Kategorie: News

Informationssicherheit ist ein stetig wachsender Erfolgsfaktor für Unternehmen und Institutionen. Die internationale Norm ISO/IEC 27001 stellt bei der Darstellung eines verlässlichen Information Security Managements eines der bekanntesten und anerkanntesten Frameworks im internationalen Umfeld dar. Die Normreihe der ISO 27001 unterliegt kontinuierlichen Anpassungen. Nach der Veröffentlichung der ISO/IEC 27002:2021 im vergangenen Jahr steht nun auch die Neuauflage, die ISO/IEC 27001:2022, ins Haus.

Bei unserem kostenfreien Remote-Wissensfrühstück erhalten Sie einen Überblick über die anstehenden Änderungen und deren Bewertung, Anwendungsgebiete der ISO 27001 und das Zusammenspiel mit anderen Bereichen des Risiko- und IT-Sicherheitsmanagements.

https://www.hisolutions.com/knowhow

Webseiten der ukrainischen Regierung sind Ziel eines Cyberangriffs geworden. Sie wurden zum Teil mit politischen Botschaften verschandelt („Defacement“). Zudem wurden kritische Infrastrukturen des Landes von der Malware WhisperGate befallen. Unter anderem die Log4j-Schwachstelle und eine Schwachstelle in October CMS wurden benutzt, um in die Systeme einzudringen. Die Malware ist keine Ransomware, denn sie hat keinen Wiederherstellungsmechanismus und ist somit auf Zerstörung und Sabotage ausgelegt.

https://www.securityweek.com/ukraine-reports-massive-cyber-attack-government-websites

Das sogenannte Onlinezugangsgesetz (OZG) will nicht nur eine Verbesserung des Onlinezugangs zu Verwaltungsleistungen erreichen, sondern gleichzeitig auch deren Security erhöhen. Die neue IT-Sicherheitsverordnung Portalverbund (ITSiV-PV) des BMI sieht daher regelmäßige Webchecks und Pentests durch BSI-zertifizierte IT-Sicherheitsdienstleister wie HiSolutions vor. Das trifft Behörden von Bund und Ländern, und zwar sämtliche Dienste mit hohem oder sehr hohem Schutzbedarf in mindestens einem Schutzziel sowie alle Komponenten, die unmittelbar mit dem Internet verbunden sind. Auch nach größeren Änderungen werden Überprüfungen fällig.

https://www.buzer.de/ITSiV-PV.htm

Als nächsten neuralgischen Punkt einer wichtigen Supply-Chain hat es die Energiebranche erwischt: Die Firma Kisters ist außerhalb des Sektors Wenigen bekannt, stellt aber einen wichtigen Dienstleister und Single Point of Failure dar. Dies wurde schmerzlich bewusst, als zentrale Systeme von Kisters durch eine Ransomware verschlüsselt wurden. Durch diese wurden die Mitarbeiterinnen und Mitarbeiter aus den eigenen Systemen ausgesperrt und konnten so zeitweise auch keinen Kundensupport leisten. Bisher gibt es keine Hinweise darauf, dass ausgelieferte Software kompromittiert wurde.

Die US-Bankenaufsicht hat hart durchgegriffen und die sogenannte „Final Rule“ veröffentlicht: Demnächst müssen US-Banken und ihre Dienstleister Security Incidents innerhalb von 36 Stunden melden.

Zusätzlich sind „asap“ auch betroffene Kunden zu informieren, wenn es plausibel erscheint, dass ein Ausfall oder eine Störung durch einen Cyber-Vorfall mehr als vier Stunden dauern könnte. Die Regelung tritt am 1.5.2022 in Kraft.

https://www.fdic.gov/news/board-matters/2021/2021-11-17-notational-fr.pdf

Die Sicherheit der Impfzertifikats-PKI ist in manchen Ländern noch eine Baustelle. So präsentierten Unbekannte Impfzertifikate, die sie auf den Namen „Adolf Hitler“ ausstellen konnten. Angeblich hatten sie Zugriff auf die privaten Schlüssel der CA-Zertifikate von Frankreich und Polen. Allerdings ist die Kompromittierung der Root-CA nur eine mögliche Erklärung dieses Zwischenfalls. Leider ist die Aufklärung des Sachverhalts erschwert, da das zuständige Gesundheitsministerium keine Details zum Sperrverfahren preisgeben möchte.

https://www.golem.de/news/impfnachweise-covid-zertifikat-fuer-adolf-hitler-aufgetaucht-2110-160633.html

Zwar fallen die Specs von Quantencomputern im Vergleich zu handelsüblichen „klassischen“ Rechnern immer noch bescheiden aus, allerdings wurden auf diesem Gebiet in den letzten zwei Jahren erhebliche Fortschritte erzielt.

Ganze 256 „Qubits“ (Quanten-Bits) umfasst nun ein neu angekündigter Chip, und nächstes Jahr soll die Kilo-Qubit-Grenze fallen. Noch reicht dies nicht, um Algorithmen wie RSA, Diffie-Hellman und elliptische Kurven zu brechen. Sollte die Entwicklung allerdings in diesem Tempo weitergehen, müssen wir Schätzungen ernst nehmen, nach denen Quantencomputer in „5-15“ Jahren verfügbar sein könnten und die heute genutzte Kryptographie in weiten Teilen nutzlos machen würden.

https://www.heise.de/news/Neuer-Rekord-bei-Quantencomputern-Start-up-meldet-Quantenchip-mit-256-Qubits-6270691.html

Miniaturkameras, inzwischen für kleines Geld in Reiskorngröße zu bekommen, stellen eine zunehmende Gefährdung dar. Angebracht in Einrichtungs- und Alltagsgegenständen wie etwa in Hotels oder Ferienwohnungen bedrohen sie nicht nur Geschäftsgeheimnisse, sondern vor allem auch die Privatsphäre. Dies wiederum lässt sich bisweilen zu erpresserischen Zwecken ausnutzen.

Forscher haben nun eine App entwickelt, mittels derer ein Smartphone unter Nutzung des Entfernungssensors einen Raum nach diesen Spionageeinrichtungen erfolgreich scannen kann. Eine Veröffentlichung der App ist geplant.

Forscher der „Deception“-Abteilung von Microsoft haben ihre Honeypots umfangreich ausgewertet und dabei interessante Erkenntnisse über Brute-Force-Angriffe gewonnen. So stellte sich heraus, dass Angreifer eher selten versuchen, Passwörter mit einer Länge von mehr als zehn Zeichen zu erraten. Zahlen als Teil des Passworts werden oft probiert, Sonderzeichen hingegen schon seltener.

Geheimtipp: Leerzeichen als Teil des Passworts vermuten die Angreifer scheinbar nie. 😉

https://therecord.media/attackers-dont-bother-brute-forcing-long-passwords-microsoft-engineer-says/

Aus den Verhandlungen

Neue Forschung zum Thema Ransomware-Ökonomie inklusive Original-Beispielen aus Erpresserverhandlungen:

Auf die Ohren

Manuel Atug von HiSolutions zu Gast im Percepticon-Podcast von Matthias Schulze zum Thema Ransomware: