Informationssicherheit in Versorgungsunternehmen umsetzen: Einige praktische Erfahrungen (2020)

by: Stefan Schumacher

Versorgungsunternehmen sind als Betreiber kritischer Infrastrukturen vielfältigen Angriffen aus dem Internet ausgesetzt. Sowohl einfache Bürorechner, Abrechnungssystem als auch Industriesteuerungsanlagen werden regelmäßig von verschiedenen Akteuren attackiert. Darunter fallen auch ungezielte automatisierte Massenangriffe. Der Beitrag zeigt, wie Sie Ihre Infrastruktur vor Angriffen schützen können, wie Sie dazu strategisch vorgehen müssen und welche technisch-organisatorische Maßnahmen implementiert werden sollten. Desweiteren werden in einem Überblick Standards bzw. Richtlinien wie ISO 27001 oder das BSI Grundschutzkonzept vorgestellt. Der Beitrag wurde im Rahmen der Trinkwassertagung Thüringen in Erfurt 2017 im Tagungsband veröffentlicht.

IT-Sicherheit in der Wasserversorgung: Schutz kritischer Infrastrukturen (2016)

by: Stefan Schumacher

Informationstechnische Systeme werden in immer mehr industriellen Bereichen eingesetzt. Seien es klassische Regelungstechnische Systeme, SCADA oder Industrie 4.0 und das Internet der Dinge. Auch in der Wasserversorgung gewinnen Automatisierungstechnik und Informationstechnik immer mehr Bedeutung. Trotz des Einsatzes in dieser kritischen Infrastruktur kommt der IT-Sicherheit hier häufig nicht die notwendige Bedeutung zu.

Psychology of Security: A Research Programme (2015)

by: Stefan Schumacher

IT Security is often considered to be a technical problem. However, IT Security is about decisions made by humans and should therefore be researched with psychological methods. Technical/Engineering methods are not able to solve security problems. In this talk I will introduce the Institute's research programme about the Psychology of Security. We are going to research the psychological basics of IT security, including: How do people experience IT security? How are they motivated? How do they learn? Why do people tend to make the same mistakes again and again (Buffer Overflow, anyone?)? What can we do to prevent security incidents? Which curricula should be taught about IT security? It is based on the 2013 talk »Psychology of Security« and also incorporates parts of my 2014 talk »Security in a Post NSA Age?« held at AUSCert Australia and »Why IT Security is fucked up and what we can do about it« held at Positive Hack Days Moscow. This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer

Das IT-Weiterbildungssystem und IT-Sicherheit (2014)

by: Stefan Schumacher

Seit 1997 existieren die neuen/neugeordneten IT-Ausbildungsberufe (Fachinformatiker, IT-Systemelektroniker etc.) welche berufliche Handlungskompetenzen im IT-Umfeld vermitteln sollen. Der Artikel stellt geeignete Weiterbildungsmaßnahmen und Aufstiegsfortbildungen im Rahmen des sogenannten IT-Weiterbildungssystems vor. Dieses beinhaltet unter anderem auch die Möglichkeit, sich als Specialist zum IT Security Coordinator weiterbilden zu lassen.

Vom Cyber-Frieden (2013)

by: Stefan Schumacher

Der Artikel beschreibt den ersten Entwurf einer Strategie zur globalen Cyber-Sicherheit. Dabei lege ich einen besonderen Schwerpunkt auf die Handlungskompetenz der handelnden Akteure und die zugrunde liegende psychologische Forschung.

Vom Cyber-Kriege: Gibt es einen Krieg im Internet? (2012)

by: Stefan Schumacher

Dieser Beitrag untersucht die Frage, ob ein Krieg im Cyberspace möglich ist. Dazu stütze ich mich auf die Kriegs-Definition die Clausewitz aufgestellt hat und wende diese auf die aktuelle Cyberwar-Diskussion an. Ich stelle die aktuellen technischen Möglichkeiten für Cyberattacken in einem kurzen Überblick vor und zeige, wie sich durch die ausbreitende Technik Angriffsvektoren für Cyberattacken öffnen. Außerdem zeige ich, welchen Einfluss die gegenwärtige Entwicklung auf militärische Strategien hat.

Timeo Danaos et dona ferentes: Zur Funktionsweise von Schadsoftware (2012)

by: Stefan Schumacher

Schadsoftware verschiedenster Art, von Viren über Würmer bis zu Trojanern, ist eine ernstzunehmende Gefahr für die Sicherheit aller IT-Systeme weltweit. Dieser Artikel stellt die Grundlegende Funktionsweisen vor und analysiert den Staatstrojaner genauer.

Systemcalls mit Systrace steuern (2011)

by: Stefan Schumacher

Systrace ermöglicht die Überwachung und Steuerung von Systemaufrufen. Dazu benutzt es Richtlinien, die für jedes verwendete Programm definiert werden. Anhand dieser Richtlinie werden Systemaufrufe erlaubt oder verboten. Ebenso kann man einzelne Systemaufrufe unter anderen Benutzerrechten ausführen. Somit ist es möglich, SETUID-Programme als unpriviliegierter Benutzer auszuführen und nur bestimmte Systemaufrufe mit Root-Rechten auszuführen. Systrace erlaubt daher die Implementierung einer feingranulierten Sicherheitsrichtlinie, die sogar Argumente von Systemaufrufen überprüfen kann.

Daten sicher löschen (2011)

by: Stefan Schumacher

Die Hauptaufgabe eines Systemadministrators sind Schutz und Verfügbarmachung von Daten. Doch Daten müssen teilweise wieder sicher vernichtet werden. Dies ist beispielsweise der Fall, wenn alte Rechner oder Datenträger ausgesondert werden oder gesetzliche Aufbewahrungsfristen überschritten werden. In diesem Artikel wird gezeigt, welche Methoden zur sicheren Datenlöschung existieren, was bei den verschiedenen Datenträgern zu beachten ist und wie man die Datenvernichtung bereits im Vorfeld plant.

Die psychologischen Grundlagen des Social Engineerings (2011)

by: Stefan Schumacher

Social-Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkorenhat. Stattdessen wird hier viel lieber – und vor allem effizienter – der Mensch, bzw.sein Verhalten angegriffen. Dieser Artikel zeigt, wie Social-Engineering funktioniert underklärt die zugrundeliegenden Tricks anhand sozialpsychologischer Studien und Experimente.Außerdem werden Beispiele, Warnsignale und Gegenmaßnahmen vorgestellt.Er richtet sich an Sicherheitsverantwortliche und Systemadministratoren, die verstehenwollen, wie Social-Engineering funktioniert und dieses Wissen in ihre Sicherheitsmaßnahmenintegrieren wollen.

Dieser Artikel wurde ursprünglich im Tagungsband zum GUUG FFG 2009 (ISBN 978-3-86541-322-2) erstveröffentlicht.