Kategorie: News

News

IT-SiG 2.0 v0.3

Das IT-Sicherheitsgesetz 2.0 ist immer noch nicht fertig – und wird es auch in diesem Jahr nicht mehr. Immerhin wurde am 19.11. der dritte Referentenentwurf bekannt.

Viele Punkte sind aus den vorigen Entwürfen bekannt, es gibt aber auch Neuerungen. So sollen Bußgelder nicht mehr analog zur DSGVO bis zu 4 % des weltweiten Jahresumsatzes umfassen, sondern bei 2 Mio. Euro gedeckelt werden. Sicherheitsanforderungen sind nun auch für „Unternehmen im besonderen öffentlichen Interesse“ vorgesehen, für wirtschaftlich systemrelevante Unternehmen und für Gefahrstoffbetriebe (Chemie). Das BSI soll weiterhin die Befugnis bekommen, öffentlich zugängliche Internetdienste und Geräte zu hacken, um Sicherheitslücken aufzudecken. Letzteres ist problematisch aufgrund der fehlenden Unabhängigkeit des Bundesamts vom Innenministerium, das auch Strafermittlungsbehörden und Verfassungsschutz beherbergt. Es besteht damit die Gefahr, dass gefundene Sicherheitslücken für diese Zwecke geheim gehalten werden, anstelle bei den Softwareherstellern und  Anwendern für die Beseitigung zu sorgen.

Der dritte Referentenentwurf soll nun in die sogenannte Ressortabstimmung gehen. Eine Verabschiedung des Gesetzes im Frühjahr 2021 wäre möglich, einige Beobachter rechnen aber eher mit einer Punktlandung vor dem Ende der Legislaturperiode im Sommer. Unklar ist aktuell aber auch noch, ob es bereits einen Konsens in der Bundesregierung für diesen Entwurf gibt – oder ob demnächst ein weiterer folgt.

Eine detaillierte Analyse der Änderungen:

IT-SiG 2.0: Dritter Referentenentwurf mit Stand vom 19.11.2020 veröffentlicht
News

Kein Ryukzug: US-Krankenhäuser im Visier

Der bekannte Security-Journalist Brian Krebs berichtet auf seiner Webseite KrebsOnSecurity.com, dass das amerikanische Gesundheitswesen aktuell im Visier der Ransomware-Kampagne Ryuk ist. Dabei beschreibt er auch, wie einzelne Gruppen mit Ryuk-Bezug erkannt werden können, und erklärt die aktuellen Exploit-Techniken.

https://krebsonsecurity.com/2020/10/fbi-dhs-hhs-warn-of-imminent-credible-ransomware-threat-against-u-s-hospitals/

News

PoC, PoC, Who’s There? 12 Exploits für Cisco Security Manager

Auch Sicherheitssoftware ist nicht gefeit vor Schwachstellen – obwohl gerade hier das Schadenspotenzial beträchtlich sein kann. Für den Cisco Security Manager, eine Anwendung für „Enterprise-Class Security Management“, wurde nun gleich eine ganze Reihe von Schwachstellen bekannt – und direkt mit PoCs (Proofs of Concept, also Beispielen für die Ausnutzung der Schwachstelle) veröffentlicht. Das Scrollen durch die Codeschnipsel zeigt vor allem, wie leicht hier zum Teil kritische Angriffe wie Remote Code Execution (RCE) ausgeführt werden konnten.

https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e

News

Dreh ma‘ durch den Wolf: Threema glänzt im Audit

Die Sicherheit von verschlüsselnden Messengern ist ein heiß diskutiertes Thema, versprechen diese doch Ende-zu-Ende-Security auf einem Niveau, das E-Mail niemals in großem Maßstab erreicht hat. Das in Security-Fachkreisen geschätzte Threema hat nun einen weiteren Meilenstein erreicht: Nachdem 2019 bereits das Labor für IT-Sicherheit der FH Münster ein Audit durchgeführt hatte, wurden jetzt die Kollegen von Cure53 auf die App losgelassen. Der Gesamteindruck der Codequalität und der Struktur des Projekts, das bald auch Open Source werden soll, wurde als „außergewöhnlich solide“ bewertet, schwerwiegende Schwachstellen wurden nicht entdeckt. Die geplante Veröffentlichung des Sourcecodes ist insbesondere vor dem Hintergrund relevant, dass aktuell verschiedene politische Initiativen versuchen, die Sicherheit der Verschlüsselung in Messengern zu untergraben.

https://threema.ch/de/blog/posts/audit-2020

News

Grüne Checkbox fürs Rote Kreuz: Handbuch zum Datenschutz des IKRK

Das Internationale Komitee des Roten Kreuzes in Genf hat die zweite Ausgabe seines „Handbook on Data Protection in Humanitarian Action“ herausgebracht. Das 312 Seiten starke eBook, das kostenlos erhältlich ist, beleuchtet angewandten Datenschutz zwar vor allem aus Sicht humanitärer Hilfsorganisationen, bietet aber auch für andere Institutionen wertvolle Analysen und Empfehlungen.

https://shop.icrc.org/download/ebook?sku=4305.01/002-ebook

News

Lesetipps November 2020

Deine Neue Verantwortung

Die Stiftung Neue Verantwortung hat ihr Diskussionspapier zur Absicherung von KI…

https://www.stiftung-nv.de/de/publikation/securing-artificial-intelligence

… ergänzt um eines zur Absicherung der KI-Supply-Chain:

https://www.interface-eu.org/publications/understanding-security-implications-machine-learning-supply-chain

Dein erster Freund

Die (nicht nur) bei Kindern beliebte Hip-Hop-Formation Deine Freunde rappt in ihrem neuen „Weihnachtsalbum“ dem C64 eine Hymne – hörenswert, sage selbst ich als Atari-Jünger.

Dein Cryptowar

Es ist vermutlich ein gutes Zeichen für eine Demokratie, wenn sich verschiedene Ressorts offensichtlich nicht einig sind. Während aus dem Innenministerium neue Vorstöße kommen, Verschlüsselung durch Hintertüren abschwächen zu wollen, stärkt das Forschungsministerium die Kryptographie durch einen Wettbewerb: Beim Knobel-Adventskalender „Krypto im Advent“ für Kinder der 3.-9. Klasse dürfen auch Erwachsene mitmachen – außer Konkurrenz.

https://www.krypto-im-advent.de

News

Föderalismuskelspiele: Kein Bundestrojaner – sondern 19 Bundländertrojaner

Nicht der gefürchtete „Bundestrojaner“ wird nach langem Ringen voraussichtlich demnächst zum Abhören zugelassen – sondern neben BND, Bundes-Verfassungsschutz und MAD dürfen bald auch alle 16 Landesämter für Verfassungsschutz Endgeräte hacken, um Kommunikation auszuleiten („Quellen-TKÜ“), wenn der Gesetzentwurf der Koalition im Bundestag verabschiedet wird. Die Methode wird von Experten kritisiert, da sie bei den Ämtern das Interesse erhöht, Schwachstellen nicht an die Hersteller zu melden, sondern eher zu horten, um sie für ihre eigenen Abhörtrojaner einsetzen zu können.

https://netzpolitik.org/2020/bundesregierung-beschliesst-staatstrojaner-fuer-alle-geheimdienste/

News

Leicht vercloppt: Software AG geransomed

Anfang Oktober wurde der deutsche Software-Riese Software AG durch die Ransomware-Gruppe „Clop“ heimgesucht; angeblich wurden über 20 Millionen US-Dollar an Lösegeld gefordert. Interne Systeme wie E-Mail und Helpdesk mussten für einige Zeit offline genommen werden. Glücklicherweise waren andere Kommunikationsmedien wie Chat und Kundendaten nicht betroffen.

Clop ransomware hits Software AG, demands $20 million+ ransom
News

Mapp et-Show: Roadmap IEC 62443

An der Industrial-Security-Normenreihe IEC 62443 wird kräftig geschraubt. So wurde in der jährlichen Sitzung des zuständigen Gremiums ISA99 in diesem Monat auch eine Neugliederung der Standardfamilie in Gruppen diskutiert, in Ergänzung zu den bisherigen Schichten: General, Policy & Process, Technical, Guidance und ganz neu Application. Darüber hinaus sind einige neue Standard-Dokumente und Themen angedacht wie Training, physischer Zugangsschutz, Supply Chain sowie ggf. Gebäude und Profile. Die vorgeschlagenen Änderungen sind noch in Diskussion.

Selbst ICS-Security-Koryphäe Dale Peterson bescheinigt der Norm inzwischen eine gute Reife – rügt jedoch das mangelnde Marketing. Auch eine VDMA-Umfrage hatte 2019 ergeben, dass deutsche Unternehmen die IEC 62443 noch kaum einsetzen.

https://www.linkedin.com/pulse/iec-62443-standards-ready-close-up-dale-peterson