Das Information Security Office der renommierten US-Uni Berkeley bietet wichtige Teile der Richtlinien aus seinem ISMS öffentlich im Internet an. Diese sind durchaus einen Blick wert, wenn man an der Ausgestaltung des eigenen sitzt. https://security.berkeley.edu/policy
Anstelle des Weihnachtsschmucks Wem die Kreativität für Lamettagraphentheorie, Christbaumkugelpackungen oder Lebkuchenhauskonstruktionen in diesem Jahr ausgegangen ist, der kann sich auch einfach diese hübschen Netzwerktechnik-Cheat-Sheets in DIN A0 an die Wand hängen. Frohes Fest! https://packetlife.net/library/cheat-sheets Anstelle eines Weihnachtslieds Und wem nicht nach Weihnachtsliedern zumute ist, der kann stattdessen Deichkind hören, die ein Video von „Frag den Staat“ musikalisch hinterlegt haben. Die Plattform hat auch 2020 mit der konsequenten Nutzung des Informationsfreiheitsgesetzes (IFG) dazu beigetragen, dass die Öffentlichkeit über diverse die Cybersicherheit […]
Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen […]
Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen […]
Das IT-Sicherheitsgesetz 2.0 ist immer noch nicht fertig – und wird es auch in diesem Jahr nicht mehr. Immerhin wurde am 19.11. der dritte Referentenentwurf bekannt. Viele Punkte sind aus den vorigen Entwürfen bekannt, es gibt aber auch Neuerungen. So sollen Bußgelder nicht mehr analog zur DSGVO bis zu 4 % des weltweiten Jahresumsatzes umfassen, sondern bei 2 Mio. Euro gedeckelt werden. Sicherheitsanforderungen sind nun auch für „Unternehmen im besonderen öffentlichen Interesse“ vorgesehen, für wirtschaftlich systemrelevante Unternehmen und für Gefahrstoffbetriebe […]
Der bekannte Security-Journalist Brian Krebs berichtet auf seiner Webseite KrebsOnSecurity.com, dass das amerikanische Gesundheitswesen aktuell im Visier der Ransomware-Kampagne Ryuk ist. Dabei beschreibt er auch, wie einzelne Gruppen mit Ryuk-Bezug erkannt werden können, und erklärt die aktuellen Exploit-Techniken. https://krebsonsecurity.com/2020/10/fbi-dhs-hhs-warn-of-imminent-credible-ransomware-threat-against-u-s-hospitals/
Die europäische Cybersicherheitsbehörde Enisa hat einen Bericht über die Cyber-Security der europäischen Eisenbahnen veröffentlicht. Auf 50 Seiten werden die Eigenschaften des Sektors, seine Regulierung in den verschiedenen Mitgliedstaaten sowie die heute implementierten Sicherheitsmaßnahmen dargestellt. https://www.enisa.europa.eu/publications/railway-cybersecurity/at_download/fullReport
Auch Sicherheitssoftware ist nicht gefeit vor Schwachstellen – obwohl gerade hier das Schadenspotenzial beträchtlich sein kann. Für den Cisco Security Manager, eine Anwendung für „Enterprise-Class Security Management“, wurde nun gleich eine ganze Reihe von Schwachstellen bekannt – und direkt mit PoCs (Proofs of Concept, also Beispielen für die Ausnutzung der Schwachstelle) veröffentlicht. Das Scrollen durch die Codeschnipsel zeigt vor allem, wie leicht hier zum Teil kritische Angriffe wie Remote Code Execution (RCE) ausgeführt werden konnten. https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e
Die Sicherheit von verschlüsselnden Messengern ist ein heiß diskutiertes Thema, versprechen diese doch Ende-zu-Ende-Security auf einem Niveau, das E-Mail niemals in großem Maßstab erreicht hat. Das in Security-Fachkreisen geschätzte Threema hat nun einen weiteren Meilenstein erreicht: Nachdem 2019 bereits das Labor für IT-Sicherheit der FH Münster ein Audit durchgeführt hatte, wurden jetzt die Kollegen von Cure53 auf die App losgelassen. Der Gesamteindruck der Codequalität und der Struktur des Projekts, das bald auch Open Source werden soll, wurde als „außergewöhnlich solide“ […]
Das Internationale Komitee des Roten Kreuzes in Genf hat die zweite Ausgabe seines „Handbook on Data Protection in Humanitarian Action“ herausgebracht. Das 312 Seiten starke eBook, das kostenlos erhältlich ist, beleuchtet angewandten Datenschutz zwar vor allem aus Sicht humanitärer Hilfsorganisationen, bietet aber auch für andere Institutionen wertvolle Analysen und Empfehlungen. https://shop.icrc.org/download/ebook?sku=4305.01/002-ebook
