Wer Hacking, Phishing und Ransomware bisher nur für eher theoretische Bedrohungen von IT-Firmen hielt, wurde spätestens durch die zahlreichen Schlagzeilen zu Emotet, Shitrix& Co. eines Besseren belehrt. Ganze Unternehmen mussten bereits zumindest vorübergehend ihren Betrieb einstellen; die Uniklinik Düsseldorf konnte keine Notfälle aufnehmen und eine Patientin starb. In solchen Fällen stellt sich im Nachhinein meist heraus, dass es zum Schutz der Organisationen, Kunden und Patienten nicht nur einer guten und aktuellen IT-Sicherheitstechnik bedarf, sonderen auch einer bessere Aufklärung aller IT-Anwender. Dem trägt das neue iX kompakt mit den folgenden Rubriken Rechnung: Awareness Sind Sie sicher? Damit kein echter Einbruch mit weitreichenden Folgen stattfindet, sollten die Anwender und ITler über die Gefahren und Bedrohungen durch Schwachstellen und Hacker aufgeklärt sein und darüber, wie sie mit ihrem eigenen Verhalten dazu beitragen können, dass es gar nicht erst zum Schlimmsten kommt. Zu den besonders aufwendigen, aber auch besonders eindrucksvollen Testmethoden gehören "Einbrüche auf Bestellung". Datenschutz& Recht 2019 und 2020 waren nicht nur von Angriffen auf IT-Systeme geprägt, sondern auch von der Umsetzung der Datenschutz-Grundverordnung (DSGVO) und nicht zuletzt dem Fall des Privacy-Shield-Abkommens zwischen der EU und den USA. Auch dieser und anderen rechtlichen Herausforderungen widmet sich das iX kompakt Security. Compliance Zur Umsetzung von Recht und Ordnung muss kein ITler dicke Gesetzestexte und abstrakte Kommentare in juristischen Fachzeitschriften lesen, denn es existieren konkrete Normen und Best-Practice-Anleitungen etwa vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Markt& Produkte Cyberversicherungen: Schadensbegrenzung im Fall der Fälle Cloud-Security: Schutz der DNS-Infrastruktur und Pentesting Endpoint Security: Schutz für Laptop, Handy& Co Know-how& Praxis Zwei-Faktor-Authentifizierung ausgehebelt IoT mit KI geschützt Tools für die Angriffssimulation Standardsoftware: SAP-Sicherheit in der Praxis.

iX, das Heise-Magazin für professionelle IT, steht für kompetenten, unabhängigen und praxisrelevanten IT-Journalismus. iX liefert IT-Spezialisten alles, was sie für ihren Job wissen müssen.

Awareness Sicherheitstests Herausforderungen im Rahmen von Red Team Assessments 6 Blue Teaming: Wie man die Verteidigung gegen Internetangriffe übt 12 Phishing Awareness-Projekt der Landeshauptstadt Kiel 16 Internetkriminalität CEO-Fraud: Wenn der "Chef" zur Geldüberweisung auffordert 22 Datenschutz& Recht Nach dem Privacy Shield Rechtliche und technische Maßnahmen 24 Nach EuGH-Urteil: Unternehmen müssen Software und Dienste überprüfen 30 IT-Recht Cyberrisiken: Wer für die Schäden einstehen muss 36 Datenschutzfallstricke im IT- und Entwickleralltag 40 Bußgeldverfahren im Datenschutz: ein Überblick 44 Compliance Notfallmanagement Brenzlige Situationen in der IT überstehen 48 BSI-Standardwerk Update des IT-Grundschutz-Kompendiums 52 Informationssicherheit Risikomanagement nach ISO/IEC 27005 58 Tutorial, Teil 1: Aufbau eines ISMS Erste Schritte 64 Tutorial, Teil 2: Aufbau eines ISMS Risikomanagement 70 Tutorial, Teil 3: Aufbau eines ISMS prüfen und verbessern 74 Rechtssicherheit Datenschutz bei Einbruchtests 80 Markt& Produkte Risiken managen Marktübersicht: Cyberversicherungen 84 Gerätesicherheit Marktübersicht: Neue Techniken der Endpoint-Security 96 Cloud-Security Mobile Nutzer und Cloud-Strukturen schützen mit Cisco Umbrella 110 Know-how& Praxis Sicherheit Gefahren durch Angriffe auf und mit KI 114 Muraena und NecroBrowser hacken Zwei-Faktor-Authentifizierung 118 Wie KI bei der Absicherung des IoT helfen kann 124 SAP-Basiswissen ein kleines Kompendium 130 Angriffssimulation Die Post-Exploitation Frameworks Koadic und Merlin 134 Penetration-Tests in der Cloud 143 Sonstiges Editorial 3 Impressum 127 Inserentenverzeichnis 127

Hacking, Phishing und Ransomware bisher nur fur eher theoretischeBedrohungen von IT-Firmen hielt, wurde sptestens durch die zahlreichenSchlagzeilen zu Emotet, Shitrix & Co. eines Besseren belehrt. GanzeUnternehmen mussten bereits zumindest vorbergehend ihren Betriebeinstellen; die Uniklinik Dsseldorf konnte keine Notflle aufnehmen undeine Patientin starb. In solchen Fllen stellt sich im Nachhinein meist heraus, dass es zumSchutz der Organisationen, Kunden und Patienten nicht nur einer gutenund aktuellen IT-Sicherheitstechnik bedarf, sonderen auch einer bessereAufklrung aller IT-Anwender. Dem trgt das neue iX kompakt mit den folgenden Rubriken Rechnung:AwarenessSind Sie sicher? Damit kein echter Einbruch mit weitreichenden Folgenstattfindet, sollten die Anwender und ITler ber die Gefahren undBedrohungen durch Schwachstellen und Hacker aufgeklrt sein - unddarber, wie sie mit ihrem eigenen Verhalten dazu beitragen knnen, dasses gar nicht erst zum Schlimmsten kommt. Zu den besonders aufwendigen,aber auch besonders eindrucksvollen Testmethoden gehren "e;Einbrcheauf Bestellung"e;. Datenschutz & Recht2019 und 2020 waren nicht nur von Angriffen auf IT-Systeme geprgt,sondern auch von der Umsetzung der Datenschutz-Grundverordnung (DSGVO) - undnicht zuletzt dem Fall des Privacy-Shield-Abkommens zwischen derEU und den USA. Auch dieser und anderen rechtlichen Herausforderungenwidmet sich das iX kompakt Security. ComplianceZur Umsetzung von Recht und Ordnung muss kein ITler dicke Gesetzestexteund abstrakte Kommentare in juristischen Fachzeitschriften lesen, dennes existieren konkrete Normen und Best-Practice-Anleitungen etwa vom Bundesamt fr Sicherheit in der Informationstechnik (BSI). Markt & ProdukteCyberversicherungen: Schadensbegrenzung im Fall der FlleCloud-Security: Schutz der DNS-Infrastruktur und PentestingEndpoint Security: Schutz fr Laptop, Handy & CoKnow-how & PraxisZwei-Faktor-Authentifizierung ausgehebeltIoT mit KI geschtztTools fr die AngriffssimulationStandardsoftware: SAP-Sicherheit in der Praxis.