Endspurt vor dem Brexit? Rekord-Datenschutzbußgelder in Großbritannien

Veröffentlicht Veröffentlicht in Kurzmeldungen

Die britische Datenschutzaufsichtsbehörde hat wegen eines Datenschutzvorfalls ein Bußgeld über 205 Millionen Euro gegen British Airways verhängt. Interessanterweise hatten diese den Vorfall selbst gemeldet, weswegen die Firma Widerspruch gegen die Entscheidung einlegen will. Ein weiteres Bußgeld von rund 110 Millionen Euro droht Marriott International. Auch hier ist der Grund ein Datenschutzvorfall.
Aber nicht nur auf der Noch-EU-Insel wird es ernst: Die Niederländer haben gegen ein Krankenhaus ein Bußgeld von 460.000 Euro verhängt. Grund war, dass die Patientenakte eines Prominenten zu vielen Personen zugänglich gemacht wurde (Art. 32 DSGVO).

https://www.heise.de/security/meldung/Marriott-Daten-von-500-Millionen-Hotelgaesten-abgegriffen-4236576.html

https://www.spiegel.de/netzwelt/netzpolitik/british-airways-millionenstrafe-wegen-datenpanne-a-1276270.html

https://autoriteitpersoonsgegevens.nl/nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-pati%C3%ABntendossiers

Bisschen bipartisan schadet nie: Securing Energy Infrastructure Act verabschiedet

Veröffentlicht Veröffentlicht in Kurzmeldungen

Der US-Senat hat ein von Abgeordneten beider großen Parteien („bipartisan“) eingebrachtes Gesetz zum Schutz der Stromnetze verabschiedet: Der „Securing Energy Infrastructure Act (SEIA)“ schafft ein auf zwei Jahre angelegtes Pilotprogramm, um Möglichkeiten zu erforschen, das Grid zukünftig durch „Low-Tech“ resilienter gegen Cyberattacken zu machen. Entgegen dem allgemeinen Trend der Automatisierung und Vernetzung sollen wieder verstärkt „analoge und nicht-digitale Geräte“ zum Einsatz kommen.

https://www.utilitydive.com/news/senate-passes-cybersecurity-bill-to-decrease-grid-digitization-move-toward/557959/

Aber sicher, Partner: 2FA für Microsoft Cloud Partner

Veröffentlicht Veröffentlicht in Kurzmeldungen

Microsoft will die Sicherheitsbedingungen für Partner verschärfen. „Cloud Partner“ verkaufen Leistungen von Microsoft weiter und bieten dabei administrative Hilfe an. Unter anderem soll Zwei-Faktor-Authentifizierung (2FA) Pflicht werden. Zuletzt hatte etwa PCM Inc. einen Sicherheitsvorfall aufgrund eines Phishing-Angriffs erlitten.

https://krebsonsecurity.com/2019/06/microsoft-to-require-multi-factor-authentication-for-cloud-solution-providers/

https://krebsonsecurity.com/2019/06/breach-at-cloud-solution-provider-pcm-inc/

Millionen? Ich dachte Milliarden! Quantencomputer rücken dank Rechentricks näher

Veröffentlicht Veröffentlicht in Kurzmeldungen

Quantencomputer gefährden bekanntlich, wenn sie einmal in ausreichender Größe gebaut werden können, das Gros der heute im Einsatz befindlichen kryptographischen Verfahren. Unter anderem sind asymmetrische Kryptographie wie RSA und elliptische Kurven sowie die meisten Arten von Signaturen hinfällig, symmetrische Algorithmen wie AES büßen de facto „nur“ die Hälfte ihrer effektiven Schlüssellänge ein. Noch gibt es jedoch große technische Hürden, ausreichend Stabilität hinzubekommen, um einen Quantenrechner ernstzunehmende Dechiffrierung ausführen zu lassen –theoretisch. Forschern von Google und des Royal Institute of Technology in Stockholm ist es nun gelungen, die Algorithmen so umzuformen, dass 20 Millionen wackelige Qubits genügen könnten, um RSA 2048 zu brechen. Das ist immer noch weit über dem aktuellen Rekord von 70 Qubits, aber zwei Größenordnungen unter der zuvor benötigten Zahl von einer Milliarde Qubits. Sollte die Forschung in diesem Tempo weitergehen, wären praktische Quantencomputer vermutlich weniger als 10 Jahre entfernt.

https://www.technologyreview.com/s/613596/how-a-quantum-computer-could-break-2048-bit-rsa-encryption-in-8-hours

Sicherer Brausen: BSI-Mindeststandard Browsersicherheit

Veröffentlicht Veröffentlicht in Kurzmeldungen

Das BSI hat einen Draft des überarbeiteten Mindeststandards für sichere Browser publiziert. Ein Muss sind demnach inzwischen moderne Sicherheitstechniken wie HSTS (HTTP Strict Transport Security; erzwungenes TLS), CSP (Content Security Policy; Schutz vor Einschleusung von Daten wie XSS) und SRI (Subresource Integrity; Integritätsschutz von Drittparteikomponenten einer Webseite wie etwa auf einem CDN gehosteter Skripte). Anmerkungen der Community sind gerne gesehen.

https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards_Bund/Sichere_Web-Browser/Sichere_Web-Browser_node.html

I Query the Power: Neue Angriffe auf Excel

Veröffentlicht Veröffentlicht in Kurzmeldungen

Excels Power-Query-Feature kann über das Uraltprotokoll DDE (Dynamic Data Exchange) Dateien von Remote-Quellen importieren. Damit lässt sich auch bösartiger Code in ein System einschleusen – schwer zu erkennen für den Nutzer, da kaum Interaktion notwendig ist. Den Forschern von Mimecast gelang damit die Umgehung der Sandbox, die per E-Mail versandte Dokumente analysieren soll, bevor Nutzer sie öffnen. Normalerweise müsste der Nutzer DDE per Doppelklick in eine Zelle und einen weiteren Klick erlauben – nicht aber, wenn der Angreifer das bösartige Dokument in einer älteren Version von Office erstellt. In Word ist DDE wegen ähnlicher Probleme schon seit 2017 deaktiviert.

https://www.mimecast.com/blog/2019/06/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered/

War das 1 Game – innogy eröffnet Energie-Cyberrange

Veröffentlicht Veröffentlicht in Kurzmeldungen

Interaktivität und Realismus werden im Training von Cyberzwischenfällen immer wichtiger, um Komplexität und auch Stressniveau realer Angriffe abbilden und üben zu können. Der Essener Energiekonzern innogy ist nun für die deutsche Energiebranche vorgeprescht und hat die „Cyberrange-e“ eröffnet, ein interaktives Trainingszentrum für „War Gaming“. Das blaue Team, bestehend aus Mitarbeitern verschiedener Energiefirmen, muss die Angriffe des roten Teams „professioneller Hacker“ (FAZ), das in einem anderen Raum untergebracht ist, abwehren. Innogy hat das Konzept mit einer von israelischen Sicherheitsexperten gegründeten Firma erarbeitet, die schon länger solche „CyberGyms“ betreibt.

https://www.faz.net/aktuell/wirtschaft/diginomics/innogy-eroeffnet-trainingszentrum-gegen-hackerangriffe-16262688.html

Lesetipps Juli 2019

Veröffentlicht Veröffentlicht in Kurzmeldungen

Don’t Cry For Me, Internet

Der Tech-Journalist Zack Whittaker schreibt zwei Jahre nach dem verheerenden WannaCry-Angriff die Geschichte der Malware nieder, vor allem aber der Personen, die mit Mut, Glück und sehr viel Schlafmangel einen noch übleren Ausbruch verhindern konnten und deren Leben seitdem nie mehr dasselbe war.

https://techcrunch.com/2019/07/08/the-wannacry-sinkhole

Marcus „MalwareTech“ Hutchins hat sich im April in zwei der zehn von der US-Anwaltschaft gegen ihn erhobenen Anklagepunkte schuldig bekannt. Das Urteil des in der Security-Szene für seine späteren „Heldentaten“ und seine Online-Schulungen (Live-Reverse-Engineering) verehrten Sicherheitsforschers dürfte in Kürze fallen und von dauerhafter Ausweisung bis maximal 10 Jahre Gefängnis reichen.

https://krebsonsecurity.com/2019/04/marcus-malwaretech-hutchins-pleads-guilty-to-writing-selling-banking-malware

Hacke Backe Eierkuchen?

Ein längerer Beitrag in der ZEIT beleuchtet die verschiedenen Bestrebungen, das umstrittene und nach Meinung vieler Experten risikobehaftete Thema „Hackback“, also den aktiven Gegen- oder präventiven Erstschlag mit Cyberwaffen, zu etablieren.

https://www.zeit.de/digital/internet/2019-07/hackback-cyberwar-datensicherheit-digitaler-angriff-bundesregierung

The Times They Are A-Changing

In den weltgrößten Tech-Firmen tobt ein „Bürgerkrieg“ (Zitat Fortune). Nachdem das „Don’t Be Evil“-Mantra bereits seit Jahren angekratzt ist (bzw. Microsoft sich durch Umarmung von Open Source erst langsam in der Tech-Community Respekt erarbeitet hatte und Amazon von ethischen Überlegungen eh immer weitgehend ungetrübt agierte), haben sich die Auseinandersetzungen um Chancengleichheit, Geschlechtergerechtigkeit, sexuelle Belästigung, Stalking und Arbeitsbedingungen inzwischen auf viele „hippe“ Firmen im Silicon Valley und anderswo ausgeweitet. Ein langes Feature in Fortune untersucht, wie es dazu kommen konnte. Möglicherweise stehen uns in Europa einige Diskussionen erst noch bevor.

https://fortune.com/longform/inside-googles-civil-war