IT-Sicherheit

2016 finden mehr M2M Attacken zwischen IoT Geräten statt dank „schneller“ Digitalisierung weltweit.

Dabei werden Lücken und Schadcodes die vertrauten Kommunikationsprotokolle und verbauten Chipsätze z.B. angreifen.
? Sind Sie sich dessen bewußt?  Ob Sport/ Mobilität/ medizinische Anwendung etc.  Ihrer Vertrauensstellung und Pflegeaufwand bei der Nutzung  „preiswerter“ mobile Devices und Services gegenüber dem möglichen Nutzen sind individuell abzuwägen. Geschäftlich und privat bedeutet Sicherheit sorgsamen Aufwand und Verantwortung (plus Budget).

Alle IoT Geräte  werden von Viren und dezidierten Würmern /Malware ständig auf mögliche Schwachstellen geprüft. Kopflose-Headless Devices  werden mit hartnäckigen Codes infiziert. Teilweise schon ab Hersteller/Werk  bei  mobilen/tragbaren Geräten. (Wearables)

Virtualisierte Infrastrukturen und Clouds werden durch  mobile Geräte und Cloud-basierte Apps Zugangspunkte für kompromittierende Attacken. (z.B. „Vernom“)

Datenverschlüsselung ungewollt setzt fremdgesteuert „Blastware“ ein. Unter dem Mantel von „Ghosteware“ wird der Datenverlust/-raub/- und Spuren verwischt.

Schad-/Malware mit zwei-/mehrgesichtiger Funktionalität beeinträchtigt Sicherheitsmechanismen z.B. „Sandbox-Technologien“. Oft wird diese nach der Laufzeit erst aktiviert – unter dem Radar aktiv.  (c)

Technikfolgenabschätzung / Beratung aus der Praxis.  Die „smarten“ Gefahren erkennen können.
Mögliche Maßnahmen, Schulungen und Werkzeuge runden das Portfolio je nach Bedarf ab.       (c)  2016

++

F8 und andere Entwicklungen   (c)“.. it still leaves problems of transparency, privacy, objectivity, and trust—questions that are not new to the world of personal technology and the Internet but are resurfacing in fresh and urgent forms. A world of conversational machines is one in which we treat software like humans, letting them deeper into our lives and confiding in them more than ever. It’s one in which the world’s largest corporations know more about us, hold greater influence over our choices, and make more decisions for us than ever before. And it all starts with a friendly “Hello.”  (c)

++

SEPA kam ….  OnlineBanking-SicherheitsLücken auch

für vorausschauende und rechtzeitig auf SEPA vorbereitete Unternehmen.  Gehören Sie dazu?

Lösungsberatung und Praxisleitfaden  für Verantwortliche –   IT-Sicherheit einfach und kompetent.
Sie wissen …

Okt./Nov.2015 (c) “

Nach einem erfolgreichen Angriff auf das AppTAN-Verfahren versucht die Sparkasse, die Anwendung zu verteidigen.

Zwei Forscher der Universität Erlangen haben die Sparkasse ganz schön in die Bredouille gebracht: Mit einem speziell entwickelten Schadcode haben sie Überweisungen umgeleitet, die von Android-Smartphones per push-TAN-Verfahren der Sparkasse getätigt wurden. Die Sparkasse wehrt sich jetzt. In einer Stellungnahme des Deutschen Sparkassen- und Giroverbands heißt es, die Angriffe beträfen nur „veraltete Versionsstände der S-pushTAN-App. Deshalb sind tatsächliche Schadensfälle aus heutiger Sicht unwahrscheinlich.“Das erklärten die Forscher Vincent Hauper und Tilo Müller allerdings auch schon in ihrer Analyse „(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking“. Gleichzeitig stellen die beiden jedoch klar, dass der Nutzer mit der aktuellen Version der App trotzdem keineswegs auf der sicheren Seite ist. Befindet sich in der Betriebssystem-Version oder einer der Apps auf dem Gerät eine Sicherheitslücke, könnte sich die Malware ohne weiteres Root-Rechte beschaffen, mit der dann die pushTAN-App ausgetrickst werden kann. Eine Studie der Universität Cambridge zeigte, dass momentan rund 88 Prozent aller Android-Systeme genau solche Sicherheitslücken aufweisen.

Ganz egal, was die Sparkasse zu ihrer Verteidigung vorbringt – es ändert nichts an der Tatsache, dass es Betrügern momentan wieder einfacher gemacht wird als nötig. Denn beim Online-Banking-Verfahren via ChipTAN oder mTAN muss der Angreifer zwei verschiedene Geräte in seine Gewalt bringen. Sowohl PC als auch TAN-Generator muss er kontrollieren können, um einen Angriff zu starten. App-basierte TAN-Verfahren reduzieren den Vorgang wieder auf ein einziges Gerät, nämlich das Smartphone.

Im Fall eines entstandenen Schadens sollte also auch die Sparkasse für Schäden haften, denn diese beteuert: „Die Absicherung des pushTAN-Verfahrens ist im Rahmen der kontinuierlichen Weiterentwicklung sichergestellt.“

Quelle: http://www.heise.de/newsticker/meldung/Unsichere-App-TAN-Sparkasse-verteidigt-ihr-pushTAN-Banking-2854722.html

Bild: © Andrey Armyagov  – shutterstock.com “

 

  • Bei den Gehaltszahlungen muss z.B.der (Purpose Code) zwingend geändert werden. Betrifft Februargehälter 2014.
  • IBAN/BIC in allen betroffenen Systemen  durchgängig, für  alle Bank-/Zahlungsdienstleister auf Papier, Geschäftspapier und EDV-/IT- Modulen wie z.B. Fakturierung, Electronic Banking Software Systemen, … alle  Stammdaten in a l l e n Systemen und Prozessen (Qualität+Abhängigkeiten zu prüfen).
  • Der Verwendungszweck und Referenzierung muß optimiert werden. Warum? Der strukturierter Verwendungszweck ist auf ISO 11649:2009 umstellen. Pflichtangaben für Rücklauf/Auszifferung – max. 140 Zeichen insgesamt -rund 50% weniger Platz (DTA nationale ZV) wie bisher haben. ..  usw.   = bedeutet für Sie zusätzl. Personalbindung / oder benötigte qualifizierte Reserve (verfügbar oder Engpaß)/ die mit zusätzlichem Aufwand/Zeit/Kosten verbunden sind.
  •  Positiv: nutzen Sie den  Optimierungsansatz und Chance bei vorausschauendem und rechtzeitigen Handeln jetzt. Dieses infrastrukturelle Zahlungsverkehrsumstellung,  bedeutet  unverschiebbaren to do´s.. Delegation ist nur teilweise möglich wenn rechtzeitig geplant und umgesetzt!
  • Die Glaubiger ID benötigen Sie zwingend, wenn Sie mit Lastschriften und EU -weit  arbeiten. (Die Bundesbank berichtet im Sept.2013  – 70% der bisherigen Lastschriftteilnehmer hat noch keine abgefordert).
  • Weihnachten, Jahresabschluß und Jahreswechsel werden nicht verschoben.. und Zahlungsverkehr… SEPA -Umstellung hat ? Priorität? Haftungs+Auswirkung auf Liquidität und Prozesse und Kosten … Resourcenknappheit in Januar+Preisanstieg..

Wir wünschen Ihnen / uns allen viel Erfolg bei der rechtzeitigen Umstellung, bevorzugt inklusive Optimierung Ihres gesamten Zahlungsverkehrs.
=> Lösungsunterstützung => Angebot <=
Zielgruppenspezifisch => Lösungsberatung  und Umsetzungsbegleitung individuell
Auf den Punkt. Aus der Praxis 4 die Praxis.

Wenn Sie mit Lastschrifteinzügen arbeiten, lesen Sie bitte weiter…SEPA 2

 

SEPA 2
Auszug

Das SEPA Direct Debit Mandat erfordert viel Aufwand und Vorbereitung. Egal in welcher Branche oder Dienstleistung, Handel, Infrastruktur, Immoblienwirtschaft, Energie,   einfach alle betrifft es.

Neuerung: 2x Informationen (PreNotification/Vorankündigung)  die notwendig an Zahlungspflichtigen bzw. ggfs. Beauftragten(Third Party) und Zahlungsdienstleister. Beim Zahlungslauf/ der Lastschrifteinreichung muss der/den  hierfür explizit zugelassenen Zahlungsdiensteister/Payment Provider /Banken mitgeteilt werden, welche Mandat-Variante (One-Off- oder Recurrent-Payment usw.) jeweils sortenrein als elektronische Datei für den Zahlungsempfänger vorliegt.

Das Lastschriftmandat muss immer  in schriftlicher Form vorliegen. (=>zusätzlicher SUCHAUFWAND in Datenbanken, allen involvierten Stammdaten / IT-Systemen und ggfs. Papier). Es gibt nach unseren Recherchen (Stand Oktober 2013 kein eMandat oder eine akzeptierte elektronische Variante).
Die Gestaltung und zu tätigen Angaben m ü s s e n  den SEPA Vorschriften zwingend entsprechen, sonst kann bis zu 13 Monaten (Basis SEPA-Lastschrift B2C) reklamiert und die Buchung storniert werden. (Kosten+Auswirkung auf das  LastschriftOBLIGO+Risiko+Liquiditätsprobleme sind zu berücksichtigen, sowie Folgeprozesse und Verluste =negative Deckungskostenbeitragsrechnung).
Thema: Mitwirkungspflicht des Zahlungseinreicher-/ Empfängers  liegt beim Lastschriftmandaten. D.h.  schriftlich unterzeichnete Vereinbarung muss vorliegen, mit gültigem Datum usw. sonst NEU zu generieren. =Zeit+Kostenaufwand …Anschreiben,Rücklauf.. Unabhängig gilt die Aufbewahrungsverpflichtung und Bereitstellung der gültigen Angaben.  Pflichtangaben (10), die bei jedem Lastschrifteinzug  mit zu übermitteln sind.

Einzugermächtigungsvereinbarung SEPA-Lastschrifttermingerecht vorliegt.

Fristen nach Typ und Vereinbarung/Bank/Prenotifikation
Je nach Vereinbarung mit dem Zahlungsdienstleister vierzehn bis mindestens sieben Tage bei Erst-/ Einmallastschriften und mindestens vier Tage vor Fälligkeit bei wiederkehrenden Lastschriften bei Basis. Firmen-LA  je nach Typ und Variante. 20130928LA_Fristen 20130928LA_Fristen

Fazit + Handlungsbedarf anders   treffend und flüssig formuliert: =>

Sehr gute Publikationen – mit freundlicher Erlaubnis-  die-Bank.de PRAXIS, Herr Wolf -Global Head Management & International Business Commerzbank AG, FFM.
per Sept.2013  treffend, hilfreich  auf den Punkt gebracht von Herrn Dr. Stahl IBI-Research Uni Regensburg oder als Langversion der  IBI  .

PDF20130928_Bundesregierung | Artikel | SEPA- Unternehmen ungenügend vorbereitet“ LINK

Bundesbank und weitere PDF`s
-keine Haftung für externe Verlinkungen und Inhalte- Copyright der jeweiligen Verfasser

 

 

=================================================
Exkurs für Interessierte:
Mandatsinformation an Zahlungspflichtigen/Pre Notfication  bzw. Kontoauszugsinformationsvarianten und neue Zahlungsdienstleister – als  Ausblick –
XML oder MT940/DTI+ oder  EDIFACT
Um elektronisch z.B. den gesamten Gehaltszettel auf dem Auszug zu übertragen, eignet sich für  die integrierte Weiterverarbeitung in der gesamten Wertekette- also für´s verzahnte EDIFACT-   z.B. der „Financial Statement“. Grund: Weil strukturiert mit optimalem -vollumfänglichem- nicht wie bei SEPA-begrenzt/knappen Verwendungszweck- kann FINSTA für Firmen zur GesamtProzessAbbildung- damit sicheren zuverlässigen Automatisierung  und Weiterverarbeitung genutzt werden, ist damit insbesondere massentauglich. (Siemens AG u.a.)  In der Praxis machen die Mehrheit der Zahlungsverkehrsdienstleister/Banken von dieser Möglichkeit keinen Gebrauch, weil Sie sich damit substituieren könnten.  Die Investitionen für Near-/Non Banken / neue Zahlungsverkehrsdienstleister ohne Echtzeitbanking  und werden mit anderen propritären Anpassungen  und Formaten investitions- und zeitkritisch. Gebührenerhöhungen für Firmen und Privatkunden auf Kontogebühr erfolgt nach unseren Einschätzungen.

Weitere Praxisinformation für SEPA-Interessierte 2010-2013  inside

Auskünfte sind ohne Rechtsverbindlichkeit und erfolgen ohne jegliche Haftung. Auskünfte spiegeln nur meine eigene Einschätzung wieder.
Die Beiträge beinhalten auch keinen Rechts- bzw. technischen oder Umsetzungsrat und werden im Einzelfall die Beratung durch einen Rechtsanwalt der andere entgeltlich Tätige n i c h t ersetzen. Rechtsberatungen dürfen nur von Rechtsanwälten durchgeführt werden. Zur Überprüfung jedweder Rechtsinterpretationen ist die Hinzuziehung eines Anwalts Ihres Vertrauens sehr empfehlenswert.
Wchtiger Hinweis:
Die Darstellung gesetzlicher PSD-Sachverhalte (einschließlich nationaler Regelungen)
sind vorbehaltlich der tatsächlichen juristischen Auslegung durch die Gerichte (einschl. des EuGH).