Kategorie: News

News

Schweigegeld: Organisationen trotz Backups erpressbar

Seit neuestem häufen sich die Fälle, in denen Institutionen die Forderungen von Ransomware-Erpressern zahlen, obwohl sie dank korrekter Backups die Daten wiederherstellen konnten: Die Verbrecher setzen das Mittel der Drohung der Veröffentlichung der vor der Verschlüsselung gestohlenen Daten derart geschickt ein, dass in diesem Fall etwa die University of Utah lieber 457.000 US-Dollar berappte.

https://www.zdnet.com/article/university-of-utah-pays-457000-to-ransomware-gang/

News

Von wegen diebische Elster: Nutzerdaten aus Elster-Anwenderforum gestohlen

In einem Anwenderforum zur Online-Finanzamt-Software „Mein Elster“ des bayerischen Landesamts für Steuern war eine lückenhafte Forensoftware vBulletin im Einsatz, über die Angreifer Nutzerdaten abgreifen konnten. Das Elster-Onlinefinanzamt selbst war hiervon ausdrücklich nicht betroffen, trotzdem droht in solchen Fällen ein zumindest vorübergehender Vertrauensverlust auch für das Hauptangebot.

https://www.heise.de/news/Elster-Anwenderforum-Angreifer-griffen-ueber-Sicherheitsluecke-Nutzerdaten-ab-4875316.html

News

Zero Trust verdient: Zerologon erlaubt Vollkompromittierung einer Domain

Forscher der niederländischen Firma Secura haben einen Exploit für die Windows-Sicherheitslücke „Zerologon“ (CVE-2020-1472) veröffentlicht, der es einem Angreifer erlaubt, von einem einzelnen Windows-Client aus die ganze Domäne zu übernehmen. Microsoft hat die mit der maximalen CVSS 10 bewertete Schwachstelle im August-Patch Tuesday geschlossen.

https://www.secura.com/pathtoimg.php?id=2055

News

ifconfig down under up – Australien rüstet cyber auf

Five-Eyes-Mitglied Australien hat eine neue Cyberstrategie vorgestellt, die in nicht unerheblichem Anteil auch offensive Elemente umfasst. Insgesamt will man über 10 Jahre fast 1,7 Milliarden AUS-Dollar in die Hand nehmen, um die Fähigkeiten im Cyberraum auszubauen. Neben allgemeinen Vorgaben an Kritische Infrastrukturen wird auch diskutiert, wie der Staat in die Notfallbewältigung von Institutionen eingreifen kann, wenn diese hierzu nicht selbst angemessen in der Lage sind.

https://blog.lukaszolejnik.com/analysis-of-interesting-points-in-australian-2020-cybersecurity-strategy/ 
(mit Links auch zu Analysen der Strategien von USA, Irland, Niederlande, Frankreich und Luxemburg)

News

Tsetsetsetsetse-Fliege: C5-Tsusätse

Das BSI hat zum Cloud-Security-Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) zwei Zusatzdokumente veröffentlicht, die Testierung und Interpretation erleichtern. Die Kurzübersicht zur Berichterstattung fasst grundlegende Elemente des C5-Prüfungsberichts als Orientierungshilfe für den Prüfer zusammen. Der Auswertungsleitfaden gibt Cloud-Kunden eine Struktur vor, einen C5-Bericht systematisch auszuwerten, um die eigenen Controls für die Nutzung einzurichten und hierdurch das mit der Cloud-Nutzung verbundene Risiko einschätzen und steuern zu können.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html

News

Sehr fette Finger – KMPG löscht versehentlich Chats von 145.000 Mitarbeitern

Neue Technologie in etablierte (Sicherheits-)Strukturen und eine vernünftige Governance zu bekommen, ist immer eine Herausforderung. Das musste diesmal KPMG erfahren, wo ein IT-Mitarbeiter offenbar versehentlich Chats von 145.000 Mitarbeitern in der Anwendung Microsoft Teams unwiderruflich gelöscht hat. Es sei jedoch „lediglich die persönliche Chat Historie betroffen“.

https://www.n-tv.de/wirtschaft/Mitarbeiter-loescht-aus-Versehen-KPMG-Chats-article21994942.html

News

Lesetipps September 2020

Fail Safe

Wunderschöne Liebeserklärung von Bloggerlegende Felix von Leitner (Fefe) an die Programmiersprache Rust im Speziellen und an sichere Programmiersprachen im Allgemeinen.

https://www.heise.de/hintergrund/Entwicklung-Warum-Rust-die-Antwort-auf-miese-Software-und-Programmierfehler-ist-4879795.html


Priceless

Der Privacy-Forscher Lukasz Olejnik rechnet vor, was anderen unsere Datenspuren im WWW wert sind.

https://lukaszolejnik.com/rtbdesc


Spannend

Sherrod DeGrippo von Proofpoint erzählt von den neuesten Entwicklungen in der Ransomware-Industrie. „Fallen zwei oder drei Gangs weg, kommen fünf neue.“

https://www.sueddeutsche.de/wirtschaft/cybersicherheit-fallen-zwei-oder-drei-gangs-weg-kommen-fuenf-neue-1.5024654


It’s always DNS – aber sicher!

Das Tunneln von DNS-Anfragen über TLS (DoT) oder HTTPS (DoH) verspricht Sicherheits- und Datenschutzvorteile, die unser Kollege Michael Sehring hier untersucht:

Securing DNS Traffic: An Introduction to DoT & DoH
News

Oh Autsch! OAuth-Phishing

Multi-Faktor-Authentisierung gehört inzwischen zum Stand der Technik und ist regelrecht ein Standard im stärker exponierten Cloud-Umfeld. Um ihren Erfolg beim Abgriff von Zugangsdaten weiterhin zu sichern, nutzen Angreifer nun Authentisierungstoken für Cloud-Apps, denn: Wurde eine Angreifer-App mit ausreichend Berechtigungen versehen, können darüber weitreichende Schäden in der gesamten IT-Umgebung verursacht werden. Inzwischen warnt Microsoft Unternehmenskunden vor dieser Angriffsmethode. Es gibt also genug Gründe, sich mal mit den methodischen Details auseinanderzusetzen.

OAuth-Phishing