Kategorie: News

News

C5 4 AI = AIC4: Cloud Service Compliance Criteria Catologue für KI

Klassische Security-Standards lassen sich aufgrund der Besonderheiten von KI-Systemen nicht einfach auf diese übertragen. Seit 2019 arbeitet das Kompetenzzentrum Künstliche Intelligenz im BSI daran, Aspekte wie Robustheit, Sicherheit, Verlässlichkeit, Integrität, Transparenz, Erklärbarkeit, Interpretierbarkeit und Nichtdiskriminierung zu normieren. Als erstes Ergebnis ist nun der „AI Cloud Service Compliance Criteria Catalogue“ (AIC4) veröffentlicht worden. AIC4 ist an den Cloud Computing Compliance Criteria Catalogue (C5) angelehnt, der ebenfalls auf dem internationalen Standard ISAE 3402 für Interne Kontrollsysteme (IKS) basiert, und kann wie dieser in einem Second-Party-Audit durch Wirtschaftsprüfer testiert werden. Im Katalog AIC4 ist die Umsetzung des C5-Katalogs als Anforderung mit enthalten.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kuenstliche-Intelligenz/kuenstliche-intelligenz_node.html

News

Meine Analytics! Microsoft 365 durchleuchtet User

Das „My“ im Namen ist gleichzeitig verräterisch und irreführend: Die Erweiterung MyAnalytics in Microsoft 365 erfasst massenhaft Nutzungsdaten. Seit die Funktion, die umfassend auf Kalender- und E-Mail-Daten zugreifen kann, auch für Europa freigeschaltet wurde, gibt es plötzlich einen Aufschrei in Bezug auf Datenschutz und betrieblicher Mitbestimmung. Wird die Funktion „Productivity Score“ aktiviert, so werden standardmäßig Namen, Gruppenzugehörigkeiten und Standorte aller Angestellten sowie automatisch auch alle Nutzungsdaten von Word, PowerPoint, Excel, OneNote, Outlook, Skype und Teams aufgezeichnet – die perfekte Leistungsüberwachung, zumindest von der Möglichkeit her. Eine Anonymisierung muss gezielt durch Admins erfolgen, deren Zugriffe durch die User selbst nicht nachvollzogen werden können. 

https://www.sueddeutsche.de/digital/microsoft-productivity-score-ueberwachung-arbeitsplatz-1.5130228

News

Kompromisslos geliefert: MITRE-Report Supply-Chain-Security

Derweil sucht die IT-Sicherheitsforschung fieberhabt nach Wegen, wie das komplexe Problem der Supply-Chain-Security in den Griff zu bekommen ist. So hat das US-Forschungszentrum MITRE jüngst den Bericht „Deliver Uncompromised: Securing Critical Software Supply Chains“ veröffentlicht. Dieser enthält nichts geringeres als einen Vorschlag für ein Framework, das Softwareintegrität über die ganze Lieferkette Ende-zu-Ende gewährleisten kann.

https://www.mitre.org/sites/default/files/publications/pr-21-0278-deliver-uncompromised-securing-critical-software-supply-chains.pdf

News

Kettenreaktion: Supply-Chain bleibt ein schwaches Glied

Spätestens seit den Enthüllungen um #Sunburst aka #Solorigate zum Ende des vergangenen Jahres ist immer klarer geworden, wie tiefgehend und schwer zu beheben das Problem der Supply-Chain-Security ist. Wie die französische Nationale Agentur für Sicherheit der Informationssysteme (ANSSI) nun mitteilte, wurde auch Centreon, ein französischer Mitbewerber zu SolarWinds, zum indirekten Angriff auf mehrere französische Unternehmen und Behörden missbraucht. Hierbei soll eine Schwachstelle in einem Webserver das Einfallstor gewesen sein.

https://www.heise.de/news/Frankreich-Centreon-Server-waren-jahrelang-infiltriert-5055835.html

News

HISOLUTIONS – Erfolgreiches Krisenmanagement nach Ransomware-Angriff

Infolge eines Ransomware-Angriffs wurden kürzlich sämtliche Betriebsabläufe einschließlich des vollautomatisierten Herstellungsprozesses bei der Firma Schäfer Trennwandsysteme GmbH, Produzentin von Systemen für Umkleide- und Sanitäranlagen, unterbrochen und das Unternehmen erpresst. Dass ein solcher Vorfall bei professionellem Krisenmanagement nicht katastrophal ausgehen muss, zeigt eine gerade veröffentlichte Fallstudie von Schäfer und HiSolutions: Dank umgehender Unterstützung in Form von Krisenmanagern vor Ort und Beratung zum Aufbau eines Krisenmanagements, der dazugehörigen Kommunikation sowie bei der forensischen Analyse und Wiederherstellung der Geschäftsfähigkeit konnten nach vier Wochen der Regelbetrieb wiederhergestellt und nennenswerte Verzögerungen in der Auslieferung von Kundenaufträgen verhindert werden.

https://www.hisolutions.com/detail/krisenmanagement-nach-ransomware-angriff

News

Baustein-Baustelle: IT-Grundschutzkompendium 2021 veröffentlicht

Das BSI hat turnusgemäß die 2021er-Version des IT-Grundschutz-Kompendiums veröffentlicht, zunächst nur als PDF. In der Version 2021 sind wieder zwei Bausteine neu hinzugekommen: „CON.10 Entwicklung von Webanwendungen“ und „INF.11 Allgemeines Fahrzeug“. Die übrigen 96 Bausteine wurden überarbeitet, davon 6 Bausteine umbenannt, zusammengefasst und/oder in eine andere Schicht verschoben. Anwendern des Standards bleibt es daher nicht erspart, ihre Sicherheitskonzepte weitgehend zu überarbeiten, um IT-Grundschutz-konform zu bleiben.

https://www.heise.de/news/Neues-IT-Grundschutz-Kompendium-Web-Anwendungs-und-Fahrzeug-IT-Sicherheit-5051743.html

Das BSI hat übrigens kürzlich seine Web-Präsenz relauncht, sodass sich die meisten Deep-Links zu Grundschutz-Bausteinen und vielen anderen Themen leider geändert haben.

News

Signing In the Rain: Von Decryption und Signing Oracles – Covert-Content-Angriffe auf E-Mail

Aktuelle Forschung unserer Kollegin Heike Knobbe zeigt, dass viele gängige E-Mail-Clients heute immer noch anfällig sind für die vor wenigen Jahren entdeckten Angriffe Decryption Oracle und Signing Oracle. Der Blog-Post beschreibt die Attacken und gibt Hinweise für notwendige Gegenmaßnahmen.

https://research.hisolutions.com/2021/01/von-decryption-und-signing-oracles-covert-content-angriffe-auf-e-mail/

News

Smishing (im)possible? Phishing-Angriffe per SMS häufen sich

In den letzten Tagen gehen vermehrt verdächtige SMS-Nachrichten bei Mitarbeiterinnen und Mitarbeitern von Unternehmen und Behörden ein, mit Texten wie „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. [Link]“. Bei dieser Art von SMS handelt es sich um einen Phishing-Versuch per SMS, auch „Smishing“ genannt. Dies bezeichnet einen Betrugsversuch, bei dem automatisiert oder gezielt SMS mit irreführenden Informationen versandt werden, um die Empfänger zur Herausgabe sensibler Daten zu verleiten. Unser Artikel erklärt, wie die Angriffe funktionieren und wie man sich dagegen schützen kann.

https://research.hisolutions.com/2021/01/phishing-per-sms-smishing-angriffe-haeufen-sich/

News

Papier-Tiger oder Praxis-Löwe: Umsetzung des § 8a BSIG in der Praxis

Seit Juli 2015 ist das IT-Sicherheitsgesetz nun bereits in Kraft. Insbesondere die Anforderungen nach § 8a BSI-Gesetz haben dabei weitreichende Anforderungen für die Betreiber kritischer Dienstleistungen gebracht. Der ausführliche Beitrag „Umsetzung des § 8a BSIG in der Praxis – Eine Reise zwischen Nachweiserbringungen, Zertifizierungen und dem wirklichen Leben“ unseres Experten Daniel Jedecke im Research-Blog geht der Frage nach, ob die Regulierung nur einen Papier-Tiger erschaffen oder tatsächliche Hilfe für die Bevölkerung gebracht hat.

https://research.hisolutions.com/2021/01/umsetzung-des-%c2%a78a-bsig-in-der-praxis/

News

Medientipps Januar 2021

Heute einmal nichts zu lesen. Aber zu:


Hören: DLF Kultur Feature „Datensicherheit oder Abwehr von Cyberkriminalität“

Unter anderem zu KRITIS und IT-Sicherheitsgesetz 2.0, mit Manuel Atug von HiSolutions.

https://www.deutschlandfunkkultur.de/datensicherheit-oder-abwehr-von-cyberkriminalitaet-politik.976.de.html?dram:article_id=491400


Sehen: ZDF WISO – Gestohlene Payback-Punkte

Cyberangriff auf Payback-Punkte? Banken und andere Zahlungsdienstleister wie Paypal haben aufgrund der EU-Zahlungsdiensterichtlinie PSD2 ihre Sicherheitsmaßnahmen hochfahren müssen. Dadurch ist der Druck auf Anbieter wie Payback gestiegen. Eine Recherche von ZDF WISO ging dem am 11.1.2021 von 19:25-20:15 mit der Expertise von HiSolutions auf den Grund. Nachzuschauen online (ab Minute 25’40):

https://research.hisolutions.com/2021/01/zdf-wiso-gestohlene-payback-punkte/


Meeten: Scalable Security am 17.2.2021 16-17 Uhr beim it’s.BB – Das IT-Sicherheitsnetzwerk

Zweifellos wird Informationssicherheit für alle Arten von Organisationen immer wichtiger. Während Konzerne oder Behörden sich im Wesentlichen auf die „großen“ Standards IT-Grundschutz und ISO 27001 stürzen, stellt sich für viele andere Akteure die Frage: Wo fange ich an? Was sind die ersten drei Schritte, wenn ich ein junges Startup, ein mittelgroßer Verein, eine größere NGO, ein Sportclub oder ein KMU bin? Was könnte oder sollte mein Ziel in fünf Jahren sein? Dieser Vortrag versucht, die Grundfragen und  aufgaben der Security auf ein Modell herunterzubrechen, aus dem sich für jede Größe und jeden Organisationstyp eine Leiter von Reifegraden und eine Security-Roadmap ableiten lassen.

https://www.itsbb.net/veranstaltungen/its-bb-webinar-19-januar-2021/