IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy


Drohnen und Autos – und Sicherheit ?

Audi macht jetzt (in Großbrittanien) Reklame für ein neues Modell, das den Fahrer vor dem Angriff der Paket-Transporter-Drohnen schützt. Sehr schön inszeniert und gefilmt.

Ein starker Audi als Retter vor den Drohnen

Allein, soll das die Message für Sicherheit sein ?

1. Ein Manager, der offenbar angesichts einer sich abzeichnenden Gefährdung die Nerven und Führungsstärke verliert: Das ist m.E. nicht schimpflich, denn dafür gibt es einen Krisenmanager, und der Krisen- oder Notfallmanager muss nicht mit dem Vorstandsvorsitzenden oder Geschäftsführer identisch sein. Es werden einfach in einer Krise andere Fähigkeiten benötigt als im Tagesgeschäft. I.d.R. wird es aber schon eine Führungskraft von der Spitze der Einheit sein.

2. Ein Krisenmanager, der vor Allem sich selbst rettet: Ein sehr guter Hinweis, denn auch in der Krise greifen psychologische Muster, und dazu gehört der Überlebenswille und seine Folgen. Es heißt ja immer im BCM, dass Menschenleben zuerst geschützt werden, dann die Assets. Aber gilt das auch für den Kapitän, siehe das Beispiel von Herrn Schettino (was einen eigenen Beitrag wert ist) ? Ein Notfallplan sollte also beachten, dass keine Aktionen eingeplant werden, die für einzelne Beteiligte schwerwiegende negative Folgen haben. Erfolgreiches Notfallmanagement gedeiht am besten, wenn Probleme ohne Schuldzuweisung gelöst werden.

3. Der Rest löst sich in Panik auf: Das passiert, wenn vorher nicht geübt wurde. Doch wie übt man unvorhergesehende Gefährdungen ? Doch, es geht, denn auch hierfür können Verhaltensmuster gefunden und aktiviert werden. Allerdings erfordert das einen am Menschen orientierten Ansatz für Training und Übung.

Und überhaupt nimmt der Clip nicht nur “Die Vögel” von Hitchcock zum Vorbild, sondern knüpft nahtlos an die Imagewerbung in “iRobot” an. Ein Film, der wiederum die Gefährdung durch zentralisierte Updates als ein Moment verwendet, bei dem es einem leicht gruselt. In kleinerem Maßstab kennt den Grusel die Softwaredistribution und Patchmanagement: Wenn nun doch mal nach einem allgemeinen Patch sämtliche PCs gescratched werden, oder eine fehlerhafte Berechnung in Excel verteilt wird ? Pardon, aber ich habe beides schon in Ansätzen erlebt. Und das bei herumfliegenden Drohnen ? Oder bei automatisch gesteuerten Autos ?

Das Thema Drohnen wird übrigens in Frankreich aktuell mehr diskutiert als in Deutschland, das ist zumindest mein Ferneindruck. Nun aber erst mal gute Unterhaltung.

Advertisements


Hessens Schulen und Soziale Plattformen

Heute kam eine Nachricht im Hessischen Rundfunk, dass das Kultusministerium des Landes (endlich) verkündet habe, dass Schulen keine verbindlichen Nachrichten über Facebook verbreiten sollen. Überhaupt soll diese wie auch andere privat-öffentliche Plattformen nur restriktiv genutzt werden.

Als ich nach der Nachricht recherchiert habe, konnte ich sie selbst auf der Website des HR (hr-online.de) nicht mehr finden, dafür aber ältere Nachrichten mit dem selben Thema. Die Nutzung sozialer Plattformen, und immer wieder insbesondere Facebook, wurde in den letzten Jahren schon mehrfach angesprochen und öffentlich diskutiert.

So etwa

Continue reading


Hillary Clinton’s Email – When the boss doesn’t want to comply

This is the one thing where you wouldn’t like to be the resonsible Information Security Officer, or what else title you’ve been allocated: When the boss doesn’t care about the security policies, and she does just what she believes is the right way.

That is what upset me most on the current Clinton story turning into wild and may end any further political ambition of Ms. Hillary Clinton. The only comforting element in all this mess is the attention focused on the proper ways to deal with e-mail in organizations, and I hope people understand that this is not a problem for the sole State Department, but for any organization, that e-mail is written mail committing the body that is associated to it.

And of course it seems sheer unbelievable to me that never ever has any classified information or data been transmitted via the Clinton server that served the mails. No, please, do not investigate into further details.

Continue reading


Phishing FBI – why ? Jedenfalls professionnell !

Im letzten Beitrag hatte ich mich gewundert, dass das FBI mir 8 Millionen anbietet.

it-governance versuchte gerade eine Antwort. Wichtigstes Fazit: Phishing wird professionnell gemacht, auch die Fehler. Dies sei der Grund, warum manche Fakes so offenkundig fehlerhaft sind, vom inkongruenten Betreff bis zu Orthographie-Fehlern im Text. Damit würden gebildete Empfänger als Antworter ausgeschaltet.

Aus eigener Beobachtung will ich mal wieder die Administratoren und Power-User darauf hinweisen, dass auch sie eine Zielgruppe sind, die Zielgruppen gerecht angesprochen wird. Wir sind alle empfänglich für bestimmte Reizworte, die uns dann den mehr oder weniger versteckten Angriff übersehen lassen. So wird ein Admin kaum auf eine Aufforderung reagieren, ein Kennwort zu übermitteln. Aber einen hilfreichen Link anklicken, der fast so geschrieben ist wie die URL eines namhaften Herstellers, dazu kann man sie oder ihn schon verleiten.

Was hilft dagegen ?

  • Wahrnehmen, was kommt da auf mich zu ?
  • Passt das zu aktuellen Ereignissen in meinem Umfeld ?
  • Angebotene Links erst lesen, dann verbinden – oder auch nicht verbinden !

Was bleibt ?

Tarnen und Täuschen gibt es virtuellen wie im physischen Leben. Und auch im physischen Leben passe ich mal mehr und mal weniger auf.  Die grauen Briefe von erfundenen Bundesämtern sind seltener geworden, aber ich erkenne sie immer noch, und komme den Zahlungsaufforderungen nicht nach.

it-governance


The FBI pretends to donate me 8 million

Yes, eight million dollars.

You do not believe ? Look at this snapshot of an e-mail I recently received.

FBI mail about eight million

FBI mail about eight million

Now, what I am wondering is – who falls to such a simple trick ?

But it seems that people, though not blindly believing the text of such a message, get a feeling that they are addressed in person, and that they should find out, who is cheeting them. So they click here and there or reply to the mail.

No – don’t do that. Do not try to investigate on your own if you are not well prepared and know a lot of the ways the guys behind it act. Just delete it. Do not try to understand. Do not feel personally hurt. Just delete it. And keep on doing what you intended to do before.


Contre le harcèlement – Safer Internet Day 2015

Dans le monde du business on en a presque pas pris note: le Safer Internet Day 2015, qui a eu lieu le 10 février 2015. On parle beaucoup de l’awareness dans les milieus de le sécurité de l’information, mais on laisse passer des occasions pareilles. Je ne fais pas exception.

C’est vrai aussi que cette action  mondiale s’adresse d’abord jeunes. Mais ce sont ces jeunes qui, quelques années après, entreront dans les entreprises, pleins d’envergure, et doivent se conformer aux règles d’un usage sécurisé et soumis à des contraintes due à la sécurité. Alors, mieux vaut de soutenir des actions pareilles.

voir par exemple tice


Safer Internet Day – did you know ?

On Tuesday, 10th of February, a global campaign took place called Safer Internet Day. Looks beeing an attempt to raise awareness on safety in the use of that fascinating internet by teens and twens. Though on the other hand, the use of so called social media is boringly trivial to the kids.

Honestly, I missed the date and only stumbled over it by some other newsletter which took also notice – afterwards.

Did anyone around here make use of this virtual event for his awareness programme ?

Safer Internet site