News Aktuelles aus dem Secorvo-Universum

Editorial: Androide Gegner
Noch sind sie nicht die Regel, aber vereinzelt dürften sie bereits vorkommen: mit künstlicher Intelligenz optimierte Angreifer.
Das wachsende Angebot Cloud-basierter - also schnell und kos-tengünstig skalierbarer - KI-Systeme bietet immer mehr
leistungsfähige Möglichkeiten, Angriffe auf IT-Systeme mit maschinellem Lernen zu verbessern.
Dass Angreifer die Suche nach bekannten Schwachstellen mit Crawlern automatisieren, ist lange bekannt. Auch die mühsame manuelle Suche nach Schwächen in der Eingabe-Validierung von Web-Anwendungen ...
Weiterlesen
Editorial: SPoTs
Viele Desaster haben ihren Ursprung in einem "Single Point of Failure" (SPoF) - einem Glied in einer wichtigen Prozesskette,
dessen Ausfall nicht kompensiert werden kann und den Prozess zum Stillstand (oder, schlimmer noch, zum Kippen oder Aufschwingen) bringt.
So gab es auf der Titanic, als nach der Kollision mit einem Eisberg sechs statt maximal vier geschottete Bereiche voll Wasser liefen,
nicht genügend Rettungsboote, um alle Passagiere aufzunehmen. Und in Tschernobyl löste eine Stromabschaltung im Rahmen eines
Sicherheitstests die Katastrophe aus.
Besonders bei der Digitalisierung ist ein SpoF schnell übersehen...
Weiterlesen
Schreibtisch frei!
Wir suchen Sie - als Unterstützung für unser Marketing, Event und Office Management
Im Marketing sind Sie verantwortlich für die Gestaltung, Pflege und Weiterentwicklung unserer Web-Präsenz, Social-Media-Kanäle und
für unsere komplette CI. Im Event Management sind Sie verantwortlich für die gesamte Organisation unserer externen und internen Veranstaltungen,
insbesondere der Fachseminare und Events der Karlsruher IT-Sicherheitsinitiative. Im Office Management organisieren Sie das Beschaffungswesen,
koordinieren unsere Dienstleister und behalten den Zustand unserer Räumlichkeiten im Blick.
Das klingt spannend? Dann auf zu neuen Ufern!
Weitere Infos
Editorial: Deep Fake
Die technischen Möglichkeiten, Bilder, Videos und Sprache zu verfälschen, sind inzwischen gleichermaßen bekannt
wie verbreitet. Mit ihrer Hilfe lassen sich biometrische Authentifikationsverfahren austricksen und "fake news" erzeugen.
Doch ist der Aufwand für praktisch nicht nachweisbare Fälschungen noch immer so hoch, dass sie zum Glück bisher
isolierte Einzelerscheinungen sind - und bei ihrem Erscheinen schnell Zweifel an der Echtheit laut werden.
Ganz anders ist das bei Verfahren, die derzeit fast unbemerkt Einzug in unsere Lebenswirklichkeit halten: die KI-gesteuerte Erzeugung von Texten...
Weiterlesen
Hokus Pokus Fidibus
KA-IT-Si | von Jessica Schwarz
Wie geht das - Entwicklung und Produktion von Hardware-Security-Modulen in Deutschland? Welche Herausforderungen sind damit verbunden - und wie werden die von einem der wenigen deutschen Hersteller von IT-Security Hardware gemeistert, der WIBU-SYSTEMS aus Karlsruhe? Das grenzt manchmal schon an Zauberei...
Erfahren Sie bei unserem kommenden KA-IT-Si-Event am 15.09.2022 aus erster Hand, welche Hürden bei der Entwicklung, den Multiplattform-Tests, der Beschaffung und der sicheren Produktion von Security Controllern "Made-in-Germany" zu bewältigen sind.
Weitere Infos
SSN 07/2022
SSN | von Kai Jendrian
Editorial: Moderne Abhängigkeiten
Lange schon sind die Produktlebenszyklen bei IT-Produkten - verglichen mit anderen Branchen - recht kurz.
Das gilt besonders für Software. Solange die Produkte in Organisationen oder bei Privatpersonen
betrieben wurden, erwuchs daraus selten ein Problem: Man nutzte ein Programm so lange, bis ein nicht
behebbarer Fehler oder fehlende Features eine Migration erzwangen.
Inzwischen sind immer mehr Organisationen und Menschen von IT-Diensten abhängig, die sie nicht mehr selbst kontrollieren, wie bspw. Cloud-Dienste, Steuersysteme in Fahrzeugen oder auch Lösungen, die bedeutsam für die Gesundheit von Menschen sind.
Weiterlesen
Certifried: Zertifikate als Hintertür ins AD
Unser Kryptologe Hans-Joachim Knobloch beschreibt in seinem Artikel "Certifried: Zertifikate als Hintertür ins AD" in der aktuellen iX-Ausgabe 09/2022 (Seite 105) wie ein Angreifer über die Certifried Schwachstelle an Goldene Zertifikate gelangen und so schlimmstenfalls Zugriff auf alle Benutzerkonten erhalten kann.
Trotz Patches von Microsoft, die neue Zertifikatserweiterungen erzeugen, ist die Lücke noch nicht vollständig gestopft.
iX Artikel bei heise lesen
Wissensdurstig?
Seminare | von Joanna Hörandel
"Was man zur Effektivität braucht, ist eine durch Übung gewonnene Kompetenz." (Peter F. Drucker)
Unser Seminarangebot spiegelt die langjährige Berufserfahrung unserer Referenten wider. Daher können wir Ihnen qualitativ hochwertige Fachseminare anbieten, um Ihr Know-How zu verbessern, Ihre bestehenden Kenntnisse zu vertiefen oder Ihr Wissen mit einer Zertifizierung sichtbar zu machen. Nutzen Sie jetzt noch den Frühbucherrabatt und melden Sie sich zu einem unserer nächsten Seminare an.
Zur Seminarübersicht
SSN 06/2022
Editorial: Wer nicht hören will...
Dieser Grundsatz gilt fast überall, nur nicht für den Datenschutz im öffentlichen Bereich: Anlässlich des EuGH-Urteils vom 05.06.2018 hatte die Datenschutzkonferenz am 01.04.2019 Anforderungen an den rechtskonformen Betrieb von Facebook-Fanpages aufgestellt. Zuletzt veröffentlichten die Datenschutzaufsichtsbehörden hierzu am 18.03.2022 ein Kurzgutachten und forderten im selben Atemzug Ministerien und weitere öffentliche Stellen auf, für datenschutzkonforme Zustände zu sorgen, sprich: die Nutzung von Facebook-Fanpages einzustellen.
Weiterlesen
Schreibtisch frei!
Wir suchen Sie - für den Bereich Seminar- und Office Management
Im Seminarmanagement sind Sie verantwortlich für die gesamte Organisation des Seminarbereichs von der Planung und Gestaltung
der Marketingaktivitäten über die Redaktionsbegleitung und die Teilnehmerverwaltung bis zur Vorbereitung und Durchführung
der Fachseminare. Im Office Management organisieren Sie das Beschaffungswesen, koordinieren unsere Dienstleister und behalten den
Zustand unserer Räumlichkeiten im Blick.
Das klingt spannend? Dann auf zu neuen Ufern!
Weitere Infos
Videokonferenzsysteme als Telekommunikationsdienst
Unsere Datenschutzexpertin Friederike Schellhas-Mende setzt sich im DuD-Artikel "Videokonferenzsysteme als Telekommunikationsdienst" mit den Auswirkungen der datenschutzrechtlichen Beurteilung von Videokonferenzsystemen nach TKG und TTDSG auseinander. Anfang Dezember 2021 löste das Telekommunikations-Telemedien-DatenschutzGesetz (TTDSG) die datenschutzrechtlichen Vorschriften aus Telekommunikations (TKG) und Telemediengesetz (TMG) ab. Insbesondere werden dort nummern-unabhängige interpersonelle Telekommunikationsdienste neu geregelt - mit erheblichen Auswirkungen auf die datenschutzrechtliche Beurteilung von Videokonferenzsystemen.
Datenschutz und Datensicherheit (DuD) 5/2022, S. 291-295.
DuD-Artikel lesen
Editorial: Behind the Scenes
Die meisten Internet-Nutzer werden wissen, dass Webseiten, die sie besuchen, ihre Seitenaufrufe tracken - nicht selten ohne rechtswirksame Einwilligung. Weniger Internet-Nutzer werden wissen, dass die auf der Seite angezeigte Werbung meist von Dritten eingespielt wird. Doch die wenigsten Internet-Nutzer wissen, dass und wie die Werbung auf sie persönlich zugeschnitten wird.
Weiterlesen
Karlsruher Tag der IT-Sicherheit
KA-IT-Si | von Jessica Schwarz
Zum Tag der IT-Sicherheit, einer Kooperationsveranstaltung der KA-IT-Si mit der IHK Karlsruhe, KASTEL und dem CyberForum, laden wir Sie am 14.07.2022 wieder herzlich in den Saal Baden der IHK Karlsruhe ein. Der Tag der IT-Sicherheit beschäftigt sich in diesem Jahr zum dreizehnten Mal mit aktuellen IT-Sicherheitsherausforderungen für Unternehmen. Es erwarten Sie spannende Fachvorträge zu den Themen Digitale Souveränität, Sicherheit und Erklärbarkeit von KI, Quantencomputer und Cybersicherheit sowie sicheres Betriebssystem durch Asset-, Lifecycle- und Patch-Management.
Weitere Infos
Das große Reinemachen
Fachartikel | von Dr. Volker Hammer
In der aktuellen <kes> 02/2022 erläutert unser Datenschutz-Experte Dr. Volker Hammer in seinem Artikel "Das große Reinemachen - Standards für Löschkonzepte und ihr Nutzen für die Informationssicherheitwelche" welche Hilfestellung die zwei existierenden Standards zu Löschkonzepten DIN 66398 und ISO/IEC 27555) auch für die Informationssicherheit bieten können, wie die Informationssicherheit übergreifende Löschkonzepte unterstützen kann und welche Synergieeffekte zwischen Informationssicherheit und Datenschutz hierbei entstehen.

Editorial: Cyber, Cyber, Cyberagentur
Mit der von der Bundesregierung 2020 gegründeten "Agentur für Innovation in der Cybersicherheit" soll Deutschland "bei der Cybersicherheit im internationalen Vergleich die Führung, zumindest eine Spitzenposition übernehmen." Um das zu erreichen, soll sie Forschung und bahnbrechende Innovationen im Bereich der Cybersicherheit vorantreiben (Strategie 2022-2025).Bis 2023 stehen ihr dafür zunächst 280 Mio. EUR Steuergeld zur Verfügung. Wem hilft das?
Weiterlesen
ISO 27002 revisited
Die dritte Überarbeitung der ISO 27002 wurde im Februar 2022 veröffentlicht. Im DuD-Artikel "ISO 27002 revisited" stellen unseren beiden Experten Milan Burgdorf und Kai Jendrian die überarbeitete Struktur, die neuen sowie die überarbeiteten Maßnahmen und die neuen Maßnahmeneigenschaften der Neufassung vor und zeigen die inhaltlichen Ähnlichkeiten zu ihrer Vorgängerversion auf, um Hinweise für die Umstellung auf die aktuelle Norm zu geben.
Datenschutz und Datensicherheit (DuD) 5/2022, S. 301-304.
DuD-Artikel lesen
Editorial: Warnung
Am 15.03.2022 veröffentlichte das BSI eine Warnung vor dem Einsatz von Kaspersky-Virenschutzprodukten - und löste damit in den IT-Abteilungen
vieler Unternehmen und Behörden hektische Betriebsamkeit aus. Natürlich stimmt das Argument, dass die hohen lokalen Berechtigungen eines Virenschutzprodukts, das zudem regelmäßig große Datenmengen
(Signaturdateien) nachlädt, sich für einen (nachrichtendienstlichen) IT-Angriff geradezu anbieten. Nur: Kein Geheimdienst der Welt, der einen solchen
Angriff plant, würde damit wochenlang warten - vor "Cyberattacken" aus Russland hatte das BSI bereits im Feb.

Wer besitzt mein Smartphone?
KA-IT-Si | von Jessica Schwarz
Die Geschichte der Smartphones ist kurz. Erst vor 15 Jahren stellte Apple das erste iPhone vor, ein Jahr später kam mit Android, das heute dominierende Smartphone-Betriebssystem auf den Markt. Und genauso alt wie das Smartphone selbst ist die Geschichte der ersten Smartphone Hacks: von den ersten Jailbreaks, über die Celebrity Nudes bis hin zu kommerzieller und staatlicher Spyware.
Anhand von Attack Trees und Live-Hacking-Demonstrationen zeigen Ihnen die Referenten beim KA-IT-Si-Event am 19.05.2022 wie Smartphones angegriffen werden. Dieses Verständnis ist Grundlage für effektive Schutzmaßnahmen.
Weitere Infos
NEO2022 - Der Innovationspreis der TechnologieRegion Karlsruhe
KA-IT-Si | von Jessica Schwarz
Gesucht: Innovationen in der Cybersicherheit
Auch dieses Jahr schreibt die TechnologieRegion Karlsruhe wieder den Innovationspreis NEO aus. Gesucht werden Innovationen in der Cybersicherheit. Dabei kann es sich u.a. um Organisationskonzepte, Methoden, Prozesse, Technologien oder Produkte und Dienstleistungen, die der Cybersicherheit dienen und sie nachhaltig verbessern, Sicherheitslücken aufdecken oder im Falle eines Angriffs die Folgeschäden möglichst minimieren, handeln. Jetzt bis zum 19. Mai 2022 bewerben!
Weitere Infos
Neu im Seminar-Programm:
BSI Vorfall-Experte
Seminare | von Joanna Hörandel
Mit unserem dreitägigen Seminar "BSI Vorfall-Experte - Aufbauschulung" bereiten wir Sie auf die Zertifizierung zum Vorfall-Experten gemäß dem Curriculum des BSI vor.
Sichern Sie sich Ihren Platz im Seminar vom 17.-19.05.2022.
Weitere Infos
Editorial: Zutatenverzeichnis
Ende des kommenden Jahres feiert die Regelung ihren 40. Geburtstag: Seit dem 26.12.1983 kennt das deutsche Lebensmittelrecht die Pflicht, jedem Produkt auf der Verpackung eine Zutatenliste in absteigender Reihenfolge der Zugabemenge beizufügen. Dank dieser Transparenz kennen Verbraucher seitdem die Bestandteile ihrer Nahrungsmittel und können somit Unverträglichkeiten vermeiden und die Qualität angebotener Lebensmittel einschätzen.
Weiterlesen
Geld oder Leben
KA-IT-Si | von Jessica Schwarz
Wie erpressbar sind deutsche Unternehmen und Institutionen? Wer bei einem gezielten Hacker-Angriff seine gesamten Daten verliert und auf einen Schlag ohne IT-Dienste dasteht, wird geneigt sein, nahezu jeden Preis für die Wiederherstellung seiner Infrastruktur zu zahlen.
Ein Unternehmen, das genau das nicht getan hat, ist das Familienunternehmen Pilz. Pilz hat sich 2019 trotz eines Totalausfalls der gesamten IT dagegen entschieden, den Kriminellen Lösegeld zu zahlen - und ist durch eine harte Zeit gegangen. Was Pilz aus diesem einschneidenden Erlebnis gelernt hat und anderen Unternehmen und Unternehmern mitgeben möchte, erfahren Sie auf dem KA-IT-Si-Event am 07.04.2022.
Weitere Infos
Lesen bildet II
KA-IT-Si | von Jessica Schwarz
Wir laden Sie herzlich zu unserem zweiten "Literarischen KA-IT-Si-Kabinett" am 10.03.2022 ein. An diesem Abend werden wir Ihnen weitere Werke der (Welt-)Literatur vorstellen, die sich mit dem Thema Datenschutz oder Datensicherheit beschäftigen und die Sicherheits- und Datenschutzexperten daher gelesen haben "müssen".
Wir freuen uns nicht nur auf Ihre Anmeldung, sondern auch über Ihre persönliche Rückmeldung: Welche weiteren Bücher gehören Ihrer Ansicht nach unbedingt auf diese "Liste"? Und: Haben Sie Lust, Ihr eigenes Lieblingsbuch, das Sie im Hinblick auf IT-Sicherheit oder Datenschutz nachdenklich oder betroffen gemacht hat, kurz in 15 Minuten vorzustellen?
Weitere Infos
Expertengespräch verpasst?
KA-IT-Si | von Jessica Schwarz
Sie haben die Jahresauftaktveranstaltung "Willkommen bei den Quanten" am 03.02.2022 verpasst oder möchten sich das Expertengespräch gerne noch einmal ansehen? Dann haben Sie jetzt die Möglichkeit dazu. Wir haben die Aufzeichnung der Veranstaltung auf unserem YouTube-Kanal veröffentlicht.
Im Expertengespräch wird erläutert wie Quantencomputing heutige Kryptosysteme gefährdet, wie ernsthaft diese Bedrohung genommen werden muss und was das für Hersteller und Anwender von kryptografischen Systemen bedeutet.

Stur bei unseren Zielen, flexibel beim Weg
Seminare | von Joanna Hörandel
Um Ihnen unter allen Umständen die Möglichkeit zur Weiterbildung zu geben, entscheiden wir in diesem Jahr flexibel, welche Durchführungsform machbar ist. Sollte eine Durchführung in Präsenz nicht möglich sein, werden wir das Seminar als Online-Seminar für Sie realisieren.
Seminar-Kompass
Jahresstartevent "Willkommen bei den Quanten"
KA-IT-Si | von Jessica Schwarz
Am 03.02.2022, 18:00 Uhr findet das Jahresstartevent "Willkommen bei den Quanten" der KA-IT-Si statt. Professor Dr. Müller-Quade (KASTEL), Oliver Winzenried (WIBU-SYSTEMS) und Dirk Fox (Secorvo Security Consulting) werden erörtern, wie ernsthaft die Bedrohung durch Quantencomputing ist und gemeinsam mit Ihnen diskutieren.
Die limitierten Präsenzplätze sind bereits ausgebucht, aber Sie können das Expertengespräch per Livestream miterleben.
Weitere Infos
Editorial: Rechtsstaatsprinzip
Vor fünf Jahren hat das BVerfG in seinem Urteil zum NPD-Verbot die Prinzipien der freiheitlich-demokratischen Grundordnung
präzisiert - die Wesenseigenschaften unserer politischen Ordnung, die uns von einer Diktatur unterscheiden. Darunter: die
quot;Rechtsbindung der öffentlichen Gewalt" nach Art. 20 Abs. 3 GG. Polizei, Verwaltung und Regierung müssen sich an geltende
Gesetze halten.

Am 03.12.2021 erhielt Milan Burgdorf sein Zertifikat als ISO 27001 Lead Auditor.
Herzlichen Glückwunsch!
Damit verstärkt er das Informationssicherheitsmanagement-Team von Secorvo mit einer weiteren
"Lizenz zum Prüfen".

Willkommen bei den Quanten
KA-IT-Si | von Jessica Schwarz
Wie funktionieren Quantencomputer? Und warum lässt sich mit ihnen das "Faktorisierungsproblem" lösen? Stellen sie schon eine Bedrohung der Sicherheit heutiger Krypto-Technologie dar? Sind auch symmetrische Verfahren wie der AES gefährdet? Bis wann müssen wir Ersatzverfahren verfügbar haben? Worauf sollten wir schon heute achten?
Beim Jahresstartevent der KA-IT-Si am 03.02.2022 werden Professor Dr. Müller-Quade (KASTEL), Oliver Winzenried (WIBU-SYSTEMS) und Dirk Fox (Secorvo) erörtern, wie ernsthaft die Bedrohung durch Quantencomputing ist und gemeinsam mit Ihnen diskutieren.
Weitere Infos
Das Schönste, was wir erleben können, ist das Geheimnisvolle.
Albert Einstein (1879-1955)
Wir wünschen Ihnen erholsame Feiertage und ein neues Jahr voller Geheimnisse.
Weihnachtskarte 2021
Editorial: Keks-Transparente
Sie nerven. Kaum eine Webseite, die noch ohne Mausklick zu erreichen wäre: Zuerst muss man den "Cookie-Banner" hinter sich bringen. Schlimmer noch: Seltenst kann man das Tracking mit einem einzigen Klick ablehnen - erst auf einer weiteren Seite, oft nach längerem Scrollen und manchmal erst nach mühseligem Deaktivieren der (rechtswidrig) voreingestellten ungewünschten Datenerhebungen. Dabei versuchen Text, Hervorhebung und Farbe der "Knöpfe" den Besucher zu einem vorschnellen "Einverstanden" zu bewegen - "Nudging" heißt dieser neue Wettlauf zwischen Werbestrategen und genervten Seitenbesuchern.
Weiterlesen
Nach dem schwarzen Gürtel ist vor dem schwarzen Gürtel: Gute sechs Monate hat sich André Domnick auf die 48stündige Prüfung vorbereitet, bei der die Umgehung bestehender Schutzmechanismen das Ziel ist. Und hat sie am 18.11.2021 mit Bravour bestanden. Jetzt darf er sich "Offensive Security Experienced Penetration Tester" (OSEP) nennen - der dritte DAN.

Open Source Intelligence
Vorträge | von Christian Titze
Ein wichtiger Bestandteil eines jeden Penetrationstests ist die Informationsbeschaffung. Denn: Um ein System oder ein Unternehmen erfolgreich zu infiltrieren, muss ein Angreifer zuerst verstehen, welche Schnittstellen ihm zur Verfügung stehen und wie er diese ausnutzen kann.
Unser Pentester Christian Titze beleuchtete am 09.12.2021 auf der Online-Konferenz secIT by Heise: Hacking for Security das Thema "Open Source Intelligence" und ging auf dessen Grenzen und Einschränkungen aus der Perspektive eines Penetrationstesters ein.

Phishing Awareness durch Gamification
Awareness-Kampagnen erfordern nicht nur eine diferenzierte Zieldefnition, sondern auch eine aus dieser abgeleitete präzise Festlegung der zu vermittelnden
Inhalte und die Konzeption eines geeigneten Trainings. Dabei kann der Einsatz moderner Vermittlungsmethoden wie "Gamification" und "Storytelling" helfen, die
Akzeptanz und Attraktivität der Sensibilisierungsmaßnahmen deutlich zu erhöhen und so einen großen Teil der Belegschaft für die aktive Mitwirkung zu gewinnen.
Dies wird am Beispiel einer Phishing-Awareness-Kampagne vorgestellt.
Datenschutz und Datensicherheit (DuD) 11/2021, S. 727-732.

Awareness mit NoPhish-Challenge-Karten
Fachartikel | von Milan Burgdorf
Der DuD-Artikel zum Thema "NoPhish-Challenge-Karten" setzt sich mit der Frage auseinander, wie Mitarbeitende zum Thema Erkennen von
Phishing-Angriffen angesprochen und sensibilisiert werden können. Dabei werden die an einer Hochschule entwickelten Challenge-Karten vorgestellt und zu den Ergebnissen
eines Vor-Ort-Awareness-Tags berichtet. Der Artikel wurde gemeinsam von Lukas Aldag, Benjamin Berens, Andreas Lorenz, Marie-Claire Thiery, Melanie
Volkamer und unserem ISMS- und Datenschutzexperten Milan Burgdorf veröffentlicht.
Datenschutz und Datensicherheit (DuD) 11/2021, S. 721 - 725.

Zum Glück werden IT-Infrastrukturen immer sicherer. Das erschwert aber auch Penetrationstestern die Arbeit: Bei oberflächlichem Blick sieht meist alles gut aus. Lücken kommen meist erst zu Tage, wenn man tiefer bohrt - und das erfordert aktuelle, vertiefte Kenntnisse über Angriffstechniken und Systemschwachstellen. Wer über sie verfügt hat Chancen, die 24stündige Prüfung zum "Offensive Security Certified Professional" (OSCP) zu bestehen - den schwarzen Gürtel für Pentester. Das ist Enes Erdoğan am 29.09.2021 gelungen - er ist damit der vierte "Black Belt" im Secorvo-Team.

Cloud Security: Konfigurationsprüfung und Audit
Vorträge | von Christian Titze
Beim diesjährigen "T.I.S.P. Community Meeting" war unser Pentester Christian Titze mit dem Vortrag "Cloud Security: Konfigurationsprüfung und Audit" vertreten.
Einmal jährlich lädt TeleTrusT zum "T.I.S.P. Community Meeting" ein. Hier treffen sich T.I.S.P.-Absolventen, um aktuelle Entwicklungen in der Informationssicherheit zu diskutieren und sich über ihre persönlichen Praxiserfahrungen auszutauschen.
Vortragsmaterialien
Secorvo White Paper: Penetrationstests
White Paper | von André Domnick, Christian Titze, Enes Erdoğan
Viele Unternehmen führen bereits technische Sicherheitsprüfungen der IT-Infrastruktur im Rahmen von Penetrationstests durch oder planen deren Durchführung. Im Rahmen unser langjährigen Erfahrung hat sich eine standardisierte Vorgehensweise ergeben, die eine wiederholbare und modularisierte Durchführung erlaubt. In unserem überarbeiteten White Paper stellen wir die Vorgehensweise von Secorvo vor und geben konkrete Handreichungen zur erfolgreichen Durchführung von Penetrationstests.
Whitepaper lesen
Editorial: Aufgelöste Verantwortung
Schneller als gedacht sind Cloud-Dienste zum neuen Standard geworden. Doch unsere Vorstellung, dass es dabei im Wesentlichen auf die Wahl eines vertrauenswürdigen Anbieters
ankäme, ist zu kurz gesprungen. Denn tatsächlich bestehen viele Cloud-Lösungen selbst wieder aus zahlreichen Einzeldiensten, die über die Cloud
eingebunden werden: Ticketsystem, E-Mail-Services, Zahlungssystem, Benutzersupport, Shopsystem, Chat, Telefonie, Adressdatenbank, Tracking, Videostreaming … - warum sollte
ein Anbieter das auch neu implementieren, wenn er es günstig hinzukaufen kann?

Rätseln mit Lerneffekt
Presse | von Jessica Schwarz
Digitale Medien spielen im Alltag eine immer größere Rolle. Und das immer früher. Bereits viele Grundschulkinder nutzen Smartphone, Tablet und Co. Umso wichtiger ist es, Kinder und Jugendliche für das Thema Datensicherheit zu sensibilisieren. Welche Chiffriertechniken es gibt und wie sie funktionieren, können Schülerinnen und Schüler von Klasse drei bis Klasse neun mit dem interaktiven Online-Adventskalender "Krypto im Advent" spielerisch entdecken.
Artikel lesen
Was Pilze mit Sicherheitsstandards gemein haben...
KA-IT-Si | von Jessica Schwarz
Die Informationssicherheit ist von einer wachsenden Zahl von Standards, Checklisten und Best Practices geprägt.
Der ISMS- und Datenschutz-Experte Milan Burgdorf wird Ihnen mit dem Vortrag auf dem kommenden KA-IT-Si-Event interessante Gebiete auf der Landkarte der Informationssicherheitsstandards und -frameworks zeigen. Wir werden uns auf bekanntem Gelände bewegen (ISO 2700x und IT-Grundschutz) aber auch unbekannte Gegenden erkunden. Wir geben Ihnen einen Kompass in die Hand, mit dem Sie sich in diesem undurchsichtigen Territorium zurecht finden und zeigen Ihnen die jeweiligen Vorteile und Mehrwerte auf.
Weitere Infos
Bundesverdienstkreuz für Dirk Fox
Presse | von Jessica Schwarz
Am 03.11.2022 überreichte Dr. Frank Mentrup, Oberbürgermeister der Stadt Karlsruhe, dem Geschäftsführer von Secorvo das Bundesverdienstkreuz.
Damit wurde Dirk Fox für sein jahrzehntelanges ehrenamtliches Engagement insbesondere für die politische und technische Bildung junger Menschen ausgezeichnet. Wir freuen uns mit ihm über diese außerordentliche Ehrung!

Online-Adventskalender: Mit "Krypto im Advent" auf Abenteuerreise gehen und tolle Preise gewinnen
KA-IT-Si | von Jessica Schwarz
Früh für das Thema Datensicherheit zu sensibilisieren ist wichtig. Mit dem interaktiven Online-Adventskalender "Krypto im Advent" lernen Schülerinnen und Schüler auf spielerische Weise Verschlüsselungstechniken kennen und können dabei attraktive Sachpreise gewinnen. Die Pädagogische Hochschule Karlsruhe und die Karlsruher IT-Sicherheitsinitiative haben sich für die siebte Auflage des Adventskalenders wieder spannende Kryptografie-Rätsel ausgedacht.
Pressemitteiling lesen
FORENSIK-WORKSHOP: Neue Wege von Volatility 3
Unser Forensik-Experte Jochen Schlichting beschreibt in der aktuellen Ausgabe der <kes> in seinem Artikel "Update zu Grundlagen von Volatility 3 mit punktueller Analyse des "Lone Wolf 2018"-Szenarios" die aktualisierte Generation 3 mit den grundlegende Nutzungsmöglichkeiten des Tools.
Beispielhaft werden sechs Analyseschritte dargelegt, die aufgrund der feststellbaren Artefakte zu einer Schlüsselinformation für den Ermittler in diesem Szenario führt.
<kes> 05/2021, Seite 40-48.
Nichts sehen. Nichts hören. Nichts sagen.
KA-IT-Si | von Jessica Schwarz
Die IT Infrastruktur eines Unternehmens lässt sich nur gemeinsam mit den Angestellten adäquat schützen. Oft wird daraus abgeleitet, dass Security Awareness Maßnahmen für Angestellte ausgerollt werden müssen. Um das Security Level im Unternehmen jedoch effektiv und nachhaltig zu steigern, sind weitere Maßnahmen notwendig. Diese Maßnahmen sollten Teil des IT-Sicherheitskonzept sein und idealerweise vor der Einführung der Security Awareness Maßnahmen umgesetzt werden.
Im Rahmen des Vortrags wird diskutiert, welche Maßnahmen dies sind und warum diese eine wichtige Vorbedingung für effektive Security Awareness Maßnahmen sind. Wir freuen uns auf einen kurzweiligen und interessanten Abend mit Ihnen.
Weitere Infos
Editorial: Dialektik
Man mag den Marxismus für eine Irrung oder eine mindestens wirtschaftlich gescheiterte Ideologie halten. Eines der drei von Engels in etwas freier Umdeutung von Hegels Dialektik aufgestellten Grundgesetze ist jedoch zweifellos eine zutreffende Beschreibung eines immer wieder zu beobachtenden Phänomens: Des Umschlags von Quantität in Qualität.
Weiterlesen
Mythos ENIGMA
KA-IT-Si | von Jessica Schwarz
Wir freuen uns darauf, unsere KA-IT-Si-Events nun wieder als Präsenzveranstaltungen durchführen und Ihnen unser "Buffet-Networking" zum persönlichen Austausch anbieten zu können. Um die Vorträge auch weiterhin so vielen Interessenten wie in den vergangenen Monaten zugänglich zu machen, werden wir bei unserem kommenden KA-IT-Si-Event am 30.09.2021 auch eine Teilnahme per Livestream ermöglichen.
Für die Teilnehmer vor Ort haben wir zusätzlich eine kleine Überraschung, denn sie haben die Möglichkeit einen Nachbau der Enigma aus dem 3D-Drucker zu bestaunen.
Weitere Infos
Worauf warten Sie noch?
Seminare | von Joanna Hörandel
Schon in wenigen Tagen beginnt das letzte Quartal 2021 und wir nähern uns mit großen Schritten dem Jahresendspurt. Haben Sie Ihre gesteckten Ziele erreicht und Ihre gewünschten Weiterbildungen besucht?
Falls nicht, nutzen sie jetzt noch die Möglichkeit und melden Sie sich zu einem unserer Seminare an - noch sind Plätze frei.
Seminar-Kompass
Irren ist kryptografisch.
KA-IT-Si | von Jessica Schwarz
Die Kryptoanalyse der ENIGMA ist eine der spannendsten Geschichten in der Kryptografie. Bis in die 70er wurde in der Öffentlichkeit - und nicht nur da - angenommen, dass die Verschlüsselungsmaschine ENIGMA nicht knackbar ist. Allerdings war dies ein Irrtum. Die ENIGMA wurde bereits in den 30er Jahren erfolgreich analysiert und hat während des zweiten Weltkriegs systematisch Nachrichten entschlüsselt.
Auf dem kommenden Event am 30.09.2021 wird Johann Gratwohl die Entwicklung und die historischen Hintergründe der Verschlüsselungsmaschine ENIGMA vorstellen und ihre Funktionsweise erläutern. Anschließend wird er die Kryptoanalyse skizzieren und auf Schwachpunkte und Fehler eingehen und daraus wichtige Erkenntnisse für den Entwurfsprozess ableiten.
Weitere Infos
Leitfaden Cloud Security: Sichere Nutzung von Cloud-Anwendungen
Fachartikel | von Stefan Gora
Die sichere Nutzung von Cloud Services ist ein zentraler Baustein der IT-Sicherheit von Unternehmen. Kleine und mittelständische Unternehmen haben jedoch oft nicht die notwendigen Kapazitäten zum Aufbau eigener Expertise. Mit dem Leitfaden des Bundesverbands IT-Sicherheit e.V. möchte die TeleTrusT-Arbeitsgruppe "Cloud Security" einen Überblick und Hilfestellung zum sicheren Betrieb von Cloud Services geben. Der Leitfaden umfasst eine systematische Betrachtung der Risiken bei der Nutzung von Cloud-Diensten, gegliedert nach allgemeinen IT-Risiken, Cloud-spezifischen Risiken und rechtlichen Anforderungen. Hervorgehoben werden auch die Sicherheitsvorteile von Cloud Services.
Leitfaden lesen
Und ewig grüßt das Nilpferd
Unser Kryptologe Hans-Joachim Knobloch beschreibt in seinem Artikel "Und ewig grüßt das Nilpferd - PetitPotam und weitere Wege, die Kontrolle über das AD zu übernehmen" in der aktuellen iX-Ausgabe 09/2021 (Seite 91) wie ein neuer Angriff auf Windows-Netze es ermöglicht, die Rechte eines Domänenadministrators zu erlangen. Solche NTLM-Relay-Angriffe gibt es schon länger - neu ist allerdings, dass er die Standardkonfiguration vieler Windows-Netze betrifft.
iX Artikel bei heise lesen
Kleines Nilpferd trampelt über Microsofts PKI-Webdienste
PKI | von Hans-Joachim Knobloch
Von den meisten Windows Schwachstellen und monatlichen Cumulative Updates sind die Active Directory Certificate Services (a.k.a. Microsoft PKI) allenfalls indirekt betroffen. Das ist bei dem am 18.07.2021 unter dem Namen "PetitPotam" publizierten Angriff nun anders.
PetitPotam ist ein Angriff auf eine eigentlich altbekannte Schwachstelle im NTLM-Authentifikationsmechanismus von Windows, der einem Angreifer ggf. die Übernahme der kompletten AD Domäne ermöglichen kann.
Weiterlesen
Nilpferde, NDES und goldene Zertifikate als Schlüssel zum AD
PKI | von Hans-Joachim Knobloch
Wer NDES einsetzt, sollte ein Auge darauf haben, welche Zertifikate darüber bezogen werden können und tatsächlich bezogen werden, damit er nicht den Nachschlüssel zu seinem Active Directory verliert. Und nicht ganz vertrauenswürdige Trusted Root Zertifikate sollte man sich aus diesem Grunde auch nicht unterschieben lassen, zumindest nicht auf Domain Controllern.
Gerade bin ich von einer längeren Reise zurückgekommen. Einer virtuellen Reise in die Weiten der Windows- und AD-Landschaft, die ich als Folge meines vorigen Artikels zu PetitPotam angetreten habe.
Weiterlesen
Editorial: Die Bäume und der Wald
Je tiefer wir in den Schutz der immer komplexeren Informationstechnik eintauchen, desto eher laufen wir Gefahr das große Bild aus den Augen zu verlieren. Treten wir also einen Schritt zurück.
Besonders zwei Entwicklungslinien sind es, die sich gerade deutlich abzeichnen. Die eine: Mit der zunehmenden Digitalisierung entstehen zahlreiche neue Risiken, die oft erst nach einem Vorfall
erkannt werden, so wie Anfang Juli beim Ransomware-Vorfall im Landratsamt Anhalt-Bitterfeld. Der Landrat rief den Katastrophenfall aus: Wochenlang konnten im Landkreis weder Wohngeld noch
Sozialhilfe gezahlt, Mitarbeitergehälter überwiesen oder Fahrzeuge angemeldet werden.

Editorial: Erpressbar
Ransomware-Angriffe, bei denen die Daten der Opfer verschlüsselt und erst nach Zahlung eines Lösegelds wieder zur Entschlüsselung freigegeben werden, sind in den vergangenen Monaten zu einem beachtlichen Unternehmensrisiko herangewachsen. So hat nicht nur die Zahl der Angriffe, sondern auch die Höhe der Lösegeldforderungen erheblich zugenommen.
Weiterlesen
Bann für Banner
Am 31.05.2021 hat die Stiftung noyb von Datenschutzaktivist Max Schrems den Cookie-Bannern pressewirksam den Kampf angesagt. Allen Cookie-Bannern? Nein, nur solchen, die genervten Nutzern nicht die richtigen Auswahlmöglichkeiten lassen.
In der Regel werden mindestens die Anforderungen an den Widerspruch für erteilte Einwilligungen gar nicht oder nicht korrekt umgesetzt (Leitlinien des European Data Protection Board). Wer es genau wissen will, kann sich noch zum Vortrag "Cookies, Tracking, Analysen" auf dem kommenden Karlsruher Tag der IT-Sicherheit - 3. Abend am 15.07.2021 anmelden.
Veranstaltungsinfos
Kein Neuland - Karlsruhe bei IT-Sicherheit schon immer vorne
KA-IT-Si | von Jessica Schwarz
Ransomware-Angriffe mit Lösegeldforderungen in Millionenhöhe, Befürchtungen gezielter Wahlbeeinflussungen und Berichte über erfolgreiche Angriffe auf die Datenbestände von Online-Diensten dominieren immer häufiger die Berichterstattung. Karlsruhe ist auf diese Entwicklung schon lange vorbereitet - hier entstand nicht nur der erste Lehrstuhl für Kryptographie (am heutigen KIT), sondern praktizieren IT-Unternehmen der Region seit 20 Jahren erfolgreiche Selbsthilfe.
Die vor zwanzig Jahren gegründete KA-IT-Si führte auch in diesem Jahr zusammen mit der IHK Karlsruhe, dem KASTEL und dem CyberForum zum zwölften Mal den Karlsruher Tag der IT-Sicherheit durch.
Weiterlesen auf techtag
12. Tag der IT-Sicherheit
KA-IT-Si | von Jessica Schwarz
Der jährliche "Karlsruher Tag der IT-Sicherheit", eine Kooperationsveranstaltung der KA-IT-Si mit der IHK Karlsruhe, KASTEL und dem CyberForum e.V., wird in diesem Jahr als virtuelle Veranstaltung stattfinden, verteilt auf drei Abende. Den Einstieg bildet jeweils ein kurzer Blick in die Forschungs- und Gründerszene der Informationssicherheit, gefolgt von einem vertiefenden Fachvortrag:
01.07.2021 | 08.07.2021 | 15.07.2021
Im Anschluss an die Vorträge bieten wir die Gelegenheit zum fachlichen Gedanken- und Erfahrungsaustausch mit den Referenten und anderen Teilnehmern. Wir freuen uns auf drei kurzweilige und interessante Abende mit Ihnen! Weitere Infos
Karlsruher Entwicklertag 2021
Vorträge | von Friederike Schellhas-Mende und Christian Titze
Secorvo war auf dem diesjährigen Karlsruher Entwicklertag, der Konferenz für Software Engineering, vom 09. bis 10. Juni 2021 mit zwei Vorträgen vertreten: "Cookies, Tracking, Analysen - Eine Bestandsanalyse des derzeit rechtlich Machbaren zum Einsatz von Cookies und vergleichbaren Technologien" von Friederike Schellhas-Mende sowie "CWE und die Top 25 Most Dangerous Software Errors" von Christian Titze.
Cookies, Tracking, AnalsenCWE und Software Errors

Online-Seminar "Live Hacking Lab"
Seminare | von Joanna Hörandel
Schwachstellen der IT-Infrastruktur sind die verbreitetsten Einfallstore für Angreifer. Daher wird es immer wichtiger, die eigene Infrastruktur regelmäßig zu überprüfen. Auf unserem neuen Online-Seminar "Live Hacking Lab - Grundlagen Penetrationstest" werfen wir mit Ihnen einen Blick hinter die Kulissen. Sie lernen Sie gängige Methoden zur Identifikation von Schwachstellen kennen und führen sie an Laborsystemen praktisch durch. Wir zeigen Ihnen, wie über das Internet erreichbare Systeme geprüft werden können und was Sie bei der Konfiguration und dem Betrieb Ihrer Infrastruktur beachten müssen.
Termine: 23.06.2021 | 14.07.2021
Weitere Infos
ENIGMA R.D.E.
KA-IT-Si | von Jessica Schwarz
Die ENIGMA zählt zweifellos zu den faszinierendsten Verschlüsselungsverfahren in der Geschichte der Kryptografie. Berühmt wurde sie nicht nur durch ihre bedeutende Rolle im Zweiten Weltkrieg, sondern vor allem auch durch ihre geniale Entschlüsselung unter Mitwirkung des Informatik-Pioniers Alan Turing. Beim vergangenen KA-IT-Si-Event "Enigma zum Selberdrucken" am 20.05.2021 durften Sie bereits einen Blick auf ein funktionierendes Enimga-Modell aus dem 3D-Drucker werfen. Zudem berichtete Herr Prof. Dr. Simon Wiest (Hochschule der Medien) von der bewegten Geschichte des Projekts "ENIGMA R.D.E.", gab Einblicke in die Besonderheiten des Nachbaus und entschlüsselte selbstverständlich auch live Geheimbotschaften mit seiner ENIGMA. Alle Teilnehmer bekamen von uns kurz vorher wieder Post und konnten sich ihre ganz persönliche Enigma basteln.
Download Bastelanleitung
Editorial: Zweck verfehlt
Am vergangenen Samstag erhielt ich im Zusammenhang mit einer Erbschaftsangelegenheit ein Schreiben von einem Finanzinstitut, bei dem ich bisher kein
Kunde war. Betreff: "Datenschutzhinweise". Sie ahnen, was beilag: Fünf eng bedruckte Seiten "zur Kenntnisnahme und für
Ihre Unterlagen". Immerhin nur fünf, dachte ich fast erleichtert.
Ähnliche Schreiben wurden seit Inkrafttreten der DSGVO millionenfach versandt. Sie dienen der Erfüllung der Informationspflicht aus Art. 13 DSGVO: Danach müssen Betroffene zu Beginn einer Verarbeitung erfahren, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden.
Weiterlesen
Enigma zum Selberdrucken
KA-IT-Si | von Jessica Schwarz
Seit 2017 rekonstruieren Studierende der Hochschule der Medien in Stuttgart im Projekt "ENIGMA R.D.E." die berühmteste Chiffriermaschine der Welt im 3D-Druckverfahren. Bei unserem kommenden KA-IT-Si-Event am 20.05.2021 dürfen Sie einen Blick auf ein funktionierendes Modell werfen: Prof. Wiest wird von der bewegten Geschichte des Projekts berichten, gibt Einblicke in die Besonderheiten des Nachbaus und entschlüsselt selbstverständlich auch live Geheimbotschaften mit seiner ENIGMA.
Weitere Infos
Editorial: Lesen bildet.
Häufig sind es Schriftsteller, die technische und gesellschaftliche Entwicklungen lange zuvor erahnen und beschreiÂben; manchmal prägen sie damit den gesellschaftlichen Diskurs der Technikfolgen. Kein Wunder, werden doch die theoretischen Möglichkeiten oft erst durch eine realistische Erzählung konkret vorstellbar. Gelingt es einem Autor dabei, in seiner Geschichte - meist einer Dystopie - die zentralen Fragen aufzuwerfen, kann eine solche Erzählung mehr Grundverständnis vermitteln als hundert Vorträge.
Weiterlesen
Identifikation von Schwachstellen
Vorträge | von Christian Titze, André Domnick, Enes Erdoğan
Das Pentest-Team um Christian Titze, André Domnick und Enes Erdoğan (Secorvo Security Consulting) zeigte bei unserem vergangenen KA-IT-Si-Event am 29.04.2021 anhand einer Live-Demonstration, wie über das Internet erreichbare Systeme geprüft werden können und in welche Richtungen sich ein Penetrationstest in nachgelagerten Schritten weiter entwickeln kann. Zusätzlich wurden Grenzen und Beschränkungenkungen von Penetrationstests aufgezeigt, die dabei helfen können, das Mittel "Penetrationstest" als Sicherheitsmaßnahme besser zu verstehen und zu bewerten. Zusätzlich gab es für unsere knapp 240 Teilnehmer eine kleine Überraschungs-Box per Post.

PKI-Seminar online
Seminare | von Joanna Hörandel
Angesichts der großen Teilnahmezahlen bei unseren jüngsten Online-Events werden wir im April erstmals
auch eines unserer Seminare online durchführen: Noch gibt es freie Plätze für das Seminar
"Public Key Infrastrukturen - Grundlagen, Vertiefung, Realisierung"
vom 19. bis 22.04.2021. Das Seminar ist als Weiterbildung zur T.I.S.P.-Rezertifizierung anerkannt.
Wir freuen uns auf Ihre Teilnahme!

Editorial: Hoheitsverhältnisse
Allen früheren Unkenrufen zum Trotz geht Deutschland "in die Cloud": Spätestens seit Beginn der
Pandemie schmelzen die ursprünglichen Bedenken deutscher Unternehmen wie Eis in der Sonne. Zugleich werden immer
mehr Dienste (nur noch) Cloud-basiert angeboten.

Heute schon gehackt?
KA-IT-Si | von Jessica Schwarz
Sie wollten schon immer einmal wissen, wie "Hacking" eigentlich funktioniert? Dann tauchen Sie gemeinsam mit uns beim kommenden KA-IT-Si-Event am 29.04.2021 in die Welt des Server-Hackings ab! Lernen Sie, wie Hacker, Sicherheitsforscher und Penetrationstester Schwachstellen finden und ausnutzen.
Weitere Infos
DFN-Konferenz "Sicherheit in vernetzten Systemen"
Auf der 28. DFN-Konferenz "Sicherheit in vernetzten Systemen" vom 15. bis 18. März 2021 zeigten Dirk Fox und Christian Titze in ihrem Vortrag "Phishing-Awareness durch Gamifikation" wie wichtig das Thema Training bei einer Awareness-Kampagne ist und wie man dieses Training in einer "Spielumgebung", die frei von Hierarchien und Erwartungshaltungen ist, erfolgreich umsetzen kann.
Download Vortragsmaterialien
Ausgezeichnete Vermittlung von MINT-Kompetenzen
KA-IT-Si | von Jessica Schwarz
Am 15.03.2021 wurde "Krypto-im-Advent", das Online-Advents-Rätsel von der Pädagogischen Hochschule und der Karlsruher IT-Sicherheitsinitiative vom Stifterverband als eine von 10 Best Practices für die erfolgreiche Vermittlung von MINT-Kompetenzen ausgezeichnet.
Weitere Infos
Literarisches KA-IT-Si-Kabinett
KA-IT-Si | von Jessica Schwarz
Am 25.03.2021 luden wir zu unserem ersten "Literarischen KA-IT-Si-Kabinett" ein - ein toller inspirierender Abend mit knapp 100 Teilnehmern. Wir haben eine Liste der Werke der (Welt-)Literatur vorgestellt, die Sicherheits- und Datenschutzexperten gelesen haben "müssen". Falls Sie diese Veranstaltung verpasst haben sollten, können Sie sich hier im Nachgang unsere Liste der 16 "MUST READ BOOKS" herunterladen.
Donwload Bücherliste
Editorial: Die schlechte gute Nachricht
Der 13.05.2019 dürfte in die Annalen des Heise-Verlags eingegangen sein. An diesem Montag schlug "Emotet" im Verlagsnetz ein und bewies, dass auch ein technisch
kompetentes und sicherheitsbewusstes Unternehmen zum Opfer werden kann. Anders als die meisten Emotet-Geschädigten ging der Verlag an die Öffentlichkeit und
berichtete in schonungsloser Offenheit über den Vorfall, die eigenen Fehler und seine "Lessons learned". Was dabei deutlich wurde: Die Hacker nutzten jeden Fehler
und jede noch so kleine Nachlässigkeit, um sich nach ihrem Eindringen im Netz festzusetzen.

Wie Hacker sich Informationen beschaffen
Vorträge | von Christian Titze
Unser Pentest-Experte Christian Titze gab auf dem virtuellen KA-IT-Si-Stammtisch Einblick, wie Hacker bei der Informationsbeschaffung vorgehen und welche Werkzeuge und Hilfsmittel es dabei gibt.
Um ein System oder ein Unternehmen erfolgreich zu hacken, muss man zuerst verstehen, welche Schnittstellen zur Verfügung stehen und wie man diese ausnutzen kann. Meist sind die Schnittstellen technischer oder menschlicher Natur - unterstützend hinzu kommen öffentlich einsehbare Webseiten und Dokumente. Eine Inventarisierung der externen Angriffsoberfläche im Rahmen eines Penetrationstests kann helfen, das Unternehmen durch die Augen eines Angreifers zu sehen und so die Angriffsoberfläche zu reduzieren.

Lesen bildet
KA-IT-Si | von Jessica Schwarz
Der Ausfall zahlreicher Abendveranstaltungen hat die Bücherkäufe ansteigen lassen. Da wollen wir Sie nicht alleine lassen und laden Sie ein zum "1. Literarischen Kabinett" am 25.03.2021 um 18 Uhr.
Sie werden zahlreiche Werke der Weltliteratur kennenlernen, die Sicherheits- und Datenschutzexperten gelesen haben müssen. Fünf Bücher werden wir etwas ausführlicher vorstellen - und freuen uns nicht nur auf Ihre Anmeldung, sondern auch über eine persönliche Rückmeldung: Welche Bücher gehören unbedingt auf diese Liste? Und: Haben Sie Lust, Ihr eigenes Lieblingsbuch, das Sie im Hinblick auf IT-Sicherheit oder Datenschutz nachdenklich oder betroffen gemacht hat, kurz vorzustellen? Dann schreiben Sie uns (info@ka-it-si.de).

Virtueller KA-IT-Si-Stammtisch
KA-IT-Si | von Jessica Schwarz
Am 25.02.2021, 18 Uhr möchten wir Ihnen mit unserem ersten virtuellen KA-IT-Si-Stammtisch wieder eine Plattform für den Austausch bieten. Die Teilnahme an der Veranstaltung ist für Sie kostenfrei. Es erwarten Sie verschiedene "virtuelle Thementische" mit kurzen Impulsvorträgen und spannenden Diskussionen.

Forensik-Workshop Plaso
Unser Forensiker Jochen Schlichting beschreibt in der aktuellen Ausgabe der <kes> in seinem Artikel "Plaso-Workshop - Forensische Analyse von Zeitartefakten und Zeitlinien am Beispiel des Lone-Wolf-2018-Szenarios" die Installation sowie grundlegende Nutzungsmöglichkeiten des Tools. Die Klarheit über Zeitabläufe ist in forensischen Analysen besonders wertvoll - das Standardwerkzeug hierfür ist Plaso. <kes> 01/2021, Seite 70-75.

Prüfung interner Netze in der Pandemie
Pentest | von André Domnick
Wir bieten Ihnen Prüfungen der internen Infrastruktur auch unkompliziert aus der Ferne an - je nach Wunsch entweder mit einer physischen oder einer virtuellen Appliance.

Editorial: Beweislastumkehr
Am 26.11.2020 hat die Datenschutzkonferenz der deutschen Aufsichtsbehörden (DSK) einen Beschluss zur Datenschutzkonformität von Windows 10 Enterprise gefasst.
Das Dokument liest sich - selbst (oder gerade) für einen "in der Wolle gewaschenen" Datenschützer - äußerst befremdlich.

Krypto im Advent im Home-Schooling
KA-IT-Si | von Jessica Schwarz
Über 4.700 Schülerinnen und Schüler sowie ältere Kryptografie-Fans tauchten im Advent 2020 in die Welt der Verschlüsselung ein: Ein erneuter Teilnahmerekord unseres Online-Adventskalenders "Krypto im Advent". Als Beitrag der KA-IT-Si zum Home-Schooling haben wir die 36 Rätsel (und Lösungen) zusammengefasst auf unserer Webseite zum Download bereitgestellt.
www.krypto-im-advent.de
Editorial: Gretchenfrage
Die nicht unerwartete Außerkraftsetzung des Privacy Shields durch den EuGH hat eine Welle von Vertragsneugestaltungen und viel Unsicherheit ausgelöst. Darf man personenbezogene
Daten noch von US-Unternehmen verarbeiten lassen? Und wenn ja: wie?

Planen Sie schon für 2021?
Seminare | von Joanna Hörandel
Das Jahresende naht mit großen Schritten und Sie sind gedanklich schon bei der Planung 2021? Dann möchten wir Sie einladen einen Blick auf unsere Seminartermine 2021 zu werfen und sich schon jetzt einen Platz zu sichern. Denn Vorfreude ist ja bekanntlich die größte Freude. Alle Termine finden Sie in unserem Seminarkalender
Nächste Seminare:
T.I.S.P. - TeleTrusT Information Security Professional:
22. bis 26.02.2021
*NEU* IT Security Insights - T.I.S.P. Update:
23. bis 25.03.2021

Editorial: Unter den Wolken
Luftaufnahmen haftet etwas Magisches an. Vielleicht, weil sie aus einer Perspektive aufgenommen werden, die wir Menschen aus eigener Kraft nicht einnehmen können -
es grüßt der ewige Traum vom Fliegen. Diese Faszination ist es wohl auch, die Menschen auf Türme, Berge und zu Ballonfahrten und Fallschirmsprüngen treibt.

What you can do, or dream you can, begin it. Boldness has genius, power and magic in it.
John Anster (1793-1867)
Wir wünschen Ihnen schöne Weihnachten und ein Jahr voller vermisster Selbstverständlichkeiten.
Weihnachtskarte 2020
Betriebsärztliche Datenverarbeitung
Datenschutz | von Karin Schuler
Die betriebsärztliche Datenverarbeitung ist teilweise datenschutzrechtlich komplizierter als die Datenverarbeitung durch sonstige Ärzte, u.a. weil Arbeitsrecht und Mitbestimmungsrecht zu beachten sind. Das Netzwerk Datenschutzexpertise (in diesem Fall Thilo Weichert und Karin Schuler) hat eine Handreichung erstellt, in der sowohl die rechtlichen Grundlagen dargelegt werden, als auch Hilfestellung für Praxisfragen gegeben wird.
Zum Download
Rätsel knacken und Preise gewinnen
KA-IT-Si | von Jessica Schwarz
Schafft es das Agenten-Team ihr Geheimnis vor den Spionen zu schützen? Und was hat es mit der mysteriösen Täuschung im Trainingslager auf sich? Das Agenten-Trio braucht Hilfe und hofft auf den Spürsinn findiger Schülerinnen und Schüler der 3. bis 9. Klasse. Ihre Aufgabe? Beim interaktiven Online-Adventskalender Krypto im Advent spannende Verschlüsselungs-Rätsel lösen und tolle Sachpreise gewinnen. Auch Schulklassen und Profis können miträtseln, letztere allerdings außer Konkurrenz.
www.krypto-im-advent.de
Editorial: Deep Fakes
Seit Jahrzehnten durchzieht eine zentrale Frage die IT-Sicherheit: Wie kann ein IT-System zuverlässig feststellen,
ob eine natürliche Person, die sich am System anmeldet, tatsächlich diejenige ist, die sie zu sein behauptet?

Netzwerken und Erfahrungen austauschen
KA-IT-Si | von Jessica Schwarz
Am 24.09.2020 fand der erste "KA-IT-Si-Stammtisch" in der "Ersten Fracht" statt.
Ingesamt gab es vier verschiedene Thementische:
1) Andreas Sperber, aramido: Penetrationstests - das Was & Wie
2) Dr. Ingmar Baumgart: Vulnerability Disclosure
3) Dirk Fox, Secorvo: Phishing-Awareness
4) Oliver Winzenried, WIBU-Systems:House of IT-Security und die zukünftige IT-Security Coworking Area

Editorial: Wehret den Anfängen
Ganz gleich ob im Verein, im Unternehmen oder in einer Behörde: Fehler in und mangelnde Aktualität von Namens- und Adresseinträgen verursachen Jahr für
Jahr Millionenkosten. Sendungen erreichen ihr Ziel nicht, Personen werden mehrfach in Datenbanken geführt und zusammengehörende Vorgänge werden nicht miteinander
verknüpft. Ein teures Ärgernis.

"Sicherheitsexperte Dirk Fox blickt in eine vielleicht recht nahe Zukunft, in der die Betreiber digitaler Identität genügend Werkzeuge in Händen
halten, um uns alle umfassend zu überwachen. Und dann kämen wie im Film -Minority Report- Algorithmen zum Zuge, die unser Verhalten systematisch
diagnostizieren und daraus Vorhersagen ableiten."
Dirk Fox im Interview mit Thomas Kruchem.

Editorial: Vermintes Terrain
Bei manchen Gelegenheiten sollte man zurückhaltend sein, Kenntnisse in der IT-Sicherheit oder dem Datenschutz durchblicken zu lassen.
Zum Beispiel beim Abendessen mit Freunden. Eine der sich nach einem solchen "Coming Out" geradezu schicksalhaft ergebenden Fragen, die
jeden noch so zauberhaften Abend unwiederbringlich pulverisieren kann, ist - pars pro toto - dieser hier: "Ist Whats-app eigentlich sicher?"

Erster KA-IT-Si-Stammtisch
KA-IT-Si | von Jessica Schwarz
Aufgrund der nach wie vor geltenden Auflagen im Veranstaltungsbereich können wir unser KA-IT-Si-Event im September nicht wie gewohnt stattfinden lassen. Deshalb möchten wir Ihnen mit unserem ersten "KA-IT-Si-Stammtisch" am 24.09.2020, 18:00 Uhr im Biergarten der "Ersten Fracht" eine Plattform für den Austausch bieten.
Weitere Infos
"Cyberwehr" gestartet: 24-Stunden Hilfshotline für Unternehmen
Presse | von Jessica Schwarz
Aus einem Pilotprojekt ist in Baden-Württemberg die erste "Cyberwehr" Deutschlands entstanden: Eine kostenlose Hotline, die rund um die Uhr für kleine und mittelständische Unternehmen erreichbar ist, falls diese einen Cyberangriff erleben und erste Hilfe brauchen.
Weiterlesen auf heise online
"Aweil geht's los": Draisinenfahrt in der Pfalz
Secorvo | von Jessica Schwarz
Unseren diesjährigen Ausflug verbrachten wir am vergangenen Freitag an der frischen Luft. Mit der Draisine radelten wir auf den stillgelegten Bahngleisen gemütlich durch die schöne Südpfalz. Neben Aufgaben und kniffeligen Rätseln gab es entlang der Strecke auch einige Hindernisse, die wir gemeinsam überwinden mussten.

Editorial: Menschenrecht Anonymität
Menschen urteilen täglich. Vieltausendfach. Über Menschen. Wir müssen das tun, um angemessen auf unser Umfeld zu reagieren.
Aber diese Urteile sind nie zutreffend und nur selten gerecht, denn es sind verkürzende, vereinfachende Bewertungen, die wir auf der
Grundlage sehr begrenzter Detailkenntnis vornehmen...

Es geht wieder los
Seminare | von Joanna Hörandel
Wir freuen uns schon darauf, ab September mit unseren Präsenzseminaren wieder durchzustarten und laden Sie herzlich nach Karlsruhe ein. Sichern Sie sich jetzt Ihren Platz und aktualisieren bzw. zertifizieren Sie Ihre Kenntnisse und Kompetenzen in der IT-Sicherheit.
Nächste Seminare:
T.P.S.S.E. - TeleTrusT Professional for Secure Software Engineering: 14. bis 17.09.2020 (Durchführungsgarantie)
T.I.S.P. - TeleTrusT Information Security Professional:
21. bis 25.09.2020 (Durchführungsgarantie)

Schreibtisch frei! Wir suchen Sie: IT-Administration
Haben Sie Spaß an eigenverantwortlichem Arbeiten in einem hoch motivierten Team? Arbeiten Sie strukturiert auch unter hoher Belastung? Halten Sie Ihr Knowhow aktuell? Haben Sie (Fach-)hochschulreife und eine einschlägige Ausbildung? Dann auf zu neuen Ufern!
Weitere Infos
KA-IT-Si-Termine zum Vormerken
KA-IT-Si | von Jessica Schwarz
Wir freuen uns schon jetzt darauf, unsere KA-IT-Si-Veranstaltungen im zweiten Halbjahr wieder anzubieten.
Notieren Sie sich gerne schon einmal die geplanten Termine in Ihrem Kalender:
24.09.2020 | 22.10.2020
12.11.2020 | 10.12.2020
Nähere Informationen zu den Veranstaltungen folgen. www.ka-it-si.de

Editorial: Friendly Fire
Es ist nicht lange her, da galten Phishing-Angriffe als IT-Dilettanten-Test: Wer auf die holprigen,
in schlechtem Englisch verfassten Aufforderungen herein fiel und PIN und TAN für sein Konto preisgab,
der konnte sich der Schadenfreude seiner Umgebung sicher sein...

Rezensenten gesucht
T.I.S.P.-Buch | von Susanne Cussler
Entschleunigung ist eine wichtige Voraussetzung dafür, dass Menschen sich nicht nur um Dringendes, sondern auch um Wichtiges kümmern. Im Oktober 2019 erschien die dritte, überarbeitete und erweiterte Auflage unseres Handbuchs "Informationssicherheit und Datenschutz", zugleich Begleitbuch zum T.I.S.P.-Seminar, im dpunkt.verlag. Für die Neuauflage suchen wir noch Rezensenten - und können dafür über eine (begrenzte) Anzahl von Freiexemplaren verfügen. Wir freuen uns auf Ihre Kontaktaufnahme.

CrypTool 2 im neuen Glanz
Fundsache | von Jessica SchwarzIm April 2020 veröffentlichte das CrypTool-Entwicklerteam Release 2020.1 der Version 2 des bewährten Kryptographie-Lerntools. Es enthält zahlreiche Verbesserungen, Ergänzungen und Korrekturen - darunter auch ein Tutorial für die Differentielle Kryptoanalyse. Die neue Version wird im Dezember bei unserem Adventsrätsel Krypto im Advent zum Einsatz kommen.

Forensik-Workshop: Arbeiten mit Autopsy
Im Nachgang zum Überblicksbeitrag zu "Prozessen und Open Source-Tools für Incidents-Response und Forensik" schrieb unser Forensiker Jochen Schlichting in der <kes> eine Reihe von Workshop-Beiträgen zum konkreten Einsatz entsprechender Softwarewerkzeuge. In der aktuellen Ausgabe <kes> 03/2020 stellt er in seinem Artikel Forensische Analysen mit Autopsy (2) - Partielle Untersuchung des "Lone Wolf 2018"- Szenarios (S. 20-27) als zweites Tool der Reihe das grafische Frontend Autopsy vor.

Volles Haus beim Jahresstartevent der KA-IT-Si
KA-IT-Si | von Jessica Schwarz
Knapp 200 Datenschutz- und IT-Sicherheitsverantwortliche folgten am 13.02.2020 der Einladung zur Jahres-Auftaktveranstaltung der KA-IT-Si in das Casino der VBK Karlsruhe.
Weiterlesen
Kryptografie begeistert
KA-IT-Si | von Jessica Schwarz
Mit mehr als 3.500 Schülern sowie älteren Kryptografie-Fans erreichte unser Online-Adventskalender "Krypto im Advent" 2019 einen neuen Teilnahmerekord.
Mit neuem Konzept für fortgeschrittene Hilfsagenten (7.-9.Klasse), neuen Verschlüsselungsmethoden und spannenden Missionen starteten wir im vergangenen Advent in eine neue, erfolgreiche Rätselrunde mit zahlreichen Gewinnen. Mehr Infos und Rätselbeispiele unter www.krypto-im-advent.de

RaSy/DaSy mit LDAP-Anbindung
Lösungen | von Susanne Cussler
Ende März 2020 erschien RaSy/DaSy, das in ISMS ready2go und DSMS ready2go integrierte Tool zur Durchführung von Risikoanalysen und Datenschutzfolgenabschätzungen (DSFA), in Version 1.5. Die darin neu geschaffene Möglichkeit, Nutzer über eine Anbindung an ein LDAP-Directory wie beispielsweise Microsofts Active Directory (AD) hinzuzufügen, vereinfacht die Administration deutlich. Das überarbeitete Design erleichtert zudem den täglichen Umgang mit RaSy/DaSy.