17.05.2025

CSO Online 16.05.2025 12:30

Enterprise use of artificial intelligence comes with a wide range of risks in areas such as cybersecurity, data privacy, bias and discrimination, ethics, and regulatory compliance. As such, organizations that create a governance, risk, and compliance (GRC) framework specifically for AI are best positioned to get the most value out of the technology while minimizing its risks and ensuring responsible and ethical use.   

Most companies have work to do in this area. A recent survey of 2,920 worldwide IT and business decision-makers conducted by Lenovo and research firm IDC found that only 24% of organizations have fully enforced enterprise AI GRC policies.

“If organizations don’t already have a GRC plan in place for AI, they should prioritize it,” says Jim Hundemer, CISO at enterprise software provider Kalderos.

Generative AI “is a ubiquitous resource available to employees across organizations today,” Hundemer says. “Organizations need to provide employees with guidance and training to help protect the organization against risks such as data leakage, exposing confidential or sensitive information to public AI learning models, and hallucinations, [when] a model’s prompt response is inaccurate or incorrect.”

Recent reports have shown that one in 12 employee generative AI prompts include sensitive company data and that organizations are no closer to containing shadow AI’s data risks despite providing employees with sanctioned AI options.

Organizations need to incorporate AI into their GRC framework — and associated policies and standards — and data is at the heart of it all, says Kristina Podnar, senior policy director at the Data and Trust Alliance, a consortium of business and IT executives at major companies aiming to promote the responsible use of data and AI.

“As AI systems become more pervasive and powerful, it becomes imperative for organizations to identify and respond to those risks,” Podnar says.

Because AI introduces risks that traditional GRC frameworks may not fully address, such as algorithmic bias and lack of transparency and accountability for AI-driven decisions, an AI GRC framework helps organizations proactively identify, assess, and mitigate these risks, says Heather Clauson Haughian, co-founding partner at CM Law, who focuses on AI technology, data privacy, and cybersecurity.

Golem 16.05.2025 9:07
Schon am ersten Tag haben Teilnehmer der Pwn2Own 2025 in Berlin 260.000 US-Dollar an Preisgeldern gewonnen. Mehr folgt in den nächsten zwei Tagen. (Sicherheitslücke, KI)

Heise Security 15.05.2025 12:37
Jedes zweite IKT-Unternehmen in Deutschland hat eine Cyberversicherung. Besonders größere Unternehmen sichern sich gegen die Folgen digitaler Angriffe ab.

CSO Online 15.05.2025 11:01

The smartphone revolution was supposed to provide a second chance for the tech industry to roll out a secure computing platform. These new devices were purported to be locked down and immune to malware, unlike buggy PCs and vulnerable servers.

But it turns out that phones are still computing devices and their users are still people, both of which will always be weak links. We spoke to security experts to better understand the most common ways attackers might go about breaking into the powerful computers in your users’ pockets. Here’s what we found.

7 ways to hack a phone

Zero-click spyware

Social engineering

Malvertising

Smishing

Fake apps

Pretexting

Physical access

Zero-click spyware

The scariest and most sophisticated attacks on smartphones are zero-click attacks, because they don’t require obvious user intervention to succeed. Roger Grimes, data-driven defense evangelist at KnowBe4, explained how commercial surveillance vendors (CSVs) weaponize these exploits.

CSVs — sometimes called commercial spyware vendors — are criminal organizations that sell malware and exploits to the highest bidder. “CSVs are responsible for the vast majority of zero days that we find today, especially on cellphones,” Grimes says. “In 2023, zero days were used more than non-zero days to exploit people.” The most dangerous variants require no user interaction: “The victim does nothing,” he explains. “The zero day launches without any end-user contact, or the user simply needs to read a message, open an email, open an attachment, or click on a link.”

Grimes emphasized that many exploits are as simple as sending a background push message or a WhatsApp text — “whether the user even sees it isn’t important.” He adds: “With zero-click attacks, you get almost 100% of the victims you are able to contact.” These attacks are often sold for six- or seven-figure sums to commercial vendors or nation-states. “It is rumored that sufficiently capable nation-states, like the US, have thousands of zero-click attacks … and use them when they need them.”

Grimes noted that many of these attacks rely on long-established techniques such as buffer overflows. “A buffer overflow allows the malicious code to redirect the execution of the legitimate handling program into executing the malicious code,” Grimes explains. “You didn’t need to open the message or interact with it — just rece

Heise Security 15.05.2025 9:14
Google aktualisiert Chrome und stopft dabei Sicherheitslecks. Für eines gibt es bereits einen Exploit, erklärt das Unternehmen.

Spiegel Online 15.05.2025 8:25
Ein Dienstleister der Berliner Verkehrsbetriebe wurde gehackt. Zahlungsdaten haben die Täter nach bisherigen Erkenntnissen nicht erbeutet. Betroffene Kunden sollten aber auf Phishingversuche achtgeben.

CSO Online 15.05.2025 6:00

Je schneller Schwachstellen entdeckt werden, desto geringer der Schaden. Das zahlt sich für alle aus.
Pressmaster – shutterstock.com

Kennzahlen und Metriken wie KPIs sind essenziell, um die Effektivität der Cyberabwehr zu bewerten, da sie

Schwachstellen,

Bedrohungen und

Reaktionsfähigkeit

sichtbar machen.

Trotz der Vielzahl möglicher Indikatoren sind nur wenige besonders relevant und unverzichtbar für eine erfolgreiche Cybersicherheitsstrategie. Hier sind einige der relevantesten:

1. Mittlere Zeit bis zur Entdeckung

Die mittlere Erkennungszeit (MTD) ist eine zentrale Kennzahl um die Fähigkeit eines Unternehmens zu bewerten, Cyberbedrohungen frühzeitig zu erkennen und Schäden zu begrenzen. Ein niedriger MTD-Wert gilt laut Analysten als Indikator für eine effektive Sicherheitsorganisation.

Dennoch betont Mehdi Houdaigui, US Cyber and Transformation Leader bei der Unternehmensberatung Deloitte, dass MTD nur eine von vielen wichtigen Metriken ist. Unternehmen sollten sich auch auf strategisch relevante Kennzahlen konzentrieren.

2. Cyber-Belastbarkeit

Cyber-Resilienz ist laut John Wheeler, CSO beim Dienstleistungsunternehmen Cognizant, das entscheidende Kriterium für ein wirksames Sicherheitsprogramm. Er betont, dass die Anzahl abgewehrter Angriffe nicht ausschlaggebend sei. Wichtig sei vielmehr die Fähigkeit, sich schnell und effektiv von Sicherheitsvorfällen zu erholen.

Entscheidend für ihn ist zudem, ob das Unternehmen trotz eines Angriffs funktionsfähig bleibt und das Vertrauen der Kunden wahrt. Er begründet dies damit, dass Resilienz vorübergehende Störungen von dauerhaftem Schaden trenne.

3. Netzwerk-, System- und Endpunkttransparenz

Ohne ausreichende Sichtbarkeit der IT-Umgebungen lassen sich Sicherheitsrisiken nicht erkennen oder beheben, warnt Sandra McLeod, Interim-CISO bei Zoom. Besonders gefährlich sind blinde Flecken, etwa in Entwicklungsumgebungen.

Zudem kritisiert sie, dass viele Unternehmen KPIs zwar erfassen, aber nicht aktiv in Entscheidungen einfließen lassen. Ein weiterer Risikofaktor ist ein trügerisches Sicherheitsgefühl aufgrund guter Kennzahlen, die nicht das vollständige Lagebild widerspiegeln.

4. Ziel-Fragen-Metrik (GQM)

Richard Caralli, Senior Cybersecurity Advisor bei Axio, einem SaaS-basierten Anbieter von Cybermanagement-Software, empfiehlt den Ziel-Fragen-Metrik-Ansatz (GQM). GQM, so der Experte, hilft besonders aussagekräftige Metr

Heise Security 14.05.2025 15:29
Fortinet melde eine aktiv angegriffene Schwachstelle in FortiVoice. Zudem dichten Updates zahlreiche weitere Lücken ab.

Heise Security 14.05.2025 15:20
Strafermittler haben Durchsuchungen und Beschlagnahmungen bei einer Online-Investment-Betrugsbande durchgeführt und einen Verdächtigen festgenommen.

CSO Online 14.05.2025 14:29

Die neue EU-Schwachstellen-Datenbank EUVD soll das CVE-Programm ergänzen.artjazz – shutterstock.com

Seit dieser Woche verfügt die Technologiebranche über eine neue Datenbank, um die neuesten Sicherheitslücken in Software zu überprüfen: die European Union Vulnerability Database (EUVD). Das Programm wurde von der Europäischen Agentur für Cybersicherheit (ENISA) zur Umsetzung der EU-Cybersicherheitsrichtlinie NIS2 eingerichtet.

Hier stellt sich die Frage: Warum braucht es ein weiteres System zur Verfolgung von Sicherheitslücken, wenn die Branche längst das weltweit bekannte US-Programm Common Vulnerabilities and Exposures (CVE) als Standard festgelegt hat? Laut ENISA sollen die EUVD und ihr neues Identifizierungssystem das CVE-Programm lediglich ergänzen und nicht ersetzen.

Sicherheitslücken erhalten einen EUVD-Tracker, wenn sie zuerst von europäischen Unternehmen oder CERTs gemeldet werden und in diesem Zusammenhang von Bedeutung sind. Zum Beispiel, wenn sie kritische Infrastrukturen oder Unternehmen in der EU selbst betreffen.

EUVD-Fehler werden jedoch mit einer CVE-Kennung verknüpft, sofern eine solche verfügbar ist. Wenn keine CVE zugewiesen wurde – was angesichts der vereinbarten Grundsätze für die Koordinierung der Offenlegung vermutlich selten vorkommt, bleibt die EUVD-Kennung eigenständig bestehen.

Die kürzlich gemeldete kritische Sicherheitslücke, die den NetWeaver Visual Composer Metadata Uploader von SAP betrifft, kann nun beispielsweise unter EUVD-2025-14349 oder CVE-2025-42999 nachverfolgt werden.

EUVD-Einführung kommt zum richtigen Zeitpunkt

Obwohl sie schon seit einiger Zeit angekündigt war, kommt die Einführung der EUVD gerade zur richtigen Zeit. Im April sah es für einige Stunden so aus, als würde das CVE-Programm nach einem Vierteljahrhundert eingestellt werden. Das US-Heimatschutzministerium (DHS) hatte den Vertrag mit der gemeinnützigen Organisation MITRE Corporation, die das Programm betreibt, nicht verlängert.

In Bezug auf die Cybersicherheit wäre die Einstellung der Finanzierung des weltweit führenden Systems zur Erfassung von Schwachstellen vergleichbar mit der Abschaffung des US-Dollars im Handel. Das Ende konnte nur abgewendet werden, nachdem die Cybersecurity and Infrastructure Security Agency (CISA) eingeschritten war, um die Fortführung des Programms zu finanzieren.

Dennoch hat diese Erfahrung die Branche an die Kritik erinnert, die am CVE-Programm

Heise Security 14.05.2025 12:48
Der Online-Handel boomt – und lockt Kriminelle an. Immer wieder werden Verbraucher zu Betrugsopfern. Das kann teuer werden.

Spiegel Online 14.05.2025 12:23
Streamen, arbeiten, Smart-Home-Steuerung: Ein guter Internetzugang steigert die Lebensqualität. Doch viele Deutsche haben sich offenbar an Funklöcher und Verbindungsabbrüche im Heimnetz gewöhnt.

Golem 14.05.2025 11:48
Anfällig sind alle Intel-CPUs der letzten sechs Jahre. Die Lücke gefährdet vor allem Serversysteme, auf denen viele Nutzer gleichzeitig arbeiten. (Sicherheitslücke, Prozessor)

Heise Security 14.05.2025 10:14
Wenn US-Behörden informieren wollen, greifen sie auch auf Dienstleister zurück. Bei einem wurde nun ein Zugang gekapert, um Betrugsmails zu versenden.

Golem 14.05.2025 10:00
Eine Landesbehörde von Baden-Württemberg untersucht ein Datenleck in einem Open-Geodata-Portal. Eigentümerdaten waren frei abrufbar. (Datenleck, Datenschutz)

Golem 14.05.2025 9:05
Microsoft warnt vor fünf Zero-Day-Lücken in Windows. Hinzu kommen weitere gefährliche Schwachstellen, die eine Schadcodeausführung ermöglichen. (Sicherheitslücke, Microsoft)