Referate ua. zu Daten Recovery und Phishing per Deepfakes an der 43. Ausgabe der Meet Swiss Infosec

«Souverän sicher», das Motto der 43. Ausgabe der MEET SWISS INFOSEC!, bringt den gewünschten Umgang mit Sicherheit auf den Punkt: Beherrscht, besonnen und überlegt sollte er sein. Das Beherrschen von Sicherheit wird durch neue Vorgaben und Rahmenbedingungen aber immer wieder erschwert oder herausgefordert, weiss Gastgeber Reto Zbinden, CEO der Swiss Infosec AG. Am Beispiel des neuen Datenschutzgesetzes (nDSG) zeigt er, welche Schritte für eine erfolgreiche Umsetzung des Gesetzes unbedingt notwendig sind.

Neues Datenschutzgesetz, alte Pendenzen

Diese Umsetzung beschäftigt das Datenschutzteam der Swiss Infosec AG aktuell sehr. «Auffallend ist, dass grundlegende Dokumente wie Datenschutzkonzepte und -weisungen oftmals fehlen oder veraltet sind», sagt Reto Zbinden. Das Erarbeiten und regelmässige Überprüfen dieser Dokumente sei aber essentiell für verantwortungsvoll betriebenen Datenschutz im Sinne des Gesetzes. Gleichzeitig empfiehlt er, den Fokus unbedingt auch auf das Thema Personaldatenschutz zu lenken. Dieser sei beispielsweise durch Online- Recruiting und generell durch die Digitalisierung im Personalbereich stark gefordert.

Ransomware und Recovery

Die immer häufiger auftretenden Ransomware-Attacken hinterlassen Spuren. Nicht überraschend wurde das Thema Recovery (Wiederherstellung von Daten nach einem Angriff) von einigen Referenten prominent erwähnt. Für Marco Fernandez (Veeam) ist denn auch ein sicheres Backup die letzte Verteidigungslinie in einer mehrschichtigen Sicherheitsabwehr gegen Cyberangriffe. Um überhaupt an Recovery zu denken, müssen Organisationen erst wissen, welche (sensiblen) Daten sie wo aufbewahrt haben und wer darauf Zugriff hat. Diese Grundvoraussetzung kam in den Referaten von Nicolas Groh (Rubrik) und Christoph Linden (Cohesity) unmissverständlich zum Ausdruck. Georg Bommer (Data Governance Technologies Ltd) unterstrich die Bedeutung von intelligenter Datenklassifizierung in seinem Referat.

Trends und Entwicklungen in der IT-Sicherheit

Organisationen werden immer wieder vor neue Herausforderungen gestellt, wenn es darum geht, sich zu schützen. Ob Homeoffice, Infrastrukturdienste in der Cloud, Cloud Apps (M365), exponierte Services oder IoT: Aktuell sind es insbesondere dezentrale IT Assets, denen herkömmliche Netzwerksicherheitsansätze nicht mehr gewachsen sind, für die die IT-Sicherheit Lösungen sucht und findet. Niklaus Manser (Swiss Infosec AG) erläuterte am Beispiel Perimetersicherheit den Weg hin zu Secure Service Edge (SSE) und ging auf das sehr wichtige Thema «Identity & Access Management» ein.

Take a deep breath: Deepfakes auf dem Vormarsch

Grosses Kino für das Thema Deepfakes und grosser Auftritt für den Mediamatiker Kai Yu (Swiss Infosec AG). In seinem Video, das er im Rahmen seiner Ausbildung zum Mediamatiker als Individuelle Projektarbeit erstellt hat, zeigte er interessante Hintergründe zu Deepfakes und wie Phishing per Deepfakes ganz real funktioniert. Deepfakes sind digitale Fälschungen von Gesichtern, Körpern, Szenen etc., die mit Künstlicher Intelligenz (KI) erstellt werden. Sie sind mittlerweile so realistisch, dass sie von der echten Person kaum mehr zu unterscheiden sind. Angreifer bedienen sich deshalb immer öfter dieser Methode, um an vertrauliche Informationen zu gelangen oder gewünschte Aktionen zu provozieren. Für Kai Yu ist klar, «dass Deepfakes ein elementarer Bestandteil für Cyberangriffe im Social Engineering-Bereich sein können.» Umso wichtiger ist die Sensibilisierung von Mitarbeitenden auch für diese neue Form von Phishing. Die Swiss Infosec AG bietet als erstes Unternehmen in der Schweiz solche Phishing- Simulationen per Deepfakes an.

Eine unaristotelische Keynote zum Schluss

«Wie wird Technologie in Balance mit Ethik und Nachhaltigkeit gebracht?» Mit dieser Frage startete Prof. Dr. Edy Portmann seine mit «unaristotelisch» überschriebene Keynote. Für ihn steht ausser Zweifel, dass die zweiwertige, messbasierte Boolean Logic, die nur richtig oder falsch, 1 oder 0 kennt, nicht die Antwort auf diese Frage ist. Vielmehr brauche es für diese und andere Herausforderungen (Stichwort KI) ein wahrnehmungsbasiertes Modell wie die Fuzzy Logic (fuzzy = verschwommen). Denn wie einer der Vertreter dieses Modells, Lotfi Zadeh, sagte: «Mit zunehmender Komplexität verlieren präzise Aussagen an Bedeutung und bedeutungsvolle Aussagen an Präzision.» Selbstredend stand «Wahrnehmung» dann auch im Zentrum von Edy Portmanns hochspannenden Ausführungen unter dem Titel «Wo Psychologie auf Linguistik und Ingenieurwissenschaft trifft».

Auf Wiedersehen an der MEET SWISS INFOSEC! am 24. Januar 2024

Nach der MEET SWISS INFOSEC! ist vor der MEET SWISS INFOSEC!. Noch sind die Ideen dafür etwas «fuzzy», was, wie man nun weiss, aber durchaus ein gutes Zeichen ist. Man darf gespannt sein und bleiben. In diesem Sinne auf Wiedersehen am 24. Januar 2024 an der nächsten MEET SWISS INFOSEC!

Die Swiss Infosec AG mit Sitz in Sursee gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Das Unternehmen wurde 1989 gegründet und beschäftigt zusammen mit dem Schwesterunternehmen Swiss GRC AG über 75 Mitarbeitende, die im Bereich der Integralen Sicherheit bisher über 2500 Projekte von kleinen und grossen Kunden aus allen Branchen begleiteten. www.infosec.ch