Cyberwar

Gestorben MIT, nicht AN Cyber

Im Fall der Patientin, die nach verschiedenen, auch internationalen Berichten wegen eines Cyberangriffs auf die Uniklinik Düsseldorf bedauerlicherweise verstorben war, müssten wir nun zurückrudern – wenn wir hier im Digest nicht schon im vergangenen September zur Vorsicht gemahnt hätten. Auch die Staatsanwaltschaft ist inzwischen zu dem Schluss gekommen, dass der Tod nicht ursächlich mit dem fehlgeleiteten Angriff zusammenhing, der eigentlich nur die Universität hätte treffen sollen. Zukünftig müssen wir jedoch damit rechnen, dass Tod und Cyber immer häufiger aufeinandertreffen werden, […]

News

Föderalismuskelspiele: Kein Bundestrojaner – sondern 19 Bundländertrojaner

Nicht der gefürchtete „Bundestrojaner“ wird nach langem Ringen voraussichtlich demnächst zum Abhören zugelassen – sondern neben BND, Bundes-Verfassungsschutz und MAD dürfen bald auch alle 16 Landesämter für Verfassungsschutz Endgeräte hacken, um Kommunikation auszuleiten („Quellen-TKÜ“), wenn der Gesetzentwurf der Koalition im Bundestag verabschiedet wird. Die Methode wird von Experten kritisiert, da sie bei den Ämtern das Interesse erhöht, Schwachstellen nicht an die Hersteller zu melden, sondern eher zu horten, um sie für ihre eigenen Abhörtrojaner einsetzen zu können. https://netzpolitik.org/2020/bundesregierung-beschliesst-staatstrojaner-fuer-alle-geheimdienste/

News

Leicht vercloppt: Software AG geransomed

Anfang Oktober wurde der deutsche Software-Riese Software AG durch die Ransomware-Gruppe „Clop“ heimgesucht; angeblich wurden über 20 Millionen US-Dollar an Lösegeld gefordert. Interne Systeme wie E-Mail und Helpdesk mussten für einige Zeit offline genommen werden. Glücklicherweise waren andere Kommunikationsmedien wie Chat und Kundendaten nicht betroffen.

News

Mapp et-Show: Roadmap IEC 62443

An der Industrial-Security-Normenreihe IEC 62443 wird kräftig geschraubt. So wurde in der jährlichen Sitzung des zuständigen Gremiums ISA99 in diesem Monat auch eine Neugliederung der Standardfamilie in Gruppen diskutiert, in Ergänzung zu den bisherigen Schichten: General, Policy & Process, Technical, Guidance und ganz neu Application. Darüber hinaus sind einige neue Standard-Dokumente und Themen angedacht wie Training, physischer Zugangsschutz, Supply Chain sowie ggf. Gebäude und Profile. Die vorgeschlagenen Änderungen sind noch in Diskussion. Selbst ICS-Security-Koryphäe Dale Peterson bescheinigt der Norm inzwischen […]

News

All You Can Bing(e): AWS Video Catalog

Die großen Clouddienste laufen über vor Funktionalität, die mit immer neuen Buzzwords und wild-kreativen Produktnamen daherkommt. Die Seite „AWS Video Catalog“ bringt nun zumindest in die Amazon-Services (AWS) eine gewisse Übersicht, indem sie alle Videos auflistet, die ein bestimmtes Thema behandeln. Zum Thema „Security Identity und Compliance“ finden sich hier etwa 19 Unterthemen von IAM bis WAF. https://awsvideocatalog.com/

News

Up to date & verfügbar: Neuer BSI-Podcast

Und noch einmal BSI: Das Bundesamt betreibt jetzt unter dem Titel „Update verfügbar“ einen eigenen Podcast. Die Pilotfolge (34 Minuten) hat das Thema „Cyber-Sicherheit und Deep Fakes“. Mit den üblichen undiplomatischen Kommentaren etwa auf YouTube geht das Social Media Team des Bundesamts bisher galant um – und immerhin zeigen 52:1 Daumen von knapp 3000 Aufrufern bereits nach oben. https://www.youtube.com/watch?v=WW7afBCUGow und „überall, wo es Podcasts“ gibt

News

Unbefriedigend: Self-Own Zoom Sex Bombing

Eine denkbar schlechte Idee ist es, wie der bekannte CNN- und New-Yorker-Reporter Jeffrey Toobin jüngst erfahren musste, aus Versehen in einem Zoom-Call während einer Pause die Kamera angeschaltet zu lassen und sich vermeintlich nur in einem anderen Call mit jemand anderem fernzuvergnügen, während die Kolleginnen und Kollegen im ersten Call zuschauen können/dürfen/müssen. Der Vorgang zeigt auf etwas andere Art und Weise, wie risikoreich das Eindringen der (Arbeits-)Technik in unser Privatleben für alle Seiten sein kann. https://www.vice.com/en/article/epdgm4/new-yorker-suspends-jeffrey-toobin-for-zoom-dick-incident

News

Lesetipps Oktober 2020

#FOMO vs. #YOLO Die Security-Ökonomie-Psychologie-Philosophin Kelly Shortridge hat in einem langen Blogartikel ihr Konzept der #YOLOsec (Black Hat 2017) um das Konzept der #FOMOsec ergänzt. Während You Only Live Once einen zu großen, häufig gar unbewussten Risikoappetit beschreibt, bezeichnet Fear Of Missing Out den Impuls, nur ja nichts falsch machen zu wollen und letztlich alle Controls umzusetzen, die eine Risikominimierung bringen *könnten*, ohne zu hinterfragen, ob so die Geschäftsziele nicht vielleicht sogar behindert werden. https://swagitda.com/blog/posts/on-yolosec-and-fomosec KI nder… Produktmanager und Filmemacher […]

Corona

Wo bleibt die Excel-ends-Initiative? MS Excel frisst Corona-Daten

Beim britischen Gesundheitssystem sind mehrere tausend Datensätze zu positiven Corona-Tests verloren gegangen, da das alte Excel-Dateiformat .xls nur eine begrenzte Anzahl von Zeilen speichern kann. Der Fehler fiel erst nach mehreren Tagen auf, sodass Betroffene teilweise erst sehr spät benachrichtigt werden konnten. Das Problem unsicherer „Schatten-Softwareentwicklung“ durch Endnutzer in Office-Tools, insbesondere Excel, ist seit vielen Jahren bekannt und nicht leicht in den Griff zu bekommen. https://t3n.de/news/excel-verursacht-corona-panne-1326375 Security-Kolumne „Spreadsheets töten“ in aktueller iX: https://www.heise.de/select/ix/2020/11/2026109274934915903

News

Schweigegeld: Organisationen trotz Backups erpressbar

Seit neuestem häufen sich die Fälle, in denen Institutionen die Forderungen von Ransomware-Erpressern zahlen, obwohl sie dank korrekter Backups die Daten wiederherstellen konnten: Die Verbrecher setzen das Mittel der Drohung der Veröffentlichung der vor der Verschlüsselung gestohlenen Daten derart geschickt ein, dass in diesem Fall etwa die University of Utah lieber 457.000 US-Dollar berappte. https://www.zdnet.com/article/university-of-utah-pays-457000-to-ransomware-gang/