We are the Champions, leider: Cyber weltweites Top Risk

Veröffentlicht Veröffentlicht in News

Versicherer müssten es wissen: Im jährlichen Allianz Risk Barometer ist „Cyber“ erstmalig zum weltweiten Top-Risiko aufgestiegen. Hatte sich unser aller Lieblingsthema in den letzten Jahren in einer rasanten Aufholjagd bis auf Platz 2 hinter dem Platzhirsch „Betriebsunterbrechung“ vorgeschoben, gelang in der 2020er-Version des Berichts, der neben Daten der Versicherung auch Experteninterviews mit einbezieht, die Entthronung, mithin der Sprung auf Platz 1. Außer in Deutschland: Hierzulande wird die handelsübliche Betriebsunterbrechung noch ein Quäntchen mehr gefürchtet als das böse C-Wort. Allerdings zählen IT-Vorfälle wiederum global zu den wichtigsten Gründen für Ausfälle, insofern: Die Weltherrschaft steht kurz bevor. Wir „freuen“ uns schon auf das Risk Barometer 2021, welches mit großer Wahrscheinlichkeit den finalen Cyber-Triumph vermelden wird. Oder aber wir strengen uns alle ein bisschen mehr an, um genau das zu vermeiden.

https://www.allianz.com/de/presse/news/studien/200115_Allianz-Risk-Barometer-2020.html

Passend dazu hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Aufsichtsschwerpunkte für 2020 veröffentlicht. An erster Stelle stehen auch hier Digitalisierungs- und Cyberrisiken: „Dies gilt insbesondere, da der überwiegende Teil der IT-Sicherheitsvorfälle bei Finanzmarktteilnehmern auf hausinterne Schwächen der Unternehmen zurückzuführen ist – und nur zu einem kleineren Teil auf externe Angriffe.“

https://www.bafin.de/SharedDocs/Downloads/DE/Broschuere/dl_Aufsichtsschwerpunkte2020.pdf?__blob=publicationFile&v=3

Firmen, Politiker, Privatleute, Sondereinsatzkommandos: Datenleak bei Autovermieter

Veröffentlicht Veröffentlicht in News

Autos mieten (fast) alle. Insofern trifft es auch eine beachtliche Menge von Personengruppen, wenn drei Millionen Kundendatensätze einer großen deutschen Autovermietung versehentlich ungeschützt als SMB-Share im Internet stehen. Genau das geschah beim Anbieter Buchbinder, der zur Europcar-Gruppe gehört und diverse Tochterfirmen sein Eigen nennt. Private Adressen und Telefonnummern von Politikern konnten ebenso abgerufen werden wie Fahrtenprofile von Firmenvertretern und Spezialeinsatzkommandos, Unfallprotokolle und Informationen über angeordnete Blutproben. Zwar wurde das Problem von Sicherheitsforschern entdeckt, da das Scannen nach offenen SMB-Shares jedoch ein Kinderspiel ist, scheint es unwahrscheinlich, dass niemand sonst zugegriffen hat. Auf das Datenschutzbußgeld dürfen wir jedenfalls gespannt sein.

https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html

Datenschutz made in USA: NIST Privacy Framework und CCPA

Veröffentlicht Veröffentlicht in News

Die amerikanische Standardisierungsbehörde NIST hat Version 1.0 ihres „Privacy Frameworks“ veröffentlicht. Es stellt keinen verpflichtenden Standard wie die DSGVO dar, ist jedoch insofern bemerkenswert, als dass sich sogar die föderale Ebene in den USA inzwischen langsam in Richtung Datenschutz bewegt. Im progressiven Kalifornien wurde bereits 2018 eine Regulierung beschlossen, die in einer Reihe von Punkten der europäischen ebenbürtig ist. Nun ist der CCPA (California Consumer Privacy Act) am Jahresanfang in Kraft getreten.

https://www.nist.gov/privacy-framework

https://datenschutz-generator.de/california-consumer-privacy-act-ccpa-dsgvo/

C5v2: BSI stellt aktualisierten C5-Katalog vor

Veröffentlicht Veröffentlicht in News

Das BSI hat den 2016 veröffentlichten „Cloud Computing Compliance Criteria Catalogue“ einer umfassenden Revision unterzogen. Der „C5“ wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet. Die Aktualisierungen betreffen sowohl Formalia als auch die Kriterien, die an den aktuellen Stand der Technik angepasst wurden. Er enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet.

Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht.

https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Kriterienkatalog/C5_AktuelleVersion/C5_Neuerungen_node.html

Vor der eigenen Garage kehren: Microsoft-Parkhäuser im Internet

Veröffentlicht Veröffentlicht in News

Auch der beste SDL (Security Development Lifecycle), Rolling Updates in den aktuellen Betriebssystemen und noch so viele Patch Tuesdays bewahren anscheinend nicht davor, dass der eigene Dienstleister versagt: Die Parkhaussteuerung am Microsoft-Firmensitz sollte normalerweise nicht aus dem Internet erreichbar sein. Trotzdem konnte man auf die Server in Redmond problemlos zugreifen. Immerhin war das Problem schnell behoben.

https://www.golem.de/news/sicherheitsluecken-microsoft-parkhaeuser-ungeschuetzt-im-internet-2001-146025.html

Am Pulse der Unzeit: SSL-Gateway nicht Secure

Veröffentlicht Veröffentlicht in News

Eine Schwachstelle, die auf der international gebräuchlichen Skala CVSS einen Score von 10 erreicht – den Höchstwert –, sieht man nicht alle Tage. Inzwischen wird die seit April letzten Jahres bekannte und (im Idealfall) gepatchte Schwachstelle der von Juniper ausgegründeten SSL-Gateways von PulseSecure aktiv zur Verbreitung von Ransomware ausgenutzt. Das CERT-Bund hatte zuletzt im August öffentlich gewarnt, trotzdem finden sich immer noch ungepatchte Gateways im Internet.
Prominentestes Opfer ist die Firma Travelex, die es jüngst hart traf. Dabei hatten Sicherheitsforscher die Firma schon Mitte September vor ihren ungepatchten SSL-VPNs gewarnt.

https://arstechnica.com/information-technology/2020/01/unpatched-vpn-makes-travelex-latest-victim-of-revil-ransomware/

Toter als tot: SHA1

Veröffentlicht Veröffentlicht in News

Der immer noch viel zu häufig eingesetzte Hash-Algorithmus SHA1 gilt schon seit Jahren als theoretisch gebrochen und deutlich geschwächt. Bisher waren praktische Angriffe für die meisten Akteure jedoch außer Reichweite. Nun konnten Forscher die Kosten für eine sogenannte Kollisionsattacke und vor allem für die wesentlich gefährlichere „Chosen-Prefix Kollisionsattacke“, mit der sich etwa digitale Signaturen fälschen lassen, noch einmal entscheidend auf wenige 10.000 Euro senken, Tendenz fallend.

Höchste Zeit, den diversen Empfehlungen (u. a. des BSI) zu folgen und SHA1 durch modernere Algorithmen wie SHA2 oder SHA3 zu ersetzen.

https://sha-mbles.github.io/

Lesetipps Januar 2020

Veröffentlicht Veröffentlicht in News

Wissen: NCSC Cyber Body of Knowledge

Das britische National Cyber Security Centre (NCSC) hat versucht, in einem Dokument das derzeit aktuelle Wissen zum Thema Cybersicherheit zusammenzutragen. Der „Cyber Security Body of Knowledge“ kann für einige der Themen durchaus ein guter Startpunkt sein.

https://www.ncsc.gov.uk/blog-post/full-version-of-the-cyber-security-body-of-knowledge-published

Modellieren: MITRE ATT&CK Framework

Weniger zum Lesen, sondern viel mehr zum Ausprobieren: Das MITRE ATT&CK Framework hat sich zu einem mächtigen Tool entwickelt, wenn es um die Modellierung von Angreiferverhalten („Tools, Tactics, Procedures – TTP“) geht.

https://attack.mitre.org/resources/getting-started

Mit dem Navigator lässt sich direkt im Browser herumspielen, um etwa zu schauen, welche Angriffsvektoren man noch nicht auf dem Schirm hatte.

https://mitre-attack.github.io/attack-navigator/enterprise

Cheaten: OWASP im neuen Gewand

Ebenfalls einen Blick lohnt die neue Website des OWASP-Projekts, bekannt vor allem für die „Top 10“ der Schwachstellen bei Webapplikationen, aber auch für eine große Sammlung brauchbarer Security-Cheat-Sheets, welche nun einfacher zu finden sind.

https://www.owasp.org

Aufgeben: Undercover in den 2020ern

Gerade Geheimdienste haben es schwer angesichts der immer allgegenwärtigeren personenbezogenen Daten und Überwachungstechniken. Über den vergeblichen Kampf, heute noch undercover zu sein:

https://news.yahoo.com/shattered-inside-the-secret-battle-to-save-americas-undercover-spies-in-the-digital-age-100029026.html

Vertracked: Geo-Lokation als Safety-, Security- und Privacy-Katastrophe

Veröffentlicht Veröffentlicht in News

Eine neue Enthüllungsgeschichte der New York Times nimmt sich den Markt der Sammler und Anbieter von Geo-Lokationsdaten vor. Die gemeinhin unbekannten Firmen verarbeiten Daten, die von Smartphones und vor allem von Tausenden Apps unterschiedlichster Funktion erzeugt werden. Dadurch sind sie in der Lage, genaue Bewegungs- und Persönlichkeitsprofile der meisten Menschen anzulegen. Die Times zeigt eindrucksvoll, wie anhand eines eingeschränkten Auszugs eines solchen Datensatzes Besucher bei Celebrities und im Weißen Haus, Mitarbeiter im Pentagon und Demonstranten unterschiedlicher Couleur nicht nur mühelos identifiziert, sondern virtuell bis zu ihren Wohnungen und Arbeitsstätten verfolgt werden konnten. In den Händen eines Stalkers wäre ein solcher Datensatz, der auf dem grauen Markt bereits heute käuflich zu erwerben ist, ein Albtraum – in den Händen eines autoritären oder sich in die autoritäre Richtung entwickelnden populistischen politischen Systems eine Katastrophe. Denn diese Art von Daten ist kaum zu anonymisieren und zudem bisher faktisch und praktisch nicht ausreichend reguliert.

https://www.nytimes.com/tracked ​​​​​

Rechnung von der Schwiegermutter: Emotet-Masche zieht

Veröffentlicht Veröffentlicht in News

Die neue Masche von Emotet und Co., die Glaubwürdigkeit von SPAM-Nachrichten mit Viren-Anhängen zu erhöhen, indem Kontakte und frühere Konversationen bei bereits befallenen Opfern angezapft und genutzt werden, um neue potenzielle Opfer anzusprechen (wir berichteten), scheint unheilvoll zu ziehen. So traf es in den letzten Tagen unter anderem das Klinikum Fürth, die Stadtverwaltung Frankfurt und die Uni Gießen (wobei hier die Hintergründe noch nicht klar sind). Ganz nach dem Motto: Auch wenn es irgendwie merkwürdig ist, warum mir meine Schwiegermutter eine Rechnung schickt, klicke ich aus reiner Neugier trotzdem. Aktuelle Awareness-Kampagnen reichen nicht mehr aus, um die Nutzer immun zu machen.

https://www.faz.net/aktuell/rhein-main/diese-schadsoftware-hat-das-it-system-der-uni-giessen-befallen-16543809.html

Dies lässt sich gut im Rahmen einer größeren „Marktverschiebung“ zu immer komplexeren Viren lesen. Hier gut zusammengefasst von Heise: https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html