Kategorie: News

HiSolutions Research
News

Cyberei auf drei dabei: Cybersicherheit Top 3 Risiko weltweit

Cyber-Vorfälle sind laut Allianz Risk-Barometer 2020 von Platz 1 auf 3 der weltweiten Top-Unternehmensrisiken “abgerutscht” – wegen Corona. Platz 1 und 2 nehmen jetzt die Geschäftsunterbrechung (hoch von 2) und, wenig überraschend, die Pandemie (hoch von 17) ein. Allerdings betont der Report, der bereits im zehnten Jahr erscheint und auf Einschätzungen von über 2.700 Experten aus 92 Ländern beruht (CEOs, Risikomanager, Makler und Versicherungsexperten), dass diese drei Risiken nicht unabhängig voneinander zu betrachten sind. So hat Corona auch die Cyberlage verschärft, und Cyber ist einer der wesentlichen Risikofaktoren für Geschäftsausfälle. In Deutschland liegt das Thema übrigens sogar auf Platz 2, noch vor der Pandemie. Informationssicherheit bleibt also mit der formalen „Bronzemedaille“ national wie weltweit auch 2020 ff. eines der Schlüsselfelder für das Risikomanagement.

https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2021-de.html

HiSolutions Research
News

Wall of… Awareness: Prominente Opfer 2020

2020 sollte allen klar sein, dass es keine Schande ist, Opfer von Ransomware oder anderen großen Cyber-Attacken geworden zu sein. Es kann jedes Unternehmen und jede Behörde treffen. In diesem Jahr waren unter anderem die folgenden Institutionen an der Reihe – ihnen gebührt unser aller Dank, dass wir aus diesen öffentlich bekannten Fällen lernen durften, um besser gerüstet zu sein.

Finanz- und das Handelsministerium (USA), AstraZeneca , Europäische Arzneimittelbehörde, Klinikum Düsseldorf, BW Fuhrpark Service, TX Group (Mediengruppe), Hirslanden-Gruppe (Krankenhaus), Argentinisches Innenministerium (Passdaten), Wipotec Gruppe (Maschinenbau), GWG Wohnungsbaugesellschaft München, Marabu (Druckfarbenhersteller), Manchester United (Fußball), Flughafen Saarbrücken, Magellan Health, Schmersal (Sicherheitsschaltgeräte und Systeme), Münchner Sicherheitskonferenz, X-Fab (Halbleiter), Software AG, Easyjet, KME (Kupferhersteller), Kammergericht Berlin, Humboldt-Universität, Stadtverwaltung Potsdam, Handwerkskammer Hannover, Ruhr-Universität Bochum, Swatch, DFB, Universität Augsburg, Tracto (Maschinenbau), Fresenius, Optima (Verpackungen), Garmin, Netzsch (Maschinenbau), Technische Werke Ludwigshafen, Kölner Universitäts- und Stadtbibliothek, Sopra Steria, Vastaamo, Symrise, …

HiSolutions Research
News

Ganz normale Landstraße: Normungsroadmap KI veröffentlicht

Beim DIN wurde die „Normungsroadmap KI“ veröffentlicht. Um ein einheitliches Vorgehen beim Thema IT-Sicherheit von KI-Anwendungen zu ermöglichen, soll eine übergreifende „Umbrella-Norm“ („Horizontale KI-Basis-Sicherheitsnorm“) entwickelt werden, die vorhandene Normen und Prüfverfahren bündelt und um KI-Aspekte ergänzt sowie durch Sub-Normen zu weiteren Themen ergänzt werden kann. Außerdem sollen eine praxisgerechte initiale Kritikalitätsprüfung von KI-Systemen ausgestaltet und ein nationales Umsetzungsprogramm „Trusted AI“ zur Ertüchtigung der europäischen Qualitätsinfrastruktur initiiert werden.

https://www.din.de/de/forschung-und-innovation/themen/kuenstliche-intelligenz/normungsroadmap-ki

HiSolutions Research
News

Es sieht schwarz aus für den Rotwald – Microsoft kündigt ESAE ab

Das unaussprechliche Enhanced Security Admin Environment (ESAE), vielen auch unter dem griffigeren Namen Red Forest bekannt, ist ein Konzept, das in Kennerinnen und Kennern unterschiedlichste Reaktionen ausgelöst hat: von Ehrfurcht (ob des möglichen Sicherheitsniveaus) bis zu hysterischem Lachen (ob des sechsstelligen Taschengeldes, das notwendig war, damit Vertreter der Erfinderin Microsoft überhaupt vorbeikamen, um über diese Geheimwaffe zu reden). Nun schickt Redmond den Red Forest aufs Altenteil – zu komplex und zu schwerfällig war die Idee, um unter dem Strich für ein Plus an Hochsicherheit sorgen zu können. Ersetzt werden soll ESAE nach Microsofts Idee durch die hauseigene Privileged Access Strategy und die Rapid Modernization Plan (RAMP) Anleitung. Einzig Microsoft selbst möchte intern weiter eine Art Red Forest betreiben „because of the extreme security requirements for providing trusted cloud services to organizations around the globe.“

https://docs.microsoft.com/en-us/security/compass/esae-retirement

HiSolutions Research
News

Praktisch unsicher: Elektronische Patientenakte stolpert über Konfigurationslücken

Ab Januar ist die elektronische Patientenakte (ePA) in Arztpraxen, Krankenhäusern und Apotheken in Betrieb. Dann können über die Telematik-Infrastruktur sensible Gesundheitsinformationen miteinander ausgetauscht werden. Doch IT-Sicherheitsforscher fanden gravierende Sicherheitslücken bei der Konfiguration der sogenannten Konnektoren, welche die Praxen an die Infrastruktur anbinden. In etwa 30 Fällen hätten Angreifer der Telematik-Infrastruktur vortäuschen können, eine Arztpraxis zu sein, und damit ohne Passwortschutz Zugriff auf alle Patientenakten der Praxis bekommen.

https://www.tagesschau.de/investigativ/br-recherche/sicherheit-telematik-101.html

HiSolutions Research
News

Oh IOT oh IOT, fast verjessen: AMNESIA:33

AMNESIA:33 ist eine Sammlung von 33 Schwachstellen in vier weit verbreiteten TCP/IP-Stack-Implementierungen. uIP, FNET, picoTCP und Nut/Net decken als Basiskomponenten insgesamt viele Millionen vernetzter Geräte ab. Die Schwachstellen ermöglichen via Memory Corruption Angriffe wie Remote Code Execution (RCE), Denial of Service (DoS) und den Diebstahl von Informationen.

AMNESIA:33
HiSolutions Research
News

Lesetipps Dezember 2020

Anstelle des Weihnachtsschmucks

Wem die Kreativität für Lamettagraphentheorie, Christbaumkugelpackungen oder Lebkuchenhauskonstruktionen in diesem Jahr ausgegangen ist, der kann sich auch einfach diese hübschen Netzwerktechnik-Cheat-Sheets in DIN A0 an die Wand hängen. Frohes Fest!

https://packetlife.net/library/cheat-sheets


Anstelle eines Weihnachtslieds

Und wem nicht nach Weihnachtsliedern zumute ist, der kann stattdessen Deichkind hören, die ein Video von „Frag den Staat“ musikalisch hinterlegt haben. Die Plattform hat auch 2020 mit der konsequenten Nutzung des Informationsfreiheitsgesetzes (IFG) dazu beigetragen, dass die Öffentlichkeit über diverse die Cybersicherheit betreffende Vorgänge informiert werden konnte.

https://fragdenstaat.de/spenden/wfds/#video

HiSolutions Research
News

IT-SiG 2.0 v0.3

Das IT-Sicherheitsgesetz 2.0 ist immer noch nicht fertig – und wird es auch in diesem Jahr nicht mehr. Immerhin wurde am 19.11. der dritte Referentenentwurf bekannt.

Viele Punkte sind aus den vorigen Entwürfen bekannt, es gibt aber auch Neuerungen. So sollen Bußgelder nicht mehr analog zur DSGVO bis zu 4 % des weltweiten Jahresumsatzes umfassen, sondern bei 2 Mio. Euro gedeckelt werden. Sicherheitsanforderungen sind nun auch für „Unternehmen im besonderen öffentlichen Interesse“ vorgesehen, für wirtschaftlich systemrelevante Unternehmen und für Gefahrstoffbetriebe (Chemie). Das BSI soll weiterhin die Befugnis bekommen, öffentlich zugängliche Internetdienste und Geräte zu hacken, um Sicherheitslücken aufzudecken. Letzteres ist problematisch aufgrund der fehlenden Unabhängigkeit des Bundesamts vom Innenministerium, das auch Strafermittlungsbehörden und Verfassungsschutz beherbergt. Es besteht damit die Gefahr, dass gefundene Sicherheitslücken für diese Zwecke geheim gehalten werden, anstelle bei den Softwareherstellern und  Anwendern für die Beseitigung zu sorgen.

Der dritte Referentenentwurf soll nun in die sogenannte Ressortabstimmung gehen. Eine Verabschiedung des Gesetzes im Frühjahr 2021 wäre möglich, einige Beobachter rechnen aber eher mit einer Punktlandung vor dem Ende der Legislaturperiode im Sommer. Unklar ist aktuell aber auch noch, ob es bereits einen Konsens in der Bundesregierung für diesen Entwurf gibt – oder ob demnächst ein weiterer folgt.

Eine detaillierte Analyse der Änderungen:

IT-SiG 2.0: Dritter Referentenentwurf mit Stand vom 19.11.2020 veröffentlicht