HiSolutions Research

Ryuk-Zuck, Conti-nentaldrift: Die Wandlung der Ransomware

Kurzzeitig hatten Beobachtende und (potenziell) Betroffene zuletzt aufatmen können: Ransomware-Gangs wie die berüchtigte REvil-Gruppe waren durch konzertierte Aktionen von Strafverfolgungsbehörden unter Druck geraten. In der Folge hatten die Cyberkriminellen bestimmte Aktivitäten eingestellt; die sogenannte „victim shaming“-Site von REvil, auf der die gehackten Organisationen samt einem Teil ihrer gestohlenen Daten präsentiert wurden, um den Druck zur Zahlung des Lösegelds zu erhöhen, ging offline. Nun scheint in den letzten Wochen eine Verlagerung der Aktivitäten und Anpassung der „Geschäftsmodelle“ stattgefunden zu haben. Die […]

HiSolutions Research

Gemein(de)heit: Kommunen im Visier

Banken, Versicherungen und ähnliche im Wesentlichen bitschubsende Branchen sind Bedrohungen aus der Cyber-Ecke schon länger gewohnt und haben daher ihre Abwehr bereits seit den 90er-Jahren schrittweise hochgefahren, bisweilen auch zusätzlich motiviert durch gewisse regulatorische Schachzüge. Die cyberphysischen Sektoren wie Energie, Produktion und Wasser sind irgendwann in der Folge von Stuxnet Ende der 2010er-Jahre nach und nach erweckt worden. Und Krankenhäuser etwa hat es nach 2015 zunehmend erwischt, sodass auch sie aufrüsten mussten und weiterhin müssen. Kommunen wurden auch bisher schon […]

HiSolutions Schwachstellenreport 2021

Hier gibt es unser Whitepaper Schwachstellenreport 2021 zum Download. Immer wieder taucht die Frage auf, wie die Ergebnisse von Penetrationstests im Vergleich mit „typischen“ Ergebnissen einzustufen sind und ob die identifizierten Probleme bei anderen Unternehmen in ähnlicher Form und Schwere bestehen. Wir haben diese Fragen zum Anlass genommen, die von uns in den letzten Jahren durchgeführten Tests auszuwerten und die jeweils identifizierten Schwachstellen nach Schweregrad und Kategorien zu analysieren. Diese Aggregation erlaubt uns, sowohl die Vertraulichkeit der Projektergebnisse gegenüber unseren […]

Keine Gaudi: Fast Super-Cloud-GAU bei Microsoft

Bei Microsoft ist eingetreten, wovor sich viele Cloud-Anbieter insgeheim fürchteten: Getroffen hat es Azure mit seiner Cosmos DB, einer beliebten NoSQL-Datenbank. Das Datenbankmanagement wird dabei ganz im Sinn von PaaS weitgehend von Microsoft übernommen. Nun haben Sicherheitsforscher eine Schwachstelle in der Funktion Jupyter-Notebook entdeckt. Dieses Feature war erst im Februar diesen Jahres durch Microsoft aktiviert worden. Der Vorgang zeigt, wie wichtig es ist, die Konfiguration in allen genutzten Cloud-Diensten beständig im Blick zu behalten und gerade neue Features sicherheitstechnisch kritisch […]

­Der 0 Millionen Dollar Raub: Mr. White Hat gibt’s zurück

Kryptowährungen an sich sind riskante Investitionsobjekte – nicht nur aufgrund der Volatilität und der häufigen Scam-Versuche, sondern auch wegen spektakulärer Security Incidents, die hier nicht selten gleichbedeutend sind mit dem Verlust von vielen Millionen Euro bzw. Dollar. Umso wilder geht es bei „#Defi“ zu: „Decentralized Finance“ ist die nächste Entwicklungsstufe der „Kryptos“ und verbindet mehrere Blockchains zu größeren Netzwerken. Hier konnte ein unbekannter Angreifer – später durch das bestohlene Poly-Netzwerk „Mr. White Hat“ getauft – umgerechnet 610 Millionen US-Dollar auf […]

6 Jahre Branchenspezifische Sicherheitsstandards (B3S) – Eine Bestandsaufnahme im Vergleich

Von Konrad Degen. Branchenspezifische Sicherheitsstandards (B3S) haben sich in zahlreichen KRITIS-Sektoren in Deutschland etabliert. Nach der durch das IT-Sicherheitsgesetz 1.0 ausgelösten Entstehungswelle entwickeln sich aufgrund der zweijährigen Gültigkeit die Standards weiter. Eine Vergleichsanalyse zeigt, dass sieben Schritte für die Erstellung eines B3S notwendig sind.  Mit Inkrafttreten des IT-Sicherheitsgesetzes 1.0 im Juli 2015 hat der Gesetzgeber sich zum Ziel gesetzt, die IT-Sicherheit in Deutschland zu stärken. Betreiber von kritischen Infrastrukturen wurden aufgrund ihrer Bedeutung für die Gesellschaft verpflichtet, ein Mindestmaß an […]

HiSolutions Research

Show Your HighNIS: Highlights des EU NIS Investment Reports

von Tim Goos. Im Dezember 2020 wurde der NIS Investment Report veröffentlicht. Dieser analysiert, wie die EU NIS Direktive in den zwei Jahren seit ihrer Umsetzung in die nationalen Gesetze von Organisationen implementiert wurde. Dabei betrachtet der Report als repräsentative Stichprobe für die gesamte EU nur Organisationen aus den vier Ländern Deutschland, Frankreich, Spanien und Polen. So konnte ein Vergleich zwischen den Ländern, aber auch zwischen verschiedenen Sektoren gezogen werden. Dabei stellte sich heraus, dass in Bezug auf die Umsetzungstiefe […]

Verbändeanhörung zur neuen KRITIS-Verordnung

An die einschlägigen Verbände wurde heute ein Vorab-Entwurf der Änderung der KRITIS-Verordnung zur Anhörung verschickt. Das BMI sieht darin signifikante neue bzw. verschärfte Anforderungen für KRITIS-Betreiber und – erstmalig – auch andere Unternehmen vor. Der Entwurf ist wohl innerhalb der Bundesregierung, anders als ein typischer Referentenentwurf, noch nicht abschließend abgestimmt. KRITIS-Betreiber bleibten weiter verpflichtet, ihre Anlagen für kritische Dienstleistungen (kDL) nach „Stand der Technik“ abzusichern, was alle zwei Jahre durch zu überprüfen ist. Verstöße könnten zukünftig jedoch mit bis zu […]

IT-Sicherheitsgesetz 2.0 verabschiedet

Nach langen Verhandlungen hat der Bundestag am 23.4.2021 „nach halbstündiger Aussprache“ – sprich, kurz und (je nach Standpunkt) schmerzlos bzw. -voll die Neuausgabe des IT-Sicherheitsgesetzes von 2015 beschlossen. Seit 2019 hatte es für die Novelle des Gesetzes, welches bis zuletzt nicht evaluiert worden war, eine Reihe von öffentlichen, nichtöffentlichen, geleakten und teilweise schnell wieder veralteten Entwürfen gegeben, die der kommentierenden Zivilgesellschaft einiges an Agilität abverlangten. Am Ende konnte die viele – nicht wenige sagen: vernichtende – Kritik am Gesamtwerk nur […]

Kein Ende-zu-Ende gut, alles gut bei E-Mail

Ende-zu-Ende-Verschlüsselung ist heute bei E-Mails faktisch nicht vorhanden. Es gibt dafür zwei große Konzepte bzw. Standards: PGP (inline/MIME) und S/MIME. Doch sowohl mangels intuitiver Verwendung in den gängigsten E-Mail-Anwendungen als auch aufgrund des schlechten Rufs – hauptsächlich in Bezug auf Benutzbarkeit, aber auch auf Sicherheit – finden sie keine große Akzeptanz. Dann halt WhatsApp? Die gängigen Messenger sind inzwischen deutlich sicherer als E-Mail. Viele Organisationen scheuen zudem den Aufwand, eine Ende-zu-Ende-Verschlüsselung einzuführen. Sie fürchten einerseits die schlechte Außenwirkung, wenn E-Mails […]