Aller guten 200er sind 4: BSI-Standard 200-4 veröffentlicht

Aller guten Dinge sind vier. Das gilt bekanntermaßen auch für Standards, und so hat das BSI gerade den lange erwarteten Standard 200-4 als Community Draft veröffentlicht. Der nun nach 200-1, 200-2 und 200-3 endlich ebenfalls modernisierte BSI-Standard 200-4 gibt eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen. Der in Co-Autorschaft mit HiSolutions entwickelte Standard wurde auf dem 1. IT-Grundschutz-Tag 2021 am 19.01. vorgestellt.

Das BSI freut sich über jeden Kommentar zum Draft an it-grundschutz@bsi.bund.de bis zum 30.06.2021. Schon während der Kommentierungsphase sollen die Kommentare gesichtet und konsolidiert werden, sodass bedarfsweise auch frühzeitig überarbeitete Fassungen zur Verfügung gestellt werden können.

Ankündigung von HiSolutions: https://www.hisolutions.com/detail/bsi-veroeffentlicht-neuen-standard-200-4

Download des Community Draft: (Nachtrag: Inzwischen veröffentlichter Standard: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html)

Heise-Artikel zum 200-4: https://www.heise.de/news/Neuer-BSI-Standard-zum-Business-Continuity-Management-5030647.html 

Neues Schulungsformat bei HiSolutions: „Vorfall-Experte“

In unserer neuen dreitägigen Aufbauschulung zum Vorfall-Experten werden Teilnehmer befähigt, im Falle von IT-Sicherheitsvorfällen schnell und effektiv reagieren zu können sowie Schnittstellen zu den Vorfall-Experten des Cyber-Sicherheitsnetzwerks (CSN) des BSI aufzubauen. Das Training richtet sich an IT-Sicherheitsbeauftragte, CISOs, Business Continuity Manager (Notfallmanager), Auditoren und Experten, die mit einem Zertifikat den Status als Dienstleister des CSN oder IT-Sicherheitsdienstleister anstreben.

https://www.hisolutions.com/security-consulting/academy#c5601

Cyberei auf drei dabei: Cybersicherheit Top 3 Risiko weltweit

Cyber-Vorfälle sind laut Allianz Risk-Barometer 2020 von Platz 1 auf 3 der weltweiten Top-Unternehmensrisiken „abgerutscht“ – wegen Corona. Platz 1 und 2 nehmen jetzt die Geschäftsunterbrechung (hoch von 2) und, wenig überraschend, die Pandemie (hoch von 17) ein. Allerdings betont der Report, der bereits im zehnten Jahr erscheint und auf Einschätzungen von über 2.700 Experten aus 92 Ländern beruht (CEOs, Risikomanager, Makler und Versicherungsexperten), dass diese drei Risiken nicht unabhängig voneinander zu betrachten sind. So hat Corona auch die Cyberlage verschärft, und Cyber ist einer der wesentlichen Risikofaktoren für Geschäftsausfälle. In Deutschland liegt das Thema übrigens sogar auf Platz 2, noch vor der Pandemie. Informationssicherheit bleibt also mit der formalen „Bronzemedaille“ national wie weltweit auch 2020 ff. eines der Schlüsselfelder für das Risikomanagement.

https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2021-de.html

Phishing per SMS – Smishing-Angriffe häufen sich

Von Thomas Fischer und Jann Klose, HiSolutions AG.

In den letzten Tagen gehen vermehrt verdächtige SMS-Nachrichten bei Mitarbeiterinnen und Mitarbeitern von Unternehmen und Behörden ein, mit Texten wie „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. [Link]“.

Bei dieser Art von SMS handelt sich um einen Phishingversuch per SMS, auch Smishing genannt. Dies bezeichnet einen Betrugsversuch, bei dem automatisiert oder gezielt SMS mit irreführenden Informationen versandt werden, um die Empfänger zur Herausgabe sensibler Daten zu verleiten.

Wie funktioniert Smishing?

Beim Smishing versenden die Täter SMS im Namen von vertrauenswürdigen Institutionen wie Banken oder Telekommunikationsanbietern mit dem Vorwand eines fingierten Problems. Einige Beispiele sind:

  • Eine Bank meldet merkwürdige Aktivitäten auf dem Konto
  • Ein Dating-Service bestätigt die vermeintliche Eröffnung eines Premiumkontos
  • Der Telefonanbieter erhebt auf einmal Extragebühren für gewisse Leistungen
  • Man erhält eine Rückzahlung aus einem Bonusprogramm
  • Man wird beschuldigt, Zahlungen nicht getätigt zu haben
  • Ein Paket wurde verschickt, und es gibt Probleme mit der Zustellung

Alle SMS sollen dazu verleiten, einen Link anzuklicken und dort dann Daten einzugeben. Entweder wollen die Cyberkriminellen persönliche Daten stehlen, die sie nutzen können, um sich zu bereichern, oder die Nutzerinnen und Nutzer werden verleitet, Malware herunterzuladen, die sich permanent auf dem Smartphone installiert.

Wie kann ich mich gegen Smishing schützen?

Der Schutz gegen Smishing ist ganz einfach: Tatsächlich muss man gar nichts tun, um sicher zu sein. Der Angriff kann nur Schaden anrichten, wenn der Köder geschluckt wird. Wird die SMS einfach löscht, kann nichts weiter passieren.

Woran kann ich Smishing erkennen?

Was ist zu beachten, um solche Angriffe zu bemerken? Einige Faustregeln helfen:

  • Kein Finanzinstitut oder Händler sendet eine Textnachricht, um Kontodaten zu erfragen oder zur Bestätigung der PIN aufzufordern. Wer sicher gehen will, ruft Bank oder Händler direkt an, um nachzufragen.
  • Kein Klicken auf einen Link oder eine Telefonnummer in einer Nachricht, bei der man sich nicht sicher ist.
  • Ausschau halten nach verdächtigen Nummern, die nicht wie typische Telefonnummern anmuten, z. B. „5000“. Diese Nummern verweisen oft auf E-Mail-zu-SMS-Services, die häufig von Betrügern genutzt werden, um die Preisgabe der echten Telefonnummern zu vermeiden.
  • Möglichst keine Speicherung von Kreditkarten- oder Banking-Informationen auf dem Smartphone – oder aber die Verwendung eines sicheren Passwortsafes. Wenn die Informationen gar nicht erst vorhanden sind, können Diebe sie auch nicht stehlen, selbst wenn sie Malware auf dem Handy installieren.

Meldung von Smishing-Angriffen, um auch andere Benutzer zu schützen.

Beim Smishing – genau wie beim Phishing – geht es darum, möglichst viele Nutzerinnen und Nutzer hinters Licht zu führen. Bei dieser Methode verlassen sich Kriminelle darauf, dass ein Teil der Opfer mitspielt und auf einen Link klickt oder Informationen preisgibt. Der einfachste Schutz vor solchen Angriffen ist tatsächlich, ganz einfach nichts zu tun. Diese Awareness muss sich allerdings möglichst weit verbreiten

Bitte warnen Sie andere Nutzer in Ihrer Organisation – zum Beispiel durch eine Meldung an den IT-Sicherheitsbeauftragten (IT-SiBe). Und sollte doch einmal ein Smishing / Phishing gegen Sie geklappt haben, kann die sofortige Meldung des Vorfalls helfen, Schäden von der Organisation abzuwenden.

Sassy Buzzword: Erobert SASE die Welt?

Ein neuer Trend macht aktuell in der IT(-Security) die Runde: SASE, wie die Marketinggötter sagen: „sassy“, oder in lang und verwirrend Secure Access Service Edge.

SASE ist ein neuer Ansatz in der Netzwerk-Architektur, in welchem WAN-Services (etwa eine Anbindung von Außenstellen) und Security-Funktionen (bisher bisweilen als CASP – Cloud-Access Security Provider – implementiert) in einer kombinierten Cloud-Lösung integriert werden. Die Sicherheitsfunktionen greifen hier am Rand (Edge) des Netzwerks und machen so bestimmte zentrale Sicherheitskonzepte wie vom Hauptquartier aufgespannte VPNs überflüssig. Zugriffe von Anwendern, Apps und Geräten werden dabei mit starken Identitäten und kontextbasierten Regeln gesteuert.

Die Platzierung des Begriffs an wenigen strategischen Template-Stellen in den Pressemitteilungen der Storage-Firmen und die Anzahl der um Bildschirm-Estate konkurrierenden Google-Ads zeigen allerdings schnell, worum es zunächst hierbei geht: Content Marketing und Search Engine Advertisement zur „neusten“ Sau, die Marktforscher wie Gartner, Forrester und Co. (natürlich auch zur Stärkung der eigenen Relevanz) durchs Dorf Internet treiben. Allein für die erotische Aussprache des Akronyms hat vermutlich eine Agentur einen schönen Batzen Geld kassiert.

Bei allem Hype ist aber vor allem der Trend hinter dem Trend interessant: Warum gerade diese Sau, gerade jetzt?

Zum einen geht es um Konvergenz: Die meisten großen Innovationen lassen sich entweder in „dasselbe mit weniger“ (Effizienz) oder „mehr mit demselben“ (Funktionalität) einordnen; nur wenige wahre „Disruptionen“ schaffen beides zugleich. Hier also dasselbe (nämlich VPN/„SD-WAN“ einerseits und CASP andererseits) mit weniger, d. h. nur einem Anbieter, der zukünftig beide Töpfe abgreifen möchte. Diejenigen, die eine Chance sehen, beides zugleich anzubieten, pushen den Hype, um diejenigen auszubooten, die nur eines von beiden können. Und selbstverständlich müssen dabei alle behaupten, sie machten das eh alles schon längst.

Zum anderen gibt es immer die Bewegung hin und her zwischen Zentralisierung und Dezentralisierung. Zum Beispiel: Mainframe -> Client-Server -> Cloud -> Edge -> … Diesmal rückt die zentrale Cloud, man hört es im „Edge“ am Ende von SASE, wieder ein Stück näher an die Kunden, um diese noch mehr einzubetten (und abzukassieren).

Bei allem Getrommel: Da das Konzept zu aktuellen Tendenzen und Bewegungen passt, kann ich mir vorstellen, dass es wirklich an Fahrt gewinnen wird – ob unter diesem künstlichen Buzzword oder unter dem nächsten.

Ich wars nicht – Cyberwars! Katastrophenarm(ee)

„There is no free lunch: Jedes Stück Digitalisierung erzeugt ein Stück Abhängigkeit und muss mit einem Stück geeigneter (idealerweise präventiver) Suchttherapie kombiniert werden.“

„COVID-19 hat eine Überlebensquote von 98–99% – Ebola schnaubt verächtlich – und ­einen Reproduktionsfaktor von lediglich 2–3, worüber die Masern nur lachen können. Was die aktuelle Pandemie so tragisch macht, ist genau die Kombination aus exponentiellem Wachstum, das aufgrund aufwendiger Detektion nicht „billig“ zu begrenzen ist, und nicht vernachlässigbarer Todesrate. Ebola und SARS waren zu tödlich und auffällig, um sich weit verbreiten zu können, Corona haut genau in einen Sweet Spot von tödlich genug für ein weltweites Massaker, aber auch harmlos genug, um sich von uns immer weiter herumtragen zu lassen.

Wir müssen vermeiden, dass Cyber einen ähnlichen Pfad nehmen kann.“

David Fuhr in der Security-Kolumne in iX 1/2021

Wall of… Awareness: Prominente Opfer 2020

2020 sollte allen klar sein, dass es keine Schande ist, Opfer von Ransomware oder anderen großen Cyber-Attacken geworden zu sein. Es kann jedes Unternehmen und jede Behörde treffen. In diesem Jahr waren unter anderem die folgenden Institutionen an der Reihe – ihnen gebührt unser aller Dank, dass wir aus diesen öffentlich bekannten Fällen lernen durften, um besser gerüstet zu sein.

Finanz- und das Handelsministerium (USA), AstraZeneca , Europäische Arzneimittelbehörde, Klinikum Düsseldorf, BW Fuhrpark Service, TX Group (Mediengruppe), Hirslanden-Gruppe (Krankenhaus), Argentinisches Innenministerium (Passdaten), Wipotec Gruppe (Maschinenbau), GWG Wohnungsbaugesellschaft München, Marabu (Druckfarbenhersteller), Manchester United (Fußball), Flughafen Saarbrücken, Magellan Health, Schmersal (Sicherheitsschaltgeräte und Systeme), Münchner Sicherheitskonferenz, X-Fab (Halbleiter), Software AG, Easyjet, KME (Kupferhersteller), Kammergericht Berlin, Humboldt-Universität, Stadtverwaltung Potsdam, Handwerkskammer Hannover, Ruhr-Universität Bochum, Swatch, DFB, Universität Augsburg, Tracto (Maschinenbau), Fresenius, Optima (Verpackungen), Garmin, Netzsch (Maschinenbau), Technische Werke Ludwigshafen, Kölner Universitäts- und Stadtbibliothek, Sopra Steria, Vastaamo, Symrise, …

Ganz normale Landstraße: Normungsroadmap KI veröffentlicht

Beim DIN wurde die „Normungsroadmap KI“ veröffentlicht. Um ein einheitliches Vorgehen beim Thema IT-Sicherheit von KI-Anwendungen zu ermöglichen, soll eine übergreifende „Umbrella-Norm“ („Horizontale KI-Basis-Sicherheitsnorm“) entwickelt werden, die vorhandene Normen und Prüfverfahren bündelt und um KI-Aspekte ergänzt sowie durch Sub-Normen zu weiteren Themen ergänzt werden kann. Außerdem sollen eine praxisgerechte initiale Kritikalitätsprüfung von KI-Systemen ausgestaltet und ein nationales Umsetzungsprogramm „Trusted AI“ zur Ertüchtigung der europäischen Qualitätsinfrastruktur initiiert werden.

https://www.din.de/de/forschung-und-innovation/themen/kuenstliche-intelligenz/normungsroadmap-ki