Aktuelle Forschung unserer Kollegin Heike Knobbe zeigt, dass viele gängige E-Mail-Clients heute immer noch anfällig sind für die vor wenigen Jahren entdeckten Angriffe Decryption Oracle und Signing Oracle. Der Blog-Post beschreibt die Attacken und gibt Hinweise für notwendige Gegenmaßnahmen.
In den letzten Tagen gehen vermehrt verdächtige SMS-Nachrichten bei Mitarbeiterinnen und Mitarbeitern von Unternehmen und Behörden ein, mit Texten wie „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. [Link]“. Bei dieser Art von SMS handelt es sich um einen Phishing-Versuch per SMS, auch „Smishing“ genannt. Dies bezeichnet einen Betrugsversuch, bei dem automatisiert oder gezielt SMS mit irreführenden Informationen versandt werden, um die Empfänger zur Herausgabe sensibler Daten zu verleiten. Unser Artikel erklärt, wie die Angriffe funktionieren und wie man sich dagegen schützen kann.
https://research.hisolutions.com/2021/01/phishing-per-sms-smishing-angriffe-haeufen-sich/
Seit Juli 2015 ist das IT-Sicherheitsgesetz nun bereits in Kraft. Insbesondere die Anforderungen nach § 8a BSI-Gesetz haben dabei weitreichende Anforderungen für die Betreiber kritischer Dienstleistungen gebracht. Der ausführliche Beitrag „Umsetzung des § 8a BSIG in der Praxis – Eine Reise zwischen Nachweiserbringungen, Zertifizierungen und dem wirklichen Leben“ unseres Experten Daniel Jedecke im Research-Blog geht der Frage nach, ob die Regulierung nur einen Papier-Tiger erschaffen oder tatsächliche Hilfe für die Bevölkerung gebracht hat.
https://research.hisolutions.com/2021/01/umsetzung-des-%c2%a78a-bsig-in-der-praxis/
Hören: DLF Kultur Feature „Datensicherheit oder Abwehr von Cyberkriminalität“
Unter anderem zu KRITIS und IT-Sicherheitsgesetz 2.0, mit Manuel Atug von HiSolutions.
Sehen: ZDF WISO – Gestohlene Payback-Punkte
Cyberangriff auf Payback-Punkte? Banken und andere Zahlungsdienstleister wie Paypal haben aufgrund der EU-Zahlungsdiensterichtlinie PSD2 ihre Sicherheitsmaßnahmen hochfahren müssen. Dadurch ist der Druck auf Anbieter wie Payback gestiegen. Eine Recherche von ZDF WISO ging dem am 11.1.2021 von 19:25-20:15 mit der Expertise von HiSolutions auf den Grund. Nachzuschauen online (ab Minute 25’40):
https://research.hisolutions.com/2021/01/zdf-wiso-gestohlene-payback-punkte/
Meeten: Scalable Security am 17.2.2021 16-17 Uhr beim it’s.BB – Das IT-Sicherheitsnetzwerk
Zweifellos wird Informationssicherheit für alle Arten von Organisationen immer wichtiger. Während Konzerne oder Behörden sich im Wesentlichen auf die „großen“ Standards IT-Grundschutz und ISO 27001 stürzen, stellt sich für viele andere Akteure die Frage: Wo fange ich an? Was sind die ersten drei Schritte, wenn ich ein junges Startup, ein mittelgroßer Verein, eine größere NGO, ein Sportclub oder ein KMU bin? Was könnte oder sollte mein Ziel in fünf Jahren sein? Dieser Vortrag versucht, die Grundfragen und aufgaben der Security auf ein Modell herunterzubrechen, aus dem sich für jede Größe und jeden Organisationstyp eine Leiter von Reifegraden und eine Security-Roadmap ableiten lassen.
Für einen Moment zumindest. Die Generalstaatsanwaltschaft Frankfurt und das BKA haben mit internationaler Kooperation einen Takedown von 17 Emotet-C2-Servern durchgeführt und die damit gewonnene Kontrolle genutzt, indem sie die Schadsoftware so modifiziert haben, „dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können“. Damit sind zunächst einmal zentrale Teile des Backends von Emotet zerstört. Hoffen wir, dass das ein kleines Weilchen hält, bevor andere die entstandene Lücke nutzen.
https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2021/Presse2021/210127_pmEmotet.html
ENISA hat eine Studie “Cloud Security for Healthcare Services” veröffentlicht. Diese gibt Sicherheits-Best-Practices für die Cloud-Nutzung im Gesundheitssektor an die Hand und bezieht auch relevante Aspekte des Datenschutzes mit ein.
https://www.enisa.europa.eu/publications/cloud-security-for-healthcare-services
An seinem letzten Amtstag hat Ex-US-Präsident Trump noch eine letzte Executive Order zur Cybersicherheit unterzeichnet. Nach dieser müssen US-Cloudprovider – gemeint sind vor allem IaaS-Anbieter – zukünftig ihre Kunden identifizieren (KYC – Know Your Customer), wie das im Bereich Banking bereits seit langer Zeit üblich ist. Das würde bedeuten, dass die Cloud-Dienste vielen ihrer Kunden die Accounts schließen müssten, bis diese Identitätsnachweise hochgeladen haben. Die Biden-Administration hat zumindest den Text des Dekrets sofort wieder von der Internetseite des Weißen Hauses getilgt.
Die NSA, selbst für robusten Umgang mit der Vertraulichkeit von Cloud-Daten bekannt, hat ein achtseitiges Papier veröffentlicht, welches die aktuellen Herausforderungen der Cloud-Security gut zusammenfasst und Angreifertypen sowie Maßnahmenklassen sinnvoll kategorisiert.
Während sich viele Konzerne auf dem Land und in der Luft schon länger um den Schutz ihrer Netze und Daten kümmern, verlangt die internationale Schifffahrtsorganisation der UNO, IMO, nun auch IT-Resilienz auf den Meeren. Seit Anfang des Jahres gelten neue Anforderungen für die Cyber-Sicherheit an Bord von Schiffen tausender Reedereien. Dafür wurden eigens die Regeln für den sicheren internationalen Schiffsbetrieb ergänzt, u. a. um ein Cyber-Risikomanagement. Systeme müssen nun durch technische und organisatorische Maßnahmen (TOM) geschützt werden.
Googles Abteilung Threat Research Group hat eine Kampagne aufgedeckt, mittels derer ein Geheimdienst versucht hat, Forschungsergebnisse zu Schwachstellen zu stehlen. Dafür wurden eigens Netzwerke aus Trollen und Bots – sogenannten Sock Puppets (Sockenpuppen) – aufgesetzt, die mit den Researchern interagiert haben, um deren Vertrauen zu erschleichen. Sogar Gastartikel von realen Expertinnen und Experten konnten die Fake-Forscher für ihre Blogs, in denen zur Tarnung eigene und niederwertige Fake-Forschung publiziert wurde, gewinnen. Diese „Ergebnisse“ und Kooperationen wurden über eine Vielzahl von Social Media Accounts verbreitet und beworben. Ziel der Kampagne schien nach ersten Analysen, eine trojanisierte VS-Projekt-Datei unterzuschieben, die in einigen Fällen Systeme der Researcher erfolgreich kompromittiert hat. Dies stellte sich allerdings nur als Backup-Angriffsvektor heraus. Die eigentliche Kompromittierung erfolgte via Chrome-0-day in Form eines Drive-By-Exploits, der sich in einem Blog befand, von dem ein PGP-Schlüssel zur Übertragung einiger minderwertiger Lock-Exploits (PoCs) heruntergeladen werden sollte.
Im Netz machte sich darob zunächst vor allem (ironischer) Neid breit von Seiten derer, die die Gauner nicht angesprochen hatten. In Zukunft ist also eine weitere mögliche Schwachstelle besonders zu beachten: die eigene Eitelkeit, wenn Fremde zur Kooperation einladen…
https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/