Konfigurationsprüfung und Audit" vertreten.

Einmal jährlich lädt TeleTrusT zum "T.I.S.P. Community Meeting" ein. Hier treffen sich T.I.S.P.-Absolventen, um aktuelle Entwicklungen in der Informationssicherheit zu diskutieren und sich über ihre persönlichen Praxiserfahrungen auszutauschen.

03. Nov 2021

Am 03.11.2022 überreichte Dr. Frank Mentrup, Oberbürgermeister der Stadt Karlsruhe, dem Geschäftsführer von Secorvo das Bundesverdienstkreuz.

Damit wurde Dirk Fox für sein jahrzehntelanges ehrenamtliches Engagement insbesondere für die politische und technische Bildung junger Menschen ausgezeichnet. Wir freuen uns mit ihm über diese außerordentliche Ehrung!

22. Okt 2021

Die Informationssicherheit ist von einer wachsenden Zahl von Standards, Checklisten und Best Practices geprägt.

Der ISMS- und Datenschutz-Experte Milan Burgdorf wird Ihnen mit dem Vortrag auf dem kommenden KA-IT-Si-Event interessante Gebiete auf der Landkarte der Informations­sicher­heits­standards und -frameworks zeigen. Wir werden uns auf bekanntem Gelände bewegen (ISO 2700x und IT-Grundschutz) aber auch unbekannte Gegenden erkunden. Wir geben Ihnen einen Kompass in die Hand, mit dem Sie sich in diesem undurchsichtigen Territorium zurecht finden und zeigen Ihnen die jeweiligen Vorteile und Mehrwerte auf.

09. Okt 2021

Digitale Medien spielen im Alltag eine immer größere Rolle. Und das immer früher. Bereits viele Grundschulkinder nutzen Smartphone, Tablet und Co. Umso wichtiger ist es, Kinder und Jugendliche für das Thema Datensicherheit zu sensibilisieren. Welche Chiffriertechniken es gibt und wie sie funktionieren, können Schülerinnen und Schüler von Klasse drei bis Klasse neun mit dem interaktiven Online-Adventskalender "Krypto im Advent" spielerisch entdecken.

08. Okt 2021

Die IT Infrastruktur eines Unternehmens lässt sich nur gemeinsam mit den Angestellten adäquat schützen. Oft wird daraus abgeleitet, dass Security Awareness Maßnahmen für Angestellte ausgerollt werden müssen. Um das Security Level im Unternehmen jedoch effektiv und nachhaltig zu steigern, sind weitere Maßnahmen notwendig. Diese Maßnahmen sollten Teil des IT-Sicherheitskonzept sein und idealerweise vor der Einführung der Security Awareness Maßnahmen umgesetzt werden.

Im Rahmen des Vortrags wird diskutiert, welche Maßnahmen dies sind und warum diese eine wichtige Vorbedingung für effektive Security Awareness Maßnahmen sind. Wir freuen uns auf einen kurzweiligen und interessanten Abend mit Ihnen.

05. Okt 2021

Unser Forensik-Experte Jochen Schlichting beschreibt in der aktuellen Ausgabe der <kes> in seinem Artikel "Update zu Grundlagen von Volatility 3 mit punktueller Analyse des "Lone Wolf 2018"-Szenarios" die aktualisierte Generation 3 mit den grundlegende Nutzungsmöglichkeiten des Tools.

Beispielhaft werden sechs Analyseschritte dargelegt, die aufgrund der feststellbaren Artefakte zu einer Schlüsselinformation für den Ermittler in diesem Szenario führt.

04. Okt 2021

Früh für das Thema Datensicherheit zu sensibilisieren ist wichtig. Mit dem interaktiven Online-Adventskalender "Krypto im Advent" lernen Schüler­innen und Schüler auf spielerische Weise Verschlüsselungstechniken kennen und können dabei attraktive Sachpreise gewinnen. Die Päda­go­gische Hochschule Karlsruhe und die Karlsruher IT-Sicherheitsinitiative haben sich für die siebte Auflage des Adventskalenders wieder spannende Kryptografie-Rätsel ausgedacht.

27. Sep 2021

Schon in wenigen Tagen beginnt das letzte Quartal 2021 und wir nähern uns mit großen Schritten dem Jahresendspurt. Haben Sie Ihre gesteckten Ziele erreicht und Ihre gewünschten Weiterbildungen besucht?

Falls nicht, nutzen sie jetzt noch die Möglichkeit und melden Sie sich zu einem unserer Seminare an - noch sind Plätze frei.

17. Sep 2021

Wir freuen uns darauf, unsere KA-IT-Si-Events nun wieder als Präsenzveranstaltungen durchführen und Ihnen unser "Buffet-Networking" zum persönlichen Austausch anbieten zu können. Um die Vorträge auch weiterhin so vielen Interessenten wie in den vergangenen Monaten zugänglich zu machen, werden wir bei unserem kommenden KA-IT-Si-Event am 30.09.2021 auch eine Teilnahme per Livestream ermöglichen.

Für die Teilnehmer vor Ort haben wir zusätzlich eine kleine Überraschung, denn sie haben die Möglichkeit einen Nachbau der Enigma aus dem 3D-Drucker zu bestaunen.

03. Sep 2021

Editorial: Dialektik

Man mag den Marxismus für eine Irrung oder eine mindestens wirt­schaft­lich gescheiterte Ideologie halten. Eines der drei von Engels in etwas freier Um­deu­tung von Hegels Dialektik aufgestellten Grundgesetze ist jedoch zwei­fel­los eine zutreffende Beschreibung eines immer wieder zu beo­bachtenden Phänomens: Des Umschlags von Quantität in Qualität.

20. Aug 2021

Unser Kryptologe Hans-Joachim Knobloch beschreibt in seinem Artikel "Und ewig grüßt das Nilpferd - PetitPotam und weitere Wege, die Kontrolle über das AD zu übernehmen" in der aktuellen iX-Ausgabe 09/2021 (Seite 91) wie ein neuer Angriff auf Windows-Netze es ermöglicht, die Rechte eines Domänenadministrators zu erlangen. Solche NTLM-Relay-Angriffe gibt es schon länger - neu ist allerdings, dass er die Standardkonfiguration vieler Windows-Netze betrifft.

20. Aug 2021

Die sichere Nutzung von Cloud Services ist ein zentraler Baustein der IT-Sicherheit von Unternehmen. Kleine und mittelständische Unternehmen haben jedoch oft nicht die notwendigen Kapazitäten zum Aufbau eigener Expertise. Mit dem Leitfaden des Bundesverbands IT-Sicherheit e.V. möchte die TeleTrusT-Arbeitsgruppe "Cloud Security" einen Überblick und Hilfestellung zum sicheren Betrieb von Cloud Services geben. Der Leitfaden umfasst eine systematische Betrachtung der Risiken bei der Nutzung von Cloud-Diensten, gegliedert nach allgemeinen IT-Risiken, Cloud-spezifischen Risiken und rechtlichen Anforderungen. Hervorgehoben werden auch die Sicherheitsvorteile von Cloud Services.

12. Aug 2021

Die Kryptoanalyse der ENIGMA ist eine der spannendsten Ge­schich­ten in der Kryptografie. Bis in die 70er wurde in der Öffentlichkeit - und nicht nur da - angenommen, dass die Ver­schlüsselungsmaschine ENIGMA nicht knackbar ist. Allerdings war dies ein Irrtum. Die ENIGMA wurde bereits in den 30er Jahren er­folg­reich analysiert und hat während des zweiten Welt­kriegs syste­ma­tisch Nachrichten entschlüsselt.

Auf dem kommenden Event am 30.09.2021 wird Johann Gratwohl die Entwicklung und die his­tor­ischen Hintergründe der Ver­schlüs­selungs­ma­schi­ne ENIGMA vorstellen und ihre Funk­tions­weise erläutern. Anschließend wird er die Krypto­analyse skizzieren und auf Schwach­punkte und Fehler eingehen und daraus wichtige Erkenntnisse für den Entwurfsprozess ableiten.

06. Aug 2021

Editorial: Die Bäume und der Wald
Je tiefer wir in den Schutz der immer komplex­eren Informationstechnik eintauchen, desto eher laufen wir Gefahr das große Bild aus den Augen zu verlieren. Treten wir also einen Schritt zu­rück. Besonders zwei Entwicklungs­linien sind es, die sich gerade deutlich abzeichnen. Die eine: Mit der zuneh­menden Digitalisierung entstehen zahlreiche neue Risiken, die oft erst nach einem Vorfall erkannt werden, so wie Anfang Juli beim Ransomware-Vorfall im Landratsamt Anhalt-Bitterfeld. Der Landrat rief den Katastrophenfall aus: Wochenlang konnten im Landkreis weder Wohngeld noch Sozialhilfe gezahlt, Mitarbeiter­gehälter überwiesen oder Fahrzeuge angemeldet werden.

30. Juli 2021

Wer NDES einsetzt, sollte ein Auge darauf haben, welche Zertifikate darüber bezogen werden können und tatsächlich bezogen werden, damit er nicht den Nachschlüssel zu seinem Active Directory verliert. Und nicht ganz vertrauenswürdige Trusted Root Zertifikate sollte man sich aus diesem Grunde auch nicht unterschieben lassen, zumindest nicht auf Domain Controllern.

Gerade bin ich von einer längeren Reise zurückgekommen. Einer virtuellen Reise in die Weiten der Windows- und AD-Landschaft, die ich als Folge meines vorigen Artikels zu PetitPotam angetreten habe.

28. Juli 2021

Von den meisten Windows Schwachstellen und monatlichen Cumulative Updates sind die Active Directory Certificate Services (a.k.a. Microsoft PKI) allenfalls indirekt betroffen. Das ist bei dem am 18.07.2021 unter dem Namen "PetitPotam" publizierten Angriff nun anders.

PetitPotam ist ein Angriff auf eine eigentlich altbekannte Schwachstelle im NTLM-Au­then­ti­fi­kationsmechanismus von Windows, der einem Angreifer ggf. die Übernahme der kompletten AD Domäne ermöglichen kann.

20. Juli 2021

Ransomware-Angriffe mit Lösegeldforderungen in Millionenhöhe, Befürchtungen gezielter Wahl­beeinflussungen und Berichte über erfolgreiche Angriffe auf die Datenbestände von Online-Diensten dominieren immer häufiger die Berichterstattung. Karlsruhe ist auf diese Entwicklung schon lange vorbereitet - hier entstand nicht nur der erste Lehrstuhl für Kryptographie (am heutigen KIT), sondern praktizieren IT-Unternehmen der Region seit 20 Jahren erfolgreiche Selbsthilfe.

Die vor zwanzig Jahren gegründete KA-IT-Si führte auch in diesem Jahr zusammen mit der IHK Karlsruhe, dem KASTEL und dem Cyber­Forum zum zwölften Mal den Karlsruher Tag der IT-Sicherheit durch.

07. Juli 2021

Am 31.05.2021 hat die Stiftung noyb von Datenschutzaktivist Max Schrems den Cookie-Bannern pressewirksam den Kampf angesagt. Allen Cookie-Bannern? Nein, nur solchen, die genervten Nutzern nicht die richtigen Auswahlmöglichkeiten lassen.

In der Regel werden mindestens die Anforderungen an den Widerspruch für erteilte Einwilligungen gar nicht oder nicht korrekt umgesetzt (Leitlinien des European Data Protection Board). Wer es genau wissen will, kann sich noch zum Vortrag "Cookies, Tracking, Analysen" auf dem kommenden Karlsruher Tag der IT-Sicherheit - 3. Abend am 15.07.2021 anmelden.

05. Juli 2021

Editorial: Erpressbar

Ransomware-Angriffe, bei denen die Daten der Opfer verschlüsselt und erst nach Zahlung eines Lösegelds wieder zur Entschlüsselung freigegeben werden, sind in den vergangenen Monaten zu einem beachtlichen Unternehmensrisiko herangewachsen. So hat nicht nur die Zahl der Angriffe, sondern auch die Höhe der Lösegeldforderungen erheblich zugenommen.

01. Juli 2021

Seit dem 01.07.2021 verstärkt Milan Burgdorf, Diplom-Jurist mit mehrjähriger Berufserfahrung als Informationssicherheitsbeauftragter das Secorvo-Team.

Herzlich willkommen!

09. Juni 2021

Secorvo war auf dem diesjährigen Karlsruher Entwicklertag, der Konferenz für Software Engineering, vom 09. bis 10. Juni 2021 mit zwei Vorträgen vertreten: "Cookies, Tracking, Analysen - Eine Bestandsanalyse des derzeit rechtlich Machbaren zum Einsatz von Cookies und vergleichbaren Technologien" von Friederike Schellhas-Mende sowie "CWE und die Top 25 Most Dangerous Software Errors" von Christian Titze.

04. Juni 2021

Der jährliche "Karlsruher Tag der IT-Sicherheit", eine Kooperations­ver­an­stal­tung der KA-IT-Si mit der IHK Karlsruhe, KASTEL und dem CyberForum e.V., wird in diesem Jahr als virtuelle Veranstaltung stattfinden, verteilt auf drei Abende. Den Einstieg bildet jeweils ein kurzer Blick in die Forschungs- und Gründerszene der Informationssicherheit, gefolgt von einem vertiefen­den Fachvortrag:

01.07.2021 | 08.07.2021 | 15.07.2021

31. Mai 2021

Editorial: Zweck verfehlt
Am vergangenen Samstag erhielt ich im Zusammenhang mit einer Erbschafts­an­gelegen­heit ein Schreiben von einem Finanzinstitut, bei dem ich bisher kein Kunde war. Betreff: "Daten­schutzhinweise". Sie ahnen, was beilag: Fünf eng bedruckte Seiten "zur Kenntnisnahme und für Ihre Unterlagen". Immerhin nur fünf, dachte ich fast erleichtert.

Ähnliche Schreiben wurden seit Inkrafttreten der DSGVO millionenfach versandt. Sie dienen der Erfüllung der Informationspflicht aus Art. 13 DSGVO: Danach müssen Betroffene zu Beginn einer Verarbeitung erfahren, welche personen­bezogenen Daten zu welchen Zwecken ver­ar­beitet werden.

25. Mai 2021

Die ENIGMA zählt zweifellos zu den fas­zi­nie­rends­ten Verschlüsselungs­verfahren in der Ge­schichte der Kryptografie. Berühmt wurde sie nicht nur durch ihre bedeutende Rolle im Zwei­ten Weltkrieg, sondern vor allem auch durch ihre geniale Entschlüsselung unter Mitwirkung des Informatik-Pioniers Alan Turing. Beim ver­gange­nen KA-IT-Si-Event "Enigma zum Selber­drucken" am 20.05.2021 durften Sie bereits einen Blick auf ein funktionierendes Enimga-Modell aus dem 3D-Drucker werfen. Zudem berichtete Herr Prof. Dr. Simon Wiest (Hochschule der Medien) von der bewegten Geschichte des Projekts "ENIGMA R.D.E.", gab Einblicke in die Besonderheiten des Nachbaus und entschlüsselte selbstverständlich auch live Geheimbotschaften mit seiner ENIG­MA. Alle Teilnehmer bekamen von uns kurz vorher wieder Post und konnten sich ihre ganz persönliche Enigma basteln.

21. Mai 2021

Schwachstellen der IT-Infrastruktur sind die verbreitetsten Einfallstore für Angreifer. Daher wird es immer wichtiger, die eigene Infrastruktur regel­mäßig zu überprüfen. Auf unserem neuen Online-Seminar "Live Hacking Lab - Grundlagen Penetrationstest" werfen wir mit Ihnen einen Blick hinter die Kulissen. Sie lernen Sie gängige Methoden zur Identifikation von Schwach­stellen kennen und führen sie an Laborsystemen praktisch durch. Wir zeigen Ihnen, wie über das Internet erreichbare Systeme geprüft werden können und was Sie bei der Konfiguration und dem Betrieb Ihrer Infrastruktur beachten müssen.

Termine: 23.06.2021 | 14.07.2021

06. Mai 2021

Das Pentest-Team um Christian Titze, An­dré Domnick und Enes Erdoğan (Secor­vo Security Consulting) zeigte bei unserem vergangenen KA-IT-Si-Event am 29.04.2021 anhand einer Live-De­mon­stration, wie über das Internet erreich­bare Systeme geprüft werden können und in welche Richtungen sich ein Penetrationstest in nachgelagerten Schritten weiter entwickeln kann. Zu­sätz­lich wurden Grenzen und Be­schrän­kungenkungen von Penetrationstests aufgezeigt, die dabei helfen können, das Mittel "Pene­tra­tions­test" als Si­cherheitsmaßnahme besser zu ver­stehen und zu bewerten. Zusätzlich gab es für unsere knapp 240 Teil­neh­mer eine kleine Überraschungs-Box per Post.

30. April 2021

Editorial: Lesen bildet.

Häufig sind es Schriftsteller, die technische und gesellschaftliche Entwicklungen lange zuvor erahnen und beschrei­ben; manchmal prägen sie damit den gesellschaftlichen Diskurs der Technikfolgen. Kein Wunder, werden doch die theoretischen Möglichkeiten oft erst durch eine realistische Erzählung konkret vorstellbar. Gelingt es einem Autor dabei, in seiner Ge­schich­te - meist einer Dystopie - die zentralen Fragen aufzuwerfen, kann eine solche Erzählung mehr Grundverständnis vermitteln als hundert Vorträge.

27. April 2021

Seit 2017 rekonstruieren Studierende der Hoch­schule der Medien in Stuttgart im Projekt "ENIGMA R.D.E." die be­rühm­teste Chiffrier­maschine der Welt im 3D-Druckverfahren. Bei unserem kommenden KA-IT-Si-Event am 20.05.2021 dürfen Sie einen Blick auf ein funktionierendes Modell werfen: Prof. Wiest wird von der bewegten Geschichte des Projekts be­rich­ten, gibt Einblicke in die Besonderheiten des Nachbaus und entschlüsselt selbstverständlich auch live Geheim­bot­schaften mit seiner ENIGMA.

07. April 2021

Sie wollten schon immer einmal wissen, wie "Hacking" eigentlich funktioniert? Dann tauchen Sie gemeinsam mit uns beim kommenden KA-IT-Si-Event am 29.04.2021 in die Welt des Server-Hackings ab! Lernen Sie, wie Hacker, Sicher­heits­forscher und Penetrationstester Schwach­stellen finden und ausnutzen.

06. April 2021

Editorial: Hoheitsverhältnisse
Allen früheren Unkenrufen zum Trotz geht Deutschland "in die Cloud": Spätestens seit Beginn der Pandemie schmelzen die ur­sprüng­lichen Bedenken deutscher Unternehmen wie Eis in der Sonne. Zugleich werden immer mehr Dienste (nur noch) Cloud-basiert angeboten.

31. März 2021

Angesichts der großen Teilnahme­zahlen bei unseren jüngsten Online-Events werden wir im April erstmals auch eines unserer Seminare online durchführen: Noch gibt es freie Plätze für das Seminar "Public Key Infra­struk­turen - Grundlagen, Vertiefung, Reali­sierung" vom 19. bis 22.04.2021. Das Seminar ist als Wei­ter­bildung zur T.I.S.P.-Rezerti­fizierung anerkannt.
Wir freuen uns auf Ihre Teilnahme!

26. März 2021

Am 25.03.2021 luden wir zu unserem ersten "Literarischen KA-IT-Si-Kabinett" ein - ein toller inspirierender Abend mit knapp 100 Teilneh­mern. Wir haben eine Liste der Werke der (Welt-)­Literatur vorgestellt, die Sicherheits- und Datenschutzexperten gelesen haben "müssen". Falls Sie diese Veranstaltung verpasst haben sollten, können Sie sich hier im Nachgang unsere Liste der 16 "MUST READ BOOKS" herunterladen.

17. März 2021

Am 15.03.2021 wurde "Krypto-im-Advent", das Online-Advents-Rätsel von der Pädagogischen Hochschule und der Karlsruher IT-Sicherheits­initiative vom Stifterverband als eine von 10 Best Practices für die erfolgreiche Ver­mittlung von MINT-Kompetenzen ausgezeichnet.

16. März 2021

Auf der 28. DFN-Konferenz "Sicherheit in vernetzten Systemen" vom 15. bis 18. März 2021 zeigten Dirk Fox und Christian Titze in ihrem Vortrag "Phishing-Awareness durch Gamifi­kation" wie wichtig das Thema Training bei einer Awareness-Kampagne ist und wie man dieses Training in einer "Spiel­umgebung", die frei von Hierarchien und Erwartungshaltungen ist, erfolg­reich umsetzen kann.

08. März 2021

Der Ausfall zahlreicher Abendveranstaltungen hat die Bücherkäufe ansteigen lassen. Da wollen wir Sie nicht alleine lassen und laden Sie ein zum "1. Literarischen Kabinett" am 25.03.2021 um 18 Uhr.

Sie werden zahlreiche Werke der Weltliteratur kennenlernen, die Sicherheits- und Datenschutzexperten gelesen haben müssen. Fünf Bücher werden wir etwas ausführlicher vorstellen - und freuen uns nicht nur auf Ihre Anmeldung, sondern auch über eine persönliche Rückmeldung: Welche Bücher gehören unbedingt auf diese Liste? Und: Haben Sie Lust, Ihr eigenes Lieblingsbuch, das Sie im Hinblick auf IT-Sicherheit oder Datenschutz nachdenklich oder betroffen gemacht hat, kurz vorzustellen? Dann schreiben Sie uns (info@ka-it-si.de).

Weitere Infos

26. Feb 2021

Unser Pentest-Experte Christian Titze gab auf dem virtuellen KA-IT-Si-Stammtisch Einblick, wie Hacker bei der Infor­mations­beschaffung vorgehen und welche Werkzeuge und Hilfsmittel es dabei gibt.

Um ein System oder ein Unternehmen erfolg­reich zu hacken, muss man zu­erst verstehen, welche Schnittstellen zur Ver­fügung stehen und wie man diese ausnutzen kann. Meist sind die Schnittstellen tech­nischer oder menschlicher Natur - unter­stützend hinzu kommen öffentlich einsehbare Webseiten und Dokumente. Eine Inven­tari­sierung der externen Angriffs­ober­fläche im Rahmen eines Penetrations­tests kann helfen, das Unternehmen durch die Augen eines An­grei­fers zu sehen und so die Angriffs­oberfläche zu reduzieren.

04. Feb 2021

Editorial: Die schlechte gute Nachricht
Der 13.05.2019 dürfte in die Annalen des Heise-Verlags eingegangen sein. An diesem Montag schlug "Emotet" im Verlagsnetz ein und bewies, dass auch ein technisch kompetentes und sicherheitsbewusstes Unternehmen zum Opfer werden kann. Anders als die meisten Emotet-Geschädigten ging der Verlag an die Öffentlichkeit und berichtete in schonungsloser Offenheit über den Vorfall, die eigenen Fehler und seine "Lessons learned". Was dabei deutlich wurde: Die Hacker nutzten jeden Fehler und jede noch so kleine Nachlässigkeit, um sich nach ihrem Eindringen im Netz festzusetzen.

19. Feb 2021

Wir bieten Ihnen Prüfungen der internen Infrastruktur auch unkompliziert aus der Ferne an - je nach Wunsch entweder mit einer physischen oder einer virtuellen Appliance.

Weitere Infos

15. Feb 2021

Unser Forensiker Jochen Schlichting beschreibt in der aktuellen Ausgabe der <kes> in seinem Artikel "Plaso-Workshop - Forensische Analyse von Zeitartefakten und Zeitlinien am Beispiel des Lone-Wolf-2018-Szenarios" die Installation sowie grundlegende Nutzungsmöglichkeiten des Tools. Die Klarheit über Zeitabläufe ist in forensischen Analysen besonders wertvoll - das Standardwerkzeug hierfür ist Plaso. <kes> 01/2021, Seite 70-75.

09. Feb 2021

Am 25.02.2021, 18 Uhr möchten wir Ihnen mit unserem ersten virtuellen KA-IT-Si-Stammtisch wieder eine Plattform für den Austausch bieten. Die Teilnahme an der Veranstaltung ist für Sie kostenfrei. Es erwarten Sie verschiedene "virtuelle Thementische" mit kurzen Impuls­vorträgen und spannenden Diskussionen.

Weitere Infos

29. Jan 2021

Editorial: Gretchenfrage
Die nicht unerwartete Außerkraftsetzung des Privacy Shields durch den EuGH hat eine Welle von Vertragsneugestaltungen und viel Unsicherheit ausgelöst. Darf man personenbezogene Daten noch von US-Unternehmen verarbeiten lassen? Und wenn ja: wie?

15. Jan 2021

Über 4.700 Schülerinnen und Schüler sowie ältere Kryptografie-Fans tauchten im Advent 2020 in die Welt der Verschlüsselung ein: Ein erneuter Teilnahmerekord unseres Online-Adventskalenders "Krypto im Advent". Als Beitrag der KA-IT-Si zum Home-Schooling haben wir die 36 Rätsel (und Lösungen) zusammen­gefasst auf unserer Webseite zum Download bereitgestellt.

22. Dez 2020

Editorial: Beweislastumkehr
Am 26.11.2020 hat die Datenschutzkonferenz der deutschen Aufsichtsbehörden (DSK) einen Beschluss zur Datenschutzkonformität von Windows 10 Enterprise gefasst. Das Dokument liest sich - selbst (oder gerade) für einen "in der Wolle gewaschenen" Datenschützer - äußerst befremdlich.

14. Dez 2020

John Anster (1793-1867)

Wir wünschen Ihnen schöne Weihnachten und ein Jahr voller vermisster Selbstverständ­lichkeiten.

01. Dez 2020

Editorial: Unter den Wolken
Luftaufnahmen haftet etwas Magisches an. Vielleicht, weil sie aus einer Perspektive aufgenommen werden, die wir Menschen aus eigener Kraft nicht einnehmen können - es grüßt der ewige Traum vom Fliegen. Diese Faszination ist es wohl auch, die Menschen auf Türme, Berge und zu Ballonfahrten und Fallschirmsprüngen treibt.

23. Nov 2020

Das Jahresende naht mit großen Schrit­ten und Sie sind gedanklich schon bei der Planung 2021? Dann möchten wir Sie einladen einen Blick auf unsere Seminartermine 2021 zu werfen und sich schon jetzt einen Platz zu sichern. Denn Vor­freude ist ja bekanntlich die größte Freude. Alle Termine finden Sie in unserem Seminarkalender

Nächste Seminare:
T.I.S.P. - TeleTrusT Information Security Professional: 22. bis 26.02.2021
*NEU* IT Security Insights - T.I.S.P. Update: 23. bis 25.03.2021

10. Nov 2020

Editorial: Deep Fakes
Seit Jahrzehnten durchzieht eine zentrale Frage die IT-Sicherheit: Wie kann ein IT-System zuverlässig feststellen, ob eine natürliche Person, die sich am System anmeldet, tatsächlich diejenige ist, die sie zu sein behauptet?

30. Okt 2020

Schafft es das Agenten-Team ihr Ge­heimnis vor den Spionen zu schützen? Und was hat es mit der mysteriösen Täuschung im Trainingslager auf sich? Das Agenten-Trio braucht Hilfe und hofft auf den Spürsinn findiger Schülerinnen und Schüler der 3. bis 9. Klasse. Ihre Aufgabe? Beim interaktiven Online-Adventskalender Krypto im Advent spannende Verschlüsselungs-Rätsel lösen und tolle Sachpreise gewinnen. Auch Schulklassen und Profis können miträtseln, letztere allerdings außer Konkurrenz.

23. Okt 2020

Die betriebsärztliche Daten­ver­arbeitung ist teilweise daten­schutz­rechtlich komplizierter als die Daten­verarbeitung durch sonstige Ärzte, u.a. weil Arbeitsrecht und Mitbestimmungs­recht zu beachten sind. Das Netzwerk Daten­schutz­expertise (in diesem Fall Thilo Weichert und Karin Schuler) hat eine Handreichung erstellt, in der sowohl die rechtlichen Grundlagen dargelegt werden, als auch Hilfe­stellung für Praxisfragen gegeben wird.

19. Okt 2020

"Sicherheitsexperte Dirk Fox blickt in eine vielleicht recht nahe Zukunft, in der die Be­trei­ber digitaler Identität genügend Werkzeuge in Händen halten, um uns alle umfassend zu über­wachen. Und dann kämen wie im Film -Minority Report- Algorithmen zum Zuge, die unser Verhalten systematisch dia­gnosti­zieren und daraus Vorhersagen ableiten."

Dirk Fox im Interview mit Thomas Kruchem.

05. Okt 2020

Editorial: Wehret den Anfängen
Ganz gleich ob im Verein, im Unternehmen oder in einer Behörde: Fehler in und mangelnde Aktualität von Namens- und Adresseinträgen verursachen Jahr für Jahr Millionenkosten. Sendungen erreichen ihr Ziel nicht, Personen werden mehrfach in Datenbanken geführt und zusammengehörende Vorgänge werden nicht miteinander verknüpft. Ein teures Ärgernis.

25. Sep 2020

Am 24.09.2020 fand der erste "KA-IT-Si-Stammtisch" in der "Ersten Fracht" statt.

Ingesamt gab es vier verschiedene Thementische:
1) Andreas Sperber, aramido: Penetrationstests - das Was & Wie
2) Dr. Ingmar Baumgart: Vulnerability Disclosure
3) Dirk Fox, Secorvo: Phishing-Awareness
4) Oliver Winzenried, WIBU-Systems:House of IT-Security und die zukünftige IT-Security Coworking Area

11. Sep 2020

Aus einem Pilotprojekt ist in Baden-Württemberg die erste "Cyberwehr" Deutschlands entstanden: Eine kostenlose Hot­line, die rund um die Uhr für kleine und mittel­ständische Unternehmen erreichbar ist, falls diese einen Cyberangriff erleben und erste Hilfe brauchen.

09. Sep 2020

Aufgrund der nach wie vor geltenden Auflagen im Veranstaltungsbereich können wir unser KA-IT-Si-Event im September nicht wie gewohnt statt­finden lassen. Deshalb möchten wir Ihnen mit unserem ersten "KA-IT-Si-Stammtisch" am 24.09.2020, 18:00 Uhr im Biergarten der "Ersten Fracht" eine Plattform für den Austausch bieten.

02. Sep 2020

Editorial: Vermintes Terrain
Bei manchen Gelegenheiten sollte man zurückhaltend sein, Kenntnisse in der IT-Sicherheit oder dem Datenschutz durchblicken zu lassen. Zum Beispiel beim Abendessen mit Freunden. Eine der sich nach einem solchen "Coming Out" geradezu schick­salhaft ergeben­den Fragen, die jeden noch so zauber­haften Abend unwiederbringlich pul­verisieren kann, ist - pars pro toto - dieser hier: "Ist Whats-app eigentlich sicher?"

14. Aug 2020

Wir freuen uns schon darauf, ab Sep­tember mit unseren Präsenz­seminaren wieder durch­zu­starten und laden Sie herzlich nach Karls­ruhe ein. Sichern Sie sich jetzt Ihren Platz und aktua­lisieren bzw. zertifizieren Sie Ihre Kennt­nisse und Kompetenzen in der IT-Sicherheit.

Nächste Seminare:
T.P.S.S.E. - TeleTrusT Professional for Secure Software Engineering: 14. bis 17.09.2020 (Durchführungsgarantie)
T.I.S.P. - TeleTrusT Information Security Professional: 21. bis 25.09.2020 (Durchführungsgarantie)

05. Aug 2020

Editorial: Menschenrecht Anonymität
Menschen urteilen täglich. Vieltausendfach. Über Menschen. Wir müssen das tun, um angemessen auf unser Umfeld zu reagieren. Aber diese Urteile sind nie zutreffend und nur selten gerecht, denn es sind verkürzende, vereinfachende Bewertungen, die wir auf der Grundlage sehr begrenzter Detailkenntnis vornehmen...

27. Juli 2020

Unseren diesjährigen Ausflug verbrachten wir am vergangenen Freitag an der frischen Luft. Mit der Draisine radelten wir auf den stillgelegten Bahngleisen gemütlich durch die schöne Südpfalz. Neben Aufgaben und kniffeligen Rätseln gab es entlang der Strecke auch einige Hindernisse, die wir gemeinsam überwinden mussten.

06. Juli 2020

Editorial: Friendly Fire
Es ist nicht lange her, da galten Phishing-Angriffe als IT-Dilettanten-Test: Wer auf die holprigen, in schlechtem Englisch verfassten Aufforderungen herein fiel und PIN und TAN für sein Konto preisgab, der konnte sich der Schadenfreude seiner Umgebung sicher sein...

01. Juli 2020

Wir freuen uns schon jetzt darauf, unsere KA-IT-Si-Veranstaltungen im zweiten Halbjahr wieder anzubieten. Notieren Sie sich gerne schon einmal die geplanten Termine in Ihrem Kalender: 24.09.2020 | 22.10.2020
12.11.2020 | 10.12.2020
Nähere Informationen zu den Veranstaltungen folgen. www.ka-it-si.de

25. Juni 2020

Haben Sie Spaß an eigen­verantwort­lichem Arbeiten in einem hoch moti­vierten Team? Arbeiten Sie strukturiert auch unter hoher Belastung? Halten Sie Ihr Knowhow aktuell? Haben Sie (Fach-)hochschulreife und eine ein­schlä­gige Ausbildung? Dann auf zu neuen Ufern!

05. Juni 2020

Im Nachgang zum Überblicksbeitrag zu "Prozessen und Open Source-Tools für Incidents-Response und Forensik" schrieb unser Forensiker Jochen Schlichting in der <kes> eine Reihe von Workshop-Beiträgen zum konkreten Einsatz entsprechender Softwarewerkzeuge. In der aktuellen Aus­gabe <kes> 03/2020 stellt er in seinem Artikel Forensische Analysen mit Autopsy (2) - Partielle Untersuchung des "Lone Wolf 2018"- Szenarios (S. 20-27) als zweites Tool der Reihe das grafische Frontend Autopsy vor.

04. Mai 2020

Im April 2020 veröffentlichte das CrypTool-Entwicklerteam Release 2020.1 der Version 2 des bewährten Kryptographie-Lerntools. Es enthält zahlreiche Verbesserungen, Ergänzungen und Korrekturen - darunter auch ein Tutorial für die Differentielle Kryptoanalyse. Die neue Version wird im Dezember bei unserem Adventsrätsel Krypto im Advent zum Einsatz kommen.

17. Apr 2020

Entschleunigung ist eine wichtige Voraus­setzung dafür, dass Menschen sich nicht nur um Dringendes, sondern auch um Wichtiges kümmern. Im Oktober 2019 erschien die dritte, überarbeitete und erweiterte Auflage unseres Handbuchs "Informationssicherheit und Datenschutz", zugleich Begleitbuch zum T.I.S.P.-Seminar, im dpunkt.verlag. Für die Neuauflage suchen wir noch Rezensenten - und können dafür über eine (begrenzte) Anzahl von Freiexemplaren ver­fü­gen. Wir freuen uns auf Ihre Kontaktaufnahme.

01. Apr 2020

Ende März 2020 erschien RaSy/DaSy, das in ISMS ready2go und DSMS ready2go integrierte Tool zur Durchführung von Risikoanalysen und Datenschutzfolgenabschätzungen (DSFA), in Version 1.5. Die darin neu geschaffene Möglichkeit, Nutzer über eine Anbindung an ein LDAP-Directory wie beispielsweise Microsofts Active Directory (AD) hinzuzufügen, vereinfacht die Administration deutlich. Das überarbeitete Design erleichtert zudem den täglichen Umgang mit RaSy/DaSy.

25. Feb 2020

Mit mehr als 3.500 Schülern sowie älteren Kryptografie-Fans erreichte unser Online-Adventskalender "Krypto im Advent" 2019 einen neuen Teilnahmerekord.

Mit neuem Konzept für fortgeschrittene Hilfsagenten (7.-9.Klasse), neuen Ver­schlüsselungs­methoden und spannenden Missionen starteten wir im vergangenen Advent in eine neue, erfolgreiche Rätselrunde mit zahlreichen Gewinnen. Mehr Infos und Rätsel­beispiele unter www.krypto-im-advent.de

14. Feb 2020

Knapp 200 Datenschutz- und IT-Sicherheits­verantwortliche folgten am 13.02.2020 der Einladung zur Jahres-Auftaktveranstaltung der KA-IT-Si in das Casino der VBK Karlsruhe.