Flugobjekte mit biologischen Kampfstoffen, Motorsäge oder Pistole: 140 Risiken durch Drohnen hat der Sicherheitsexterte Dominique Brack gesammelt. Die geplanten Angriffe sind dabei gar nicht die schlimmsten.
Der für das Schweizer Telekommunikationsunternehmen Swisscom tätige Sicherheitsexperte Dominique Brack analysiert zusammen mit anderen Anbietern kritischer Infrastrukturen mögliche Angriffsszenarien mit kommerziell erhältlichen Drohnen. Auf der Sicherheitskonferenz Deepsec in Wien hat er seine Ergebnisse vorgestellt.
Cyber-Risiken bedrohen Steuerberater und Rechtsanwältepr-artcontact
Auf die stetig steigende Bedrohung hat CONAV Consulting reagiert und mit dem Spezialversicherer Markel den in der Form in Deutschland bisher einzigartigen VSH-ON-TOP-SCHUTZ geschaffen, der auf bestehende Lücken und Unterdeckungen bereits vorhandener VSH-Verträge reagiert. Diese wirkungsvolle Lösung mit den neuen Bausteinen der Cyber- und Hackerschutzdeckung, kann ab sofort genutzt werden. Ergänzend dazu bietet CONAV eine Eigenschadendeckung an, um Kammer-berufe gegen das dynamisch wachsende Risiko des finanziellen Eigenschadens, zum Beispiel bei einem Stillstand der Kanzlei durch einen Virus,
www.opitz-consulting.com
Die IT ist schon lange im Cockpit angekommen, und die Geschäftsprozesse in der Luftfahrtindustrie sind ohne IT gar nicht mehr vorstellbar. Aber: Kann die IT ihrerseits auch etwas von einer über 100 Jahre alten und hoch professionalisierten Branche übernehmen?
Durchaus, meint der Autor dieser Präsentation, der selbst von klein auf luftfahrtbegeistert und seit 18 Jahren Pilot ist: Im Vergleich zu Erfahrungen aus dem IT-Betrieb beleuchtet er in diesem Sinne u. a. die folgenden Themen:
- Umgang mit eigenen und fremden Fehlern
- Reaktion auf Probleme im Betrieb
- Effiziente Kommunikation
- Checklisten und gesunder Menschenverstand
- Hinterfragen von Autorität
- Trainieren von Krisensituationen
Unser Experte Uwe Küchler hielt diesen Vortrag am 15.11.2016 bei der DOAG Konferenz in Nürnberg.
Wie können sich Unternehmen und Privatnutzer gegen Internetkriminalität schützen? Die Anstöße des BSI-Präsidenten Arne Schönbohm nehmen die Teilnehmer des RP-Wirtschaftsforums „Sicherheit in Deutschland“ zum Anlass für eine Diskussion über das Thema IT- und Cybersicherheit.
„Das Thema Sicherheit wird immer noch klar zwischen virtuellen und realen Gefahren unterschieden“, weiß Uwe
Gerstenberg als Sicherheitsberater aus der Praxis zu berichten, aber eigentlich müsse die Sicherheitsstrategie „vireale“ Gefahren berücksichtigen: „Einem mittelständischen Unternehmer ist es doch egal, ob er seine Kundendaten durch einen Einbruch oder durch eine gehackte Firewall verliert. Hier
müssen die Sicherheitsverantwortlichen umdenken und sich mehr auf die tatsächlichen Risiken konzentrieren.“
Das Forum spiegele die Vielschichtigkeit der Sicherheitsbranche, freute sich Uwe Gerstenberg vom Beratungsunternehmen consulting plus, der das Forum mit initiiert hatte. Aus seiner Erfahrung weiß der Sicherheitsexperte, dass viele Fragestellungen bislang nur
branchenintern diskutiert worden seien. Gerstenberg begrüßte
daher die Chance des Forums für die Branche, „als
Botschafter für das Thema Sicherheit nach außen zu treten“.
Risikowahrnehmung und Absicherung bei den AgenturenHiscoxDeutschland
Wissen Kreative um die Gefahren, die in Ihrem Beruf lauern und sind sie dagegen versichert? Die Studie von Hiscox beleuchtet die Risikowahrnehmung der Agenturen und zeigt die Diskrepanz zwischen Werbe-, PR-, Grafik- und Marketingagenturen.
Cyber-Risiken bedrohen Steuerberater und Rechtsanwältepr-artcontact
Auf die stetig steigende Bedrohung hat CONAV Consulting reagiert und mit dem Spezialversicherer Markel den in der Form in Deutschland bisher einzigartigen VSH-ON-TOP-SCHUTZ geschaffen, der auf bestehende Lücken und Unterdeckungen bereits vorhandener VSH-Verträge reagiert. Diese wirkungsvolle Lösung mit den neuen Bausteinen der Cyber- und Hackerschutzdeckung, kann ab sofort genutzt werden. Ergänzend dazu bietet CONAV eine Eigenschadendeckung an, um Kammer-berufe gegen das dynamisch wachsende Risiko des finanziellen Eigenschadens, zum Beispiel bei einem Stillstand der Kanzlei durch einen Virus,
www.opitz-consulting.com
Die IT ist schon lange im Cockpit angekommen, und die Geschäftsprozesse in der Luftfahrtindustrie sind ohne IT gar nicht mehr vorstellbar. Aber: Kann die IT ihrerseits auch etwas von einer über 100 Jahre alten und hoch professionalisierten Branche übernehmen?
Durchaus, meint der Autor dieser Präsentation, der selbst von klein auf luftfahrtbegeistert und seit 18 Jahren Pilot ist: Im Vergleich zu Erfahrungen aus dem IT-Betrieb beleuchtet er in diesem Sinne u. a. die folgenden Themen:
- Umgang mit eigenen und fremden Fehlern
- Reaktion auf Probleme im Betrieb
- Effiziente Kommunikation
- Checklisten und gesunder Menschenverstand
- Hinterfragen von Autorität
- Trainieren von Krisensituationen
Unser Experte Uwe Küchler hielt diesen Vortrag am 15.11.2016 bei der DOAG Konferenz in Nürnberg.
Wie können sich Unternehmen und Privatnutzer gegen Internetkriminalität schützen? Die Anstöße des BSI-Präsidenten Arne Schönbohm nehmen die Teilnehmer des RP-Wirtschaftsforums „Sicherheit in Deutschland“ zum Anlass für eine Diskussion über das Thema IT- und Cybersicherheit.
„Das Thema Sicherheit wird immer noch klar zwischen virtuellen und realen Gefahren unterschieden“, weiß Uwe
Gerstenberg als Sicherheitsberater aus der Praxis zu berichten, aber eigentlich müsse die Sicherheitsstrategie „vireale“ Gefahren berücksichtigen: „Einem mittelständischen Unternehmer ist es doch egal, ob er seine Kundendaten durch einen Einbruch oder durch eine gehackte Firewall verliert. Hier
müssen die Sicherheitsverantwortlichen umdenken und sich mehr auf die tatsächlichen Risiken konzentrieren.“
Das Forum spiegele die Vielschichtigkeit der Sicherheitsbranche, freute sich Uwe Gerstenberg vom Beratungsunternehmen consulting plus, der das Forum mit initiiert hatte. Aus seiner Erfahrung weiß der Sicherheitsexperte, dass viele Fragestellungen bislang nur
branchenintern diskutiert worden seien. Gerstenberg begrüßte
daher die Chance des Forums für die Branche, „als
Botschafter für das Thema Sicherheit nach außen zu treten“.
Risikowahrnehmung und Absicherung bei den AgenturenHiscoxDeutschland
Wissen Kreative um die Gefahren, die in Ihrem Beruf lauern und sind sie dagegen versichert? Die Studie von Hiscox beleuchtet die Risikowahrnehmung der Agenturen und zeigt die Diskrepanz zwischen Werbe-, PR-, Grafik- und Marketingagenturen.
Intensity levels social engineering engagement framework (seef) first cut d...Reputelligence
Intensity Levels
Intensity level ratings are a unique feature of SEEF’s methods.
The intensity levels are represented by a table of levels ranging
from 1–12, with Level 1 being the least risky and Level 12 the
highest possible risk. The table can be used for planning and scoping social engineering engagements, on a personal level or as company policy. Attack vectors are also developed and based on predefined intensity levels. Levels 1– 3 (green) represent low risk and small potential for legal implications. The green levels mainly contain Open Source Intelligence (OSINT), limited scope (local/ national) and preservation of a person’s or company’s integrity. Levels 4–6 (orange) are medium risk with potential for legal ramifications and include invasive, intrusive or ethically questionable, international or VIP engagements. Levels 7–-9 (red) involve coercion, felonies, high-profile political or medially present organizations or individuals, and risk of collateral damages. Levels 10-12 (black) are highly
illegal, including treason, breach of international law, possible death sentences, cyber warfare, industrial espionage, and loss of lives. Donot engage!
DRONES THE NEW WEAPON OF CHOICE - ALSO FOR HACKERSReputelligence
My talk will be about drone threats in general and how you can assess drone based threats. I will show the comprehensive threat assessment methodology and the countermeasures you can take against the drone threat. The threat assessment is based on a catalog of about 140 items. Particularly interesting will be looking at the drone threats in relation to:
Planting payload at specific locations (i.e. hacking equipment transported to target location for instance)
Tampering communication equipment with the help of drones
Insider threat communicate with an insider with the help of a drone
Hacking the communication of a drone
Privacy violations
etc.
Das Internet of Things (IoT) verbreitet sich immer mehr, wegen seiner rasanten Entwicklung gerät die Informationssicherheit ins Hintertreffen. Neue Technologien wie Quantum Computing ver schärfen die Situation zusätzlich. Bewährte Sicherheitsmechanismen wie Verschlüsselung
bieten künftig nicht mehr genügend Sicherheit, sobald
der erste Quantum Computer verfügbar sein wird.
Dominique C. Brack, known as D#fu5e and VP of operations at social engineering engagement framework (SEEF), will release the first known human-to-social-engineering interface, today.
The SEEF human-to-social-engineering interface is a powerful visual tool, allowing users to set social engineering parameter of an individual person, without having to think.
Until today, social engineering had no human-to-social-engineering interface to plant social engineering attack vectors in a detailed and appealing way.
Business shoes looking inconspicuous but still enough power to climb a wall o...Reputelligence
Everyone knows business shoes and everyone knows climbing shoes or the soles used by most of them. I never understood why business shoes have this stupid slippery useless soles on them.
It was always my dream to create a combination of a great business shoe with a great sole. My local shoemaker created this wonder for me after my wife encourage me to ask him if he could such a thing. Took some convincing though – since no one does this and it could go wrong.
It got them for my birthday. You can do this with any business shoe. The hard part is finding a capable shoemaker for mounting your Vibram soles onto a pair of business shoes.
As shoe I used a local known Swiss brand Fretzmen. If you want the contact details of my capable shoemaker let me know.
Press release social engineering engagement framework seef social engineering...Reputelligence
BURGISTEIN, Switzerland, September 1st 2016 - Dominique C. Brack, known as D#fu5e and VP of operations at social engineering engagement framework (SEEF), will release the first known social engineering icons, today.
The SEEF social engineering Icons are a powerful visual tool, allowing users to identify a message, without having to think. People recognize icons faster than words. Visual perception is one of the most productive ways through which people can obtain information and process it.
Until today, social engineering had no icons to describe social engineering attack vectors in a detailed and appealing way. The extensive collection of social engineering icons includes icons for: well-known attack vectors, like phishing, dumpster diving, tailgating, or eavesdropping, and for less known attack vectors like: befriending, reciprocation, shoulder surfing, or impersonation. In total, there about 38 icons.
Press release social engineering engagement framework seef social engineering...Reputelligence
BURGISTEIN, Switzerland, September 1st 2016 - Dominique C. Brack, known as D#fu5e and VP of operations at social engineering engagement framework (SEEF), will release the first known social engineering icons, today.
The SEEF social engineering Icons are a powerful visual tool, allowing users to identify a message, without having to think. People recognize icons faster than words. Visual perception is one of the most productive ways through which people can obtain information and process it.
Until today, social engineering had no icons to describe social engineering attack vectors in a detailed and appealing way. The extensive collection of social engineering icons includes icons for: well-known attack vectors, like phishing, dumpster diving, tailgating, or eavesdropping, and for less known attack vectors like: befriending, reciprocation, shoulder surfing, or impersonation. In total, there about 38 icons.
“Intrusion attempts are more and more frequent and sophisticated, regardless of their target (state or corporation). In this context, international hacking events are multiplying. Hack In Paris attendees will discover the realities of hacking, and its consequences for companies.
“The program includes state of the art IT security, industrial espionage, penetration testing, physical security, forensics, malware analysis techniques and countermeasures.
The one-week event consists of three days of training and two days of conferences – all in English – bringing together security officers (CISOs, CIOs) and hacking technical experts.
Hack in Paris is being held from the 27th June – July 1st 2016 at la Maison De la Chimie, Paris.
Sneak peek preview area 41 conference Zürich 10. - 11- June 2016 Reputelligence
Meet me at the http://area41.io/ conference #area41 #a41con. Join my session on June 11th afternoon. I will reveal some exclusive social engineering content. Here a sneak peak preview. Cheers Dom
The premier technical security conference in Switzerland organized by DEFCON Switzerland. The next Area41 conference will be held June 10.-11.2016 in Zurich
If you are observing the social engineering landscape in terms of social engineers, documentation, and frameworks out there, you will realize the topic has, as we call it, a low maturity. Low maturity means there are no well-defined processes or defined frameworks in which professionals can apply and benchmark themselves. Today’s landscape is little like the Wild West. There is lot of fear, uncertainty, and doubt (FUD).
With SEEF we want to oppose this situation. As you maybe have seen, our motto is visible on the book covers badge: Docendo – Discimus. It is a Latin proverb and means: “By teaching, we learn.” This is what we want. We want to teach anyone interested in social engineering the skills to do it properly, professionally, and ethically. This is Social Engineering Engagement Management (SEEF) — FIRST CUT. It is literally the first cut of the framework that we have pioneered and want to share.
May 2014 There was a line up to the problem. It was not sudden. There was time to fix the problem without shortcuts (1 year). Before the problem got out of hand (involvement of authorities).
Big mistake N#1 (unintentionally or intentionally): Volkswagen tells regulators that the differences amount to technical issues and "unexpected" test conditions. First try to cover up or the start of workarounds? Protective statement.
Recall in December 2014. Because the problem couldn't be fixed? The intention to “doctor” could also have been started here.
May 2015 next governmental involvement. Second chance to make things right i.e. coming forward or disclose voluntarily.
July 2015 point of no return. Third chance for a coming out or getting a handle on the problem.
September 2015 problem total out of control on all levels; politically, technically, environmentally, reputation wise.
Reputelligence Lifecycle v3 Volkswagen example Reputelligence
This is lifecycle applied to the Volkswagen "defeat device" problem. It show the lead up to the eruption of the problem on September 18th. Many things followed after that but they will be analysed in another problem lifecycle zooming in on those dates.
«Se Klaud Brojäkt bräiks daun – wot is se först sing yu du?» Hä?Reputelligence
Cloud readiness can be reduced to one simple statement. You don't need a maturity assessment or expensive consultants :-). Have you a working information classification policy? f yes: congratulations you can go now you will be fine. «Se Klaud Brojäkt bräiks daun – wot is se först sing yu du?»
Hä?
U blame se Se Ei O.
No no no, you dreamer you hä dream on. Ei tell dir okey.
Se sewen sinking steps.
1. Finding the right (or left) broblem to solve
2. Sefining the broblem
3. Analysing the broblem
4. Developing bossibilities
5. Selecting se best solution
6. Implementing
7. Evaluating and lörning
Reputelligence power point template lifecycle v3Reputelligence
Today, good news -- or bad news -- breaks in real time. And anything can go viral in short order. This is great for cute babies laughing in videos, or heart-warming tales of good deeds. It's not great, however, for the unexpected, inevitable crisis that any organization will face in its existence at some point. Luckily, nothing in the social media world is too much different than in the "real world."
What is the problem you might ask?
Problems (real- and digital world) usually follow a very specific pattern and dynamic. Understanding the patterns and dynamic behind will significantly improve resiliency. When does an incident become a crisis?
Managing a massive crisis is very difficult because of the information asymmetry.
Defining where you stand in a crisis is even more difficult.
Complex problem or crisis management requires specific techniques and tools. Numerous examples of bad crisis management are known to everyone. If you are managing a crisis from the inside you need actual up to date information on the current situation (where are we) and next steps (what are we going to do next). So far this was a very hard task. Either you have been at the will of a hopefully decent crisis manager or PR firm.
The lack of transparency always bugged me. I was to set out to look for ways of making the problem mangement or crisis management process more transparent for everyone involved.
I always take a highly strategic view of things and aim for practical application and simplification.
Out of this came the Reputelligence™ Problem LifeCycle. At first it looks overwhelming but i will guide you through the construction. This will help you understand the principles behind the life-cycle so you can apply it in your context.
Security agility- dynamic policy creation and rolloutReputelligence
The following example of a recent story is the perfect analogy for dynamic policy creation. The Swiss MediaMarket (Electronics Chain) reacted amicably when we were presented with a heat wave. All over the news people where warned about the topic of leaving your children or your pets in the car. Unfortunately there where fatalities due to the practice of leaving small children in the car. There was a lot of talk but MediaMarkt spun into action. This story has all the ingredients for future security (advanced persistent threats) APT's and how you will have to deal with them. The same process' will have to be applied to your policy framework.
Hack back series data is an asset - registration strategies v0.1Reputelligence
If there is just one thing you need to remember about information security it's this: "Data is an asset & asset = money"
This is all there is you need to know for information security. I also work on volunteering for a hacker high school project and the most important thing about security I try to teach the teenagers is this. "Data is an asset"
Usually I do it this way: I will have some coins at hand for this. Then I make a list together with the teenagers with attributes they use for registration for a so called "free" service. "If it's free then U are the product in some way or form". The problem with data is an asset is: it's abstract. Giving away information bytes is painless, easy and of no consequence in the first place. So I need to make a connection for the teenagers to remember or to link in the brain: data is an asset. Now the abstract concept of "Data is an asset" has been linked. The discussions becomes focused around: what do I get in return for the money (asset: your name) I paid for. Where is my freedom? Why do I don't get money if people are making money from my data and information (advertising). I should get paid if my information is used to make profit. I shouldn't reveal my information too easily.
Intensity levels social engineering engagement framework (seef) first cut d...Reputelligence
Intensity Levels
Intensity level ratings are a unique feature of SEEF’s methods.
The intensity levels are represented by a table of levels ranging
from 1–12, with Level 1 being the least risky and Level 12 the
highest possible risk. The table can be used for planning and scoping social engineering engagements, on a personal level or as company policy. Attack vectors are also developed and based on predefined intensity levels. Levels 1– 3 (green) represent low risk and small potential for legal implications. The green levels mainly contain Open Source Intelligence (OSINT), limited scope (local/ national) and preservation of a person’s or company’s integrity. Levels 4–6 (orange) are medium risk with potential for legal ramifications and include invasive, intrusive or ethically questionable, international or VIP engagements. Levels 7–-9 (red) involve coercion, felonies, high-profile political or medially present organizations or individuals, and risk of collateral damages. Levels 10-12 (black) are highly
illegal, including treason, breach of international law, possible death sentences, cyber warfare, industrial espionage, and loss of lives. Donot engage!
DRONES THE NEW WEAPON OF CHOICE - ALSO FOR HACKERSReputelligence
My talk will be about drone threats in general and how you can assess drone based threats. I will show the comprehensive threat assessment methodology and the countermeasures you can take against the drone threat. The threat assessment is based on a catalog of about 140 items. Particularly interesting will be looking at the drone threats in relation to:
Planting payload at specific locations (i.e. hacking equipment transported to target location for instance)
Tampering communication equipment with the help of drones
Insider threat communicate with an insider with the help of a drone
Hacking the communication of a drone
Privacy violations
etc.
Das Internet of Things (IoT) verbreitet sich immer mehr, wegen seiner rasanten Entwicklung gerät die Informationssicherheit ins Hintertreffen. Neue Technologien wie Quantum Computing ver schärfen die Situation zusätzlich. Bewährte Sicherheitsmechanismen wie Verschlüsselung
bieten künftig nicht mehr genügend Sicherheit, sobald
der erste Quantum Computer verfügbar sein wird.
Dominique C. Brack, known as D#fu5e and VP of operations at social engineering engagement framework (SEEF), will release the first known human-to-social-engineering interface, today.
The SEEF human-to-social-engineering interface is a powerful visual tool, allowing users to set social engineering parameter of an individual person, without having to think.
Until today, social engineering had no human-to-social-engineering interface to plant social engineering attack vectors in a detailed and appealing way.
Business shoes looking inconspicuous but still enough power to climb a wall o...Reputelligence
Everyone knows business shoes and everyone knows climbing shoes or the soles used by most of them. I never understood why business shoes have this stupid slippery useless soles on them.
It was always my dream to create a combination of a great business shoe with a great sole. My local shoemaker created this wonder for me after my wife encourage me to ask him if he could such a thing. Took some convincing though – since no one does this and it could go wrong.
It got them for my birthday. You can do this with any business shoe. The hard part is finding a capable shoemaker for mounting your Vibram soles onto a pair of business shoes.
As shoe I used a local known Swiss brand Fretzmen. If you want the contact details of my capable shoemaker let me know.
Press release social engineering engagement framework seef social engineering...Reputelligence
BURGISTEIN, Switzerland, September 1st 2016 - Dominique C. Brack, known as D#fu5e and VP of operations at social engineering engagement framework (SEEF), will release the first known social engineering icons, today.
The SEEF social engineering Icons are a powerful visual tool, allowing users to identify a message, without having to think. People recognize icons faster than words. Visual perception is one of the most productive ways through which people can obtain information and process it.
Until today, social engineering had no icons to describe social engineering attack vectors in a detailed and appealing way. The extensive collection of social engineering icons includes icons for: well-known attack vectors, like phishing, dumpster diving, tailgating, or eavesdropping, and for less known attack vectors like: befriending, reciprocation, shoulder surfing, or impersonation. In total, there about 38 icons.
Press release social engineering engagement framework seef social engineering...Reputelligence
BURGISTEIN, Switzerland, September 1st 2016 - Dominique C. Brack, known as D#fu5e and VP of operations at social engineering engagement framework (SEEF), will release the first known social engineering icons, today.
The SEEF social engineering Icons are a powerful visual tool, allowing users to identify a message, without having to think. People recognize icons faster than words. Visual perception is one of the most productive ways through which people can obtain information and process it.
Until today, social engineering had no icons to describe social engineering attack vectors in a detailed and appealing way. The extensive collection of social engineering icons includes icons for: well-known attack vectors, like phishing, dumpster diving, tailgating, or eavesdropping, and for less known attack vectors like: befriending, reciprocation, shoulder surfing, or impersonation. In total, there about 38 icons.
“Intrusion attempts are more and more frequent and sophisticated, regardless of their target (state or corporation). In this context, international hacking events are multiplying. Hack In Paris attendees will discover the realities of hacking, and its consequences for companies.
“The program includes state of the art IT security, industrial espionage, penetration testing, physical security, forensics, malware analysis techniques and countermeasures.
The one-week event consists of three days of training and two days of conferences – all in English – bringing together security officers (CISOs, CIOs) and hacking technical experts.
Hack in Paris is being held from the 27th June – July 1st 2016 at la Maison De la Chimie, Paris.
Sneak peek preview area 41 conference Zürich 10. - 11- June 2016 Reputelligence
Meet me at the http://area41.io/ conference #area41 #a41con. Join my session on June 11th afternoon. I will reveal some exclusive social engineering content. Here a sneak peak preview. Cheers Dom
The premier technical security conference in Switzerland organized by DEFCON Switzerland. The next Area41 conference will be held June 10.-11.2016 in Zurich
If you are observing the social engineering landscape in terms of social engineers, documentation, and frameworks out there, you will realize the topic has, as we call it, a low maturity. Low maturity means there are no well-defined processes or defined frameworks in which professionals can apply and benchmark themselves. Today’s landscape is little like the Wild West. There is lot of fear, uncertainty, and doubt (FUD).
With SEEF we want to oppose this situation. As you maybe have seen, our motto is visible on the book covers badge: Docendo – Discimus. It is a Latin proverb and means: “By teaching, we learn.” This is what we want. We want to teach anyone interested in social engineering the skills to do it properly, professionally, and ethically. This is Social Engineering Engagement Management (SEEF) — FIRST CUT. It is literally the first cut of the framework that we have pioneered and want to share.
May 2014 There was a line up to the problem. It was not sudden. There was time to fix the problem without shortcuts (1 year). Before the problem got out of hand (involvement of authorities).
Big mistake N#1 (unintentionally or intentionally): Volkswagen tells regulators that the differences amount to technical issues and "unexpected" test conditions. First try to cover up or the start of workarounds? Protective statement.
Recall in December 2014. Because the problem couldn't be fixed? The intention to “doctor” could also have been started here.
May 2015 next governmental involvement. Second chance to make things right i.e. coming forward or disclose voluntarily.
July 2015 point of no return. Third chance for a coming out or getting a handle on the problem.
September 2015 problem total out of control on all levels; politically, technically, environmentally, reputation wise.
Reputelligence Lifecycle v3 Volkswagen example Reputelligence
This is lifecycle applied to the Volkswagen "defeat device" problem. It show the lead up to the eruption of the problem on September 18th. Many things followed after that but they will be analysed in another problem lifecycle zooming in on those dates.
«Se Klaud Brojäkt bräiks daun – wot is se först sing yu du?» Hä?Reputelligence
Cloud readiness can be reduced to one simple statement. You don't need a maturity assessment or expensive consultants :-). Have you a working information classification policy? f yes: congratulations you can go now you will be fine. «Se Klaud Brojäkt bräiks daun – wot is se först sing yu du?»
Hä?
U blame se Se Ei O.
No no no, you dreamer you hä dream on. Ei tell dir okey.
Se sewen sinking steps.
1. Finding the right (or left) broblem to solve
2. Sefining the broblem
3. Analysing the broblem
4. Developing bossibilities
5. Selecting se best solution
6. Implementing
7. Evaluating and lörning
Reputelligence power point template lifecycle v3Reputelligence
Today, good news -- or bad news -- breaks in real time. And anything can go viral in short order. This is great for cute babies laughing in videos, or heart-warming tales of good deeds. It's not great, however, for the unexpected, inevitable crisis that any organization will face in its existence at some point. Luckily, nothing in the social media world is too much different than in the "real world."
What is the problem you might ask?
Problems (real- and digital world) usually follow a very specific pattern and dynamic. Understanding the patterns and dynamic behind will significantly improve resiliency. When does an incident become a crisis?
Managing a massive crisis is very difficult because of the information asymmetry.
Defining where you stand in a crisis is even more difficult.
Complex problem or crisis management requires specific techniques and tools. Numerous examples of bad crisis management are known to everyone. If you are managing a crisis from the inside you need actual up to date information on the current situation (where are we) and next steps (what are we going to do next). So far this was a very hard task. Either you have been at the will of a hopefully decent crisis manager or PR firm.
The lack of transparency always bugged me. I was to set out to look for ways of making the problem mangement or crisis management process more transparent for everyone involved.
I always take a highly strategic view of things and aim for practical application and simplification.
Out of this came the Reputelligence™ Problem LifeCycle. At first it looks overwhelming but i will guide you through the construction. This will help you understand the principles behind the life-cycle so you can apply it in your context.
Security agility- dynamic policy creation and rolloutReputelligence
The following example of a recent story is the perfect analogy for dynamic policy creation. The Swiss MediaMarket (Electronics Chain) reacted amicably when we were presented with a heat wave. All over the news people where warned about the topic of leaving your children or your pets in the car. Unfortunately there where fatalities due to the practice of leaving small children in the car. There was a lot of talk but MediaMarkt spun into action. This story has all the ingredients for future security (advanced persistent threats) APT's and how you will have to deal with them. The same process' will have to be applied to your policy framework.
Hack back series data is an asset - registration strategies v0.1Reputelligence
If there is just one thing you need to remember about information security it's this: "Data is an asset & asset = money"
This is all there is you need to know for information security. I also work on volunteering for a hacker high school project and the most important thing about security I try to teach the teenagers is this. "Data is an asset"
Usually I do it this way: I will have some coins at hand for this. Then I make a list together with the teenagers with attributes they use for registration for a so called "free" service. "If it's free then U are the product in some way or form". The problem with data is an asset is: it's abstract. Giving away information bytes is painless, easy and of no consequence in the first place. So I need to make a connection for the teenagers to remember or to link in the brain: data is an asset. Now the abstract concept of "Data is an asset" has been linked. The discussions becomes focused around: what do I get in return for the money (asset: your name) I paid for. Where is my freedom? Why do I don't get money if people are making money from my data and information (advertising). I should get paid if my information is used to make profit. I shouldn't reveal my information too easily.
Hack back series data is an asset - registration strategies v0.1
Sicherheit welche gefahren durch drohnen drohen golem.de
1. 25.12.2018 Sicherheit: Welche Gefahren durch Drohnen drohen - Golem.de
https://www.golem.de/print.php?a=138091 1/4
Original-URL des Artikels: https://www.golem.de/news/sicherheit-welche-gefahren-durch-drohnen-drohen-1812-138091.html Veröffentlicht: 06.12.2018
11:00 Kurz-URL: https://glm.io/138091
Sicherheit
Welche Gefahren durch Drohnen drohen
Flugobjekte mit biologischen Kampfstoffen, Motorsäge oder Pistole: 140 Risiken durch Drohnen hat der Sicherheitsexterte Dominique Brack gesammelt. Die
geplanten Angriffe sind dabei gar nicht die schlimmsten.
Der für das Schweizer Telekommunikationsunternehmen Swisscom tätige Sicherheitsexperte Dominique Brack analysiert zusammen mit anderen Anbietern
kritischer Infrastrukturen mögliche Angriffsszenarien mit kommerziell erhältlichen Drohnen. Auf der Sicherheitskonferenz Deepsec in Wien hat er seine
Ergebnisse vorgestellt.
Golem.de: Herr Brack, Sie beschäftigen sich mit Gefahren durch den Einsatz ziviler Drohnen. Welches ist der beängstigendste Drohnenangriff, den Sie sich
realistisch vorstellen können?
Dominique Brack: Es gibt natürlich sehr viele komplexe Angriffe, die zum Beispiel dazu führen können, dass der Betrieb eines Kernkraftwerks erheblich gestört
werden kann. In Venezuela wurde vermeintlich ein Anschlag auf den Präsidenten durch eine Drohne mit Sprengstoff registriert. Das FBI Hostage Rescue Team
wurde durch einen Drohnenschwarm behindert, gelenkt durch jene Kriminellen, die das Team observierte. In Syrien setzte die Terrormiliz IS mit Sprengstoff
bestückte Drohnen ein. Daraufhin hat DJI weite Teile Syriens und des Iraks per Softwareupdate zu No-Fly-Zones erklärt, in denen DJI-Drohnen nicht fliegen. Am
wahrscheinlichsten sind aber immer noch unabsichtliche Drohneneinsätze, also jemand fliegt irgendwo hinein, wo es nicht geplant war, eine Drohne stürzt bei
einem Sportevent ab. Das sind die Szenarien, die am ehesten eintreffen.
Golem.de: Während Ihres Vortrags auf der Deepsec-Konferenz in Wien haben Sie einen kleinen Film laufen lassen, der eine Drohne zeigt, die frontal mit einer
Flugzeugtragfläche kollidiert. Ist Ihnen ein solcher Fall schon einmal untergekommen?
Brack: Das war ein Test der University of Dayton. Das Video zeigt die Auswirkungen des Einschlags einer Drohne auf die Konstruktion eines Flugzeugflügels.
Mit rund 380 Kilometern pro Stunde wurde die Drohne zum Aufschlag gebracht, und das hat natürlich die Tragfläche durchschlagen. Drohnen erzeugen bei der
Flugsicherheit ähnliche Schäden wie Vögel, das heißt an den Scheiben, Propellern oder Tragflächen von Flugzeugen. Aber es gibt natürlich auch die Gefahr, dass
Flugzeuge nicht landen dürfen, wenn sich eine Drohne in der Kontrollzone des Flughafens befindet. Das war zum Beispiel in Dubai der Fall, wo der Flugbetrieb
vier Stunden lang gestört war. Die Kosten wurden auf 98.368 US-Dollar pro Minute geschätzt, denn die Flieger müssen in eine Warteschleife oder auf einen
anderen Flughafen ausweichen. Also im Prinzip ist so ein Vorfall eine ökonomische Denial-of-Service-Attacke.
Golem.de: Sie arbeiten eigentlich für ein Telekommunikationsunternehmen. Wie kommen Sie dazu, sich mit den Gefahren durch Drohnen zu beschäftigen?
2. 25.12.2018 Sicherheit: Welche Gefahren durch Drohnen drohen - Golem.de
https://www.golem.de/print.php?a=138091 2/4
Brack: Als Telko-Unternehmen sind wir auch Teil der kritischen Infrastruktur unseres Landes. In diesem Bereich arbeiten wir mit den anderen Betreibern solcher
Infrastrukturen, wie Banken, Kommunikation, Energie, Abfallwesen, öffentliche Sicherheit et cetera zusammen und im Rahmen dieser Zusammenarbeit wurden
die Risiken durch Drohnen angesprochen und entsprechend ausgearbeitet.
Golem.de: Werden die Erkenntnisse, die Sie aus Ihrer Arbeit gewinnen, durch Ihren Arbeitgeber direkt vermarktet?
Brack: Jein. Also wir arbeiten viel im Bereich der strategischen Sicherheit und das stellen wir natürlich auch der Allgemeinheit zur Verfügung. Wenn wir aber
einen konkreten Auftrag erhalten, beispielsweise von einem Spital oder einem großen Rockkonzert, dann werden wir als Consultants eingesetzt und dann ist das
natürlich ein kommerzielles Engagement.
Golem.de: Sie haben einen Risikokatalog für kommerzielle Drohnen mit verschiedenen Angriffsszenarien entwickelt.
Brack: Genau. Der Katalog enthält zurzeit rund 140 individuelle Risiken und wächst auch ständig. Diese Risiken haben wir evaluiert und strukturiert, um
Methodik in das Thema Drohnen zu bringen. Dabei handelt es sich um Risiken, die sich bereits materialisiert haben beziehungsweise wirklich ausgeführt wurden.
Es gibt zum Beispiel ein Proof-of-Concept, bei dem mit einer Drohne eine Pistole abgefeuert wurde, das klappt gut. Oder sogar solche mit angehängter Motorsäge,
mit denen man Bäume und Eiszapfen geschnitten hat. Aus solchen Anwendungsfällen haben wir die Risiken entsprechend abgeleitet. Das sind Anwendungsfälle,
die existieren, die lediglich bisher noch nicht missbraucht wurden, zum Beispiel als offensive Angriffe gegen Institutionen, Organisationen oder die Öffentlichkeit.
Golem.de: Beispiel Pistole: Arbeiten Sie auch mit militärischen Akteuren zusammen?
Brack: Was dort vermutlich eher relevant ist, sind Risiken durch Drohnen mit Payload, also etwas, das abgeworfen wird. Da gibt es ja bereits viele Erkenntnisse
aus unseren Gefängnissen, wo mit Hilfe von Drohnen Waren geschmuggelt werden, etwa Drogen, Geld, Handys oder SIM-Karten. Es gibt auch Drohnen, die an
der mexikanischen Grenze Drogen schmuggeln, das wird also effektiv als Mittel eingesetzt.
Golem.de: Welche weiteren real existierenden Angriffe kennen Sie aus Ihrer Arbeit?
Brack: Definitiv kennen wir den Einsatz gegen Personen, wo wirklich aktiv ein Schaden angerichtet werden soll. Die Drohnen werden zum Beispiel mutwillig in
ein Fenster geflogen, in ein Auto oder in eine Menschenmenge. Was wir auch oft erleben, sind Verletzungen der Privatsphäre, bei denen es um das Ausspähen
etwa von VIP-Properties geht.
Golem.de: Wie sieht es beim nachrichtendienstlichen Ausspähen aus?
Brack: Das ist definitiv ein Problem. Die Drohne ist ein fliegendes IoT-Device. Sie ist eine Verlängerung sämtlicher Spähmöglichkeiten, die es heute gibt: im
Sinne der Distanz, der Zeit und der Höhe. Wenn ich mit Access Points hacke, dann fliege ich den Access Point einfach in ein Kraftwerk, in die
Hochsicherheitszone oder eine militärische Kaserne rein und kann dort auch landen. Bestehende Risiken werden eigentlich verstärkt mit der Drohne.
3. 25.12.2018 Sicherheit: Welche Gefahren durch Drohnen drohen - Golem.de
https://www.golem.de/print.php?a=138091 3/4
Wie kann man sich schützen?
Golem.de: Wie können sich Betroffene vor diesen Gefahren schützen?
Brack: Einerseits ist die normale Vorsicht angebracht. Wer zum Schutz einen Zaun baut, sollte vielleicht auch einmal in den Himmel schauen. Gefährlich ist es,
sich durch Zäune und Zugangskontrollen am Boden in falscher Sicherheit zu wiegen. Andererseits schützen auch Vorsichtsmaßnahmen wie ein Schutz gegen
Einsicht von außen, wenn man ein Meeting hat, auf dem etwa interne Geschäftszahlen oder andere klassifizierte Informationen präsentiert werden. Darüber hinaus
ist es sehr schwierig, sich als Privater gegen solche Bedrohungen zu wehren, denn eine Drohne kann sehr hoch fliegen, ist daher fast unsichtbar und kaum zu
hören.
Golem.de: Wie sieht es mit aktiven Abwehrmaßnahmen aus?
Brack: Es gibt zwar Drohenerkennungslösungen, aber bei der aktiven Abwehr ist das Problem, dass die effektivste Lösung - das Jamming - für Privatpersonen gar
nicht erlaubt ist. Ich denke, das wird sich in den nächsten Jahren auch nicht ändern. Dass man einfach mal schnell einen Jammer [Störsender, Anm. d. Red.]
aufstellt und damit alle Frequenzen stört, das gibt es leider nur im Actionfilm. In Wirklichkeit ist die Technik absolut verboten und darf nur von Polizei und Militär
eingesetzt werden. Die Polizei wiederum setzt das nur bei großen Events wie zum Beispiel dem World Economic Forum ein, wo sie etwas schützen muss. Für
Private gibt es fast keine aktiven Abwehrmöglichkeiten. Zumindest in der Schweiz geht beispielsweise Herunterschießen gar nicht. Schon die Drohne mit dem
Gartenschlauch abzuspritzen oder mit Steinen danach zu werfen, ist rechtlich problematisch. Man kann eine Drohne natürlich melden, wenn man den Piloten
identifiziert hat, aber ansonsten ist es sehr schwierig, sich aktiv zu wehren. Da hinkt das Gesetz der Technik weit hinterher.
Golem.de: Was müsste der Gesetzgeber tun, um die Situation zu verbessern?
Brack: Ich denke, es werden bereits sehr viele Schritte unternommen, um die Öffentlichkeit zu schützen, zum Beispiel durch Gewichtsbeschränkungen, so
typischerweise um die 250 Gramm. Also was gilt noch als Spielzeugdrohne, die man ja gerne mit seinen Kindern fliegen möchte, und was nicht. Außerdem darf
man über eine bestimmte Höhe nicht aufsteigen und es gibt Apps, die einem anzeigen, ob zum Beispiel ein Flughafen in der Nähe ist. Es wird schon viel
unternommen, einige Länder sind sehr streng, da gibt es komplette Flugverbote oder man muss sich lizenzieren oder die Drohne registrieren. Beides wird
sicherlich irgendwann flächendeckend eingeführt, damit der Drohneneinsatz auch versicherungstechnisch geklärt ist. Das Problem ist natürlich: Gesetze haben
noch nie Kriminelle von ihrem Tun abgehalten. Daher muss ich mir als Unternehmen oder als Anbieter kritischer Infrastrukturen überlegen, wie man sich darüber
hinaus noch gegen dedizierte und gegebenenfalls verheerenden Drohnenangriffe schützen muss.
Golem.de: Wäre es nicht sinnvoll, hier das Jamming zu erlauben?
Brack: Ich denke nicht, denn das ist viel zu gefährlich. Wir haben Szenarien entwickelt, in denen zum Beispiel in einem Fußballstadion das Wi-Fi oder 5G
gejammt werden, aber auf diese Netze sind ja auch Notfallorganisationen wie Sanitäter oder Polizei angewiesen. Was ich mir dagegen gut vorstellen könnte, und
daran arbeiten wir gerade zusammen mit der Schweizer Polizei und dem Militär, wäre die Einführung von lizenzierten Jammern in einer Public-Private-
Partnership. Ich könnte mir ein gemeinsames digitales Lagebild vorstellen, das eine Drohnenpräsenz in forensischer Qualität aufzeichnet und diese Information
live mit der Polizei teilt. So könnte man sagen, liebe Polizei, hier ist der Beweis, die Drohne ist dort, könnt ihr uns helfen. Dann könnte die Polizei den Knopf zum
Jamming drücken. Denn für diese Art von Bedrohungen braucht es definitiv Lösungen, ohne Jamming generell zu erlauben.