Posts

Security- und Awareness-Schulungen für Mitarbeiter sind mittlerweile weit verbreitet und werden durch verschiedene Standards (ISO 27001, TISAX etc.) sowie gesetzliche Vorgaben gefordert. Die NIS-2-Richtlinie (EU 2022/2555) fordert dies ebenfalls, geht allerdings einen entscheidenden Schritt weiter und verlangt, dass auch Geschäftsleiter in den Themen Cybersicherheitsrisiken und Risikomanagementpraktiken geschult werden müssen. Auch wenn herkömmliche Awareness-Schulungen die Geschäftsleitung einbeziehen, werden diese speziellen Themen oft nicht abgedeckt. ...

In der modernen Cybersicherheitslandschaft sind die raffiniertesten Angriffe oft nicht die technisch komplexesten, sondern jene, die den Mensch am geschicktesten ausnutzen. Pretexting – eine Form des Social Engineering, bei der Angreifer eine falsche Identität oder ein erfundenes Szenario verwenden, um die Zielperson zu einer bestimmten Handlung zu bewegen – ist ein Paradebeispiel dafür. Diese Angriffe sind besonders tückisch, denn sie bauen auf einer scheinbar harmlosen Grundlage auf: Open Source Intelligence (OSINT). Angreifer investieren oft Tage, Wochen oder sogar Monate, um öffentlich zugängliche Informationen über ihre Ziele zu sammeln, bevor sie überhaupt den ersten Kontakt herstellen. In diesem Artikel werfen wir einen detaillierten Blick darauf, wie Angreifer OSINT nutzen, welche Quellen ihnen zur Verfügung stehen und wie aus harmlosen, öffentlichen Daten ein hochgradig überzeugender und gefährlicher Pretexting-Angriff entsteht. ...

QR-Codes sind aus unserem Alltag nicht mehr wegzudenken. Sie stehen auf Speisekarten in Restaurants, prangen von Werbeplakaten und erleichtern uns das Bezahlen an Parkautomaten. Was vor wenigen Jahren noch als technische Spielerei galt, ist heute zur selbstverständlichen Brücke zwischen physischer und digitaler Welt geworden. Doch genau diese Allgegenwart und das blinde Vertrauen, das wir den kleinen schwarz-weißen Quadraten entgegenbringen, machen sie zur perfekten Waffe für Cyberkriminelle. Die Methode heißt “Quishing” – ein Kofferwort aus QR-Code und Phishing. In diesem Beitrag schauen wir uns an, wie dieser Angriff funktioniert, warum er so tückisch ist und wie Sie sich schützen können. ...

Einleitung Das Smartphone vibriert. Eine SMS der Bank: ‘Verdächtige Aktivität auf Ihrem Konto festgestellt. Klicken Sie hier zur Verifizierung.’ Diese oder ähnliche SMS Nachrichten hat vermutlich jeder schonmal bekommen. ...

In der IT-Sicherheit wird seit Jahren betont, dass nicht die Technik, sondern der Mensch das schwächste Glied in der Kette ist. Trotz Firewalls, Intrusion-Detection-Systemen und strengen Compliance-Vorgaben gelingt es Angreifern immer wieder, durch geschickte Manipulation Zugang zu sensiblen Daten zu erhalten. Die Methoden dafür sind nicht neu – sie basieren auf psychologischen Mechanismen, die tief im menschlichen Verhalten verwurzelt sind. Besonders Phishing und Social Engineering verdeutlichen, wie sehr Cyberangriffe letztlich auch Angriffe auf die Psyche sind. Dieser Artikel geht über eine reine Beschreibung hinaus: Er erklärt die psychologischen Hintergründe, zeigt konkrete Angriffsformen und bietet praxisnahe Tipps für Unternehmen, um ihre Belegschaft zu stärken. ...

Die Älteren unter uns werden sich noch an den sogenannten „Browserkrieg“ zwischen dem Netscape Navigator und dem Internet Explorer von Microsoft erinnern, der grob zwischen 1995 und 1998 stattgefunden hat. Der Ausgang sollte allgemein bekannt sein: Microsoft integrierte den Internet Explorer in sein weitverbreitetes Betriebssystem „Windows“ und nahm vielen Nutzern damit den Anreiz, zusätzlich in ein kostenpflichtiges Produkt wie den Netscape Navigator zu investieren. Dementsprechend brachen die Verkaufszahlen bei Netscape rapide ein. Auch das spätere kostenlose Angebot des Netscape Navigators konnte den Rückgang der Marktanteile nicht mehr stoppen. Der Fall des Netscape-Browsers ist ein ziemlich gutes Beispiel für das aggressive Vorgehen von Microsoft und das Ausnutzen seiner Monopolstellung im Bereich Betriebssysteme. ...

Einleitung Bei Phishing-E-Mails scheint es nur zwei Kategorien zu geben: Sie sind entweder plump oder erstaunlich raffiniert. Ein echtes Mittelding ist selten. Kürzlich ist mir jedoch ein Exemplar in die Hände gefallen, das – zumindest technisch betrachtet – ein Paradebeispiel für ausgeklügeltes Phishing darstellt. ...

Ein neues Gespenst geht um in Deutschland. Diesmal betrifft es nicht den Datenschutz in Form der DSGVO, sondern die IT-Sicherheit – konkret: die EU-Richtlinie NIS2. ...

Die Zahl der Cyberangriffe ist in den letzten Jahrzehnten kontinuierlich gestiegen. Dies belegen unter anderem Berichte des Branchenverbands Bitkom e.V. [1] sowie der Bundeslagebericht Cybercrime 2023 des Bundeskriminalamts [2]. Experten gehen davon aus, dass sowohl die Anzahl als auch die Qualität der Angriffe in Zukunft weiter zunehmen werden [2]. ...

Mittlerweile sind mehrere große LLMs (Large Language Models) von verschiedenen Anbietern seit einigen Jahren verfügbar. Es ist also Zeit für ein erstes Fazit. ...