Informationssicherheit in Versorgungsunternehmen umsetzen: Einige praktische Erfahrungen

by: Stefan Schumacher
Versorgungsunternehmen sind als Betreiber kritischer Infrastrukturen vielfältigen Angriffen aus dem Internet ausgesetzt. Sowohl einfache Bürorechner, Abrechnungssystem als auch Industriesteuerungsanlagen werden regelmäßig von verschiedenen Akteuren attackiert. Darunter fallen auch ungezielte automatisierte Massenangriffe. Der Beitrag zeigt, wie Sie Ihre Infrastruktur vor Angriffen schützen können, wie Sie dazu strategisch vorgehen müssen und welche technisch-organisatorische Maßnahmen implementiert werden sollten. Desweiteren werden in einem Überblick Standards bzw. Richtlinien wie ISO 27001 oder das BSI Grundschutzkonzept vorgestellt. Der Beitrag wurde im Rahmen der Trinkwassertagung Thüringen in Erfurt 2017 im Tagungsband veröffentlicht.

Sicherheitsfaktor Mensch

by: Stefan Schumacher

  • Citation: Schumacher S. (2018) Sicherheitsfaktor Mensch. in: Managementkompass, 2018/11/2018, S. 16-17,

Zwei-Faktor-Authentifizierung mit Yubikey-Token: Ein kostengünstiges Verfahren

by: Stefan Schumacher

IT-Sicherheit in der Wasserversorgung: Schutz kritischer Infrastrukturen

by: Stefan Schumacher
Informationstechnische Systeme werden in immer mehr industriellen Bereichen eingesetzt. Seien es klassische Regelungstechnische Systeme, SCADA oder Industrie 4.0 und das Internet der Dinge. Auch in der Wasserversorgung gewinnen Automatisierungstechnik und Informationstechnik immer mehr Bedeutung. Trotz des Einsatzes in dieser kritischen Infrastruktur kommt der IT-Sicherheit hier häufig nicht die notwendige Bedeutung zu.

Psychology of Security: A Research Programme

by: Stefan Schumacher
IT Security is often considered to be a technical problem. However, IT Security is about decisions made by humans and should therefore be researched with psychological methods. Technical/Engineering methods are not able to solve security problems. In this talk I will introduce the Institute's research programme about the Psychology of Security. We are going to research the psychological basics of IT security, including: How do people experience IT security? How are they motivated? How do they learn? Why do people tend to make the same mistakes again and again (Buffer Overflow, anyone?)? What can we do to prevent security incidents? Which curricula should be taught about IT security? It is based on the 2013 talk »Psychology of Security« and also incorporates parts of my 2014 talk »Security in a Post NSA Age?« held at AUSCert Australia and »Why IT Security is fucked up and what we can do about it« held at Positive Hack Days Moscow. This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer

Das IT-Weiterbildungssystem und IT-Sicherheit

by: Stefan Schumacher
Seit 1997 existieren die neuen/neugeordneten IT-Ausbildungsberufe (Fachinformatiker, IT-Systemelektroniker etc.) welche berufliche Handlungskompetenzen im IT-Umfeld vermitteln sollen. Der Artikel stellt geeignete Weiterbildungsmaßnahmen und Aufstiegsfortbildungen im Rahmen des sogenannten IT-Weiterbildungssystems vor. Dieses beinhaltet unter anderem auch die Möglichkeit, sich als Specialist zum IT Security Coordinator weiterbilden zu lassen.

Gewusst, wie!: Das IT-Weiterbildungssystem

by: Stefan Schumacher

Psychologische Grundlagen des Social-Engineering

by: Stefan Schumacher
Social-Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkorenhat. Stattdessen wird hier viel lieber – und vor allem effizienter – der Mensch, bzw.sein Verhalten angegriffen. Dieser Artikel zeigt, wie Social-Engineering funktioniert underklärt die zugrundeliegenden Tricks anhand sozialpsychologischer Studien und Experimente.Außerdem werden Beispiele, Warnsignale und Gegenmaßnahmen vorgestellt.Er richtet sich an Sicherheitsverantwortliche und Systemadministratoren, die verstehenwollen, wie Social-Engineering funktioniert und dieses Wissen in ihre Sicherheitsmaßnahmenintegrieren wollen.

  • Citation: Schumacher S. (2014) Psychologische Grundlagen des Social-Engineering. in: Information, /2014, S. 215-230,

Soziale Kompetenzen für Informatiker

by: Stefan Schumacher

Vom Cyber-Frieden

by: Stefan Schumacher
Der Artikel beschreibt den ersten Entwurf einer Strategie zur globalen Cyber-Sicherheit. Dabei lege ich einen besonderen Schwerpunkt auf die Handlungskompetenz der handelnden Akteure und die zugrunde liegende psychologische Forschung.

Wenn der Mini-GAU kommt: Kleine Programme zur Sicherung einzelner Rechner

by: Stefan Schumacher

Timeo Danaos et dona ferentes: Zur Funktionsweise von Schadsoftware

by: Stefan Schumacher
Schadsoftware verschiedenster Art, von Viren über Würmer bis zu Trojanern, ist eine ernstzunehmende Gefahr für die Sicherheit aller IT-Systeme weltweit. Dieser Artikel stellt die Grundlegende Funktionsweisen vor und analysiert den Staatstrojaner genauer.

Vom Cyber-Kriege: Gibt es einen Krieg im Internet?

by: Stefan Schumacher
Dieser Beitrag untersucht die Frage, ob ein Krieg im Cyberspace möglich ist. Dazu stütze ich mich auf die Kriegs-Definition die Clausewitz aufgestellt hat und wende diese auf die aktuelle Cyberwar-Diskussion an. Ich stelle die aktuellen technischen Möglichkeiten für Cyberattacken in einem kurzen Überblick vor und zeige, wie sich durch die ausbreitende Technik Angriffsvektoren für Cyberattacken öffnen. Außerdem zeige ich, welchen Einfluss die gegenwärtige Entwicklung auf militärische Strategien hat.

Wenn der GAU kommt: Datensicherungsstrategie erarbeiten und umsetzen

by: Stefan Schumacher

Daten sicher löschen

by: Stefan Schumacher
Die Hauptaufgabe eines Systemadministrators sind Schutz und Verfügbarmachung von Daten. Doch Daten müssen teilweise wieder sicher vernichtet werden. Dies ist beispielsweise der Fall, wenn alte Rechner oder Datenträger ausgesondert werden oder gesetzliche Aufbewahrungsfristen überschritten werden. In diesem Artikel wird gezeigt, welche Methoden zur sicheren Datenlöschung existieren, was bei den verschiedenen Datenträgern zu beachten ist und wie man die Datenvernichtung bereits im Vorfeld plant.

Die psychologischen Grundlagen des Social Engineerings

by: Stefan Schumacher
Social-Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkorenhat. Stattdessen wird hier viel lieber – und vor allem effizienter – der Mensch, bzw.sein Verhalten angegriffen. Dieser Artikel zeigt, wie Social-Engineering funktioniert underklärt die zugrundeliegenden Tricks anhand sozialpsychologischer Studien und Experimente.Außerdem werden Beispiele, Warnsignale und Gegenmaßnahmen vorgestellt.Er richtet sich an Sicherheitsverantwortliche und Systemadministratoren, die verstehenwollen, wie Social-Engineering funktioniert und dieses Wissen in ihre Sicherheitsmaßnahmenintegrieren wollen.

Systemcalls mit Systrace steuern

by: Stefan Schumacher
Systrace ermöglicht die Überwachung und Steuerung von Systemaufrufen. Dazu benutzt es Richtlinien, die für jedes verwendete Programm definiert werden. Anhand dieser Richtlinie werden Systemaufrufe erlaubt oder verboten. Ebenso kann man einzelne Systemaufrufe unter anderen Benutzerrechten ausführen. Somit ist es möglich, SETUID-Programme als unpriviliegierter Benutzer auszuführen und nur bestimmte Systemaufrufe mit Root-Rechten auszuführen. Systrace erlaubt daher die Implementierung einer feingranulierten Sicherheitsrichtlinie, die sogar Argumente von Systemaufrufen überprüfen kann.

Admins Albtraum: Die psychologischen Grundlagen des Social Engineering, Teil II

by: Stefan Schumacher
Social Engineering ist vielen IT-Sicherheitsbeauftragten als Gefahr bekannt, doch was sich im Detail dahinter verbirgt, wissen die wenigsten. Im zweiten Teil seiner Artikelserie beschreibt Stefan Schumacher weitere Beeinflussungsmethoden und ihre Hintergründe.

Admins Albtraum: Die psychologischen Grundlagen des Social Engineering, Teil I

by: Stefan Schumacher
Mittels Social Engineering kann ein Angreifer über Hochstapelei und Trickbetrug umfangreiche Informationen aus Mitarbeitern herausholen, die ihm weitere Angriffe ermöglichen oder sogar schon die gewünschten Zielinformationen sind. Der erste Teil des Artikels geht auf zahlreiche psychologische Grundlagen ein, die sich Angreifer zu nutze machen.

Admins Albtraum: Die psychologischen Grundlagen des Social Engineering, Teil III

by: Stefan Schumacher
Mittels Social Engineering kann ein Angreifer über Hochstapelei und Trickbetrug umfangreiche Informationen aus Mitarbeitern herausholen, die ihm weitere Angriffe ermöglichen oder sogar schon die gewünschten Zielinformationen enthalten. Der dritte Teil nennt weitere psychologische Grundlagen, die sich Angreifer zu nutze machen.

  • Citation: Schumacher S. (2009) Admins Albtraum: Die psychologischen Grundlagen des Social Engineering, Teil III. in: Informationsdienst IT-Grundschutz, /2009, S. 21-22,

Daten sicher löschen

by: Stefan Schumacher

PostgreSQLs Datenbestände sichern

by: Stefan Schumacher
Dieser Artikel beschreibt die Möglichkeiten Datenbestände aus PostgreSQL zu sichern. Hierzu stehen verschiedene Methoden zur Verfügung, die allesamt über Vor- und Nachteile verfügen. Sie werden näher vorgestellt und bewertet.

Sicherung verteilter Systeme mit Bacula

by: Stefan Schumacher

  • Citation: Schumacher S. (2007) Sicherung verteilter Systeme mit Bacula. in: LinuxTag 2007 Konferenz-DVD, /2007, S. 0-0, http://www.LinuxTag.de/

Systemaufrufe mit Systrace steuern

by: Stefan Schumacher
Systrace ermöglicht die Überwachung und Steuerung von Systemaufrufen. Dazu benutzt es Richtlinien, die für jedes verwendete Programm definiert werden. Anhand dieser Richtlinie werden Systemaufrufe erlaubt oder verboten. Ebenso kann man einzelne Systemaufrufe unter anderen Benutzerrechten ausführen. Somit ist es möglich, SETUID-Programme als unpriviliegierter Benutzer auszuführen und nur bestimmte Systemaufrufe mit Root-Rechten auszuführen. Systrace erlaubt daher die Implementierung einer feingranulierten Sicherheitsrichtlinie, die sogar Argumente von Systemaufrufen überprüfen kann. Dieser Artikel beschreibt die Funktionsweise von Systrace, Aufbau und Erzeugung einer Richtlinie sowie den praktischen Einsatz anhand von zwei Beispielen auf NetBSD.

Sicherung verteilter Systeme mit Bacula

by: Stefan Schumacher
Dieser Artikel stellt Bacula vor, ein Sicherungssystem für verteilte heterogene Systeme. Es arbeitet Client/Server-basiert und verwendet eine Datenbank als Katalog, daher ist es hervorragend geeignet um komplexe Sicherungen durchzuführen. Bacula wird unter der GPL vertrieben, läuft auf fast jedem Unix-artigem Betriebssystem und bietet auch einen Client für MS-Windows an.

Verschlüsselte Dateisysteme für NetBSD

by: Stefan Schumacher
Dieser Artikel stellt zwei Möglichkeiten vor, unter NetBSD verschlüsselte Dateisystem einzusetzen. Diese wären CGD, eine NetBSD-spezifische Lösung, die Partitionen auf Blockebene verschlüsselt und CFS, das im Prinzip eine Art verschlüsselndes NFS ist. Es läuft unter anderem auf *BSD, Linux und Solaris und kann daher portabel sowie im Netzwerk oder auf Wechseldatenträgern eingesetzt werden