Kategorie: News

News

Unbefriedigend: Self-Own Zoom Sex Bombing

Eine denkbar schlechte Idee ist es, wie der bekannte CNN- und New-Yorker-Reporter Jeffrey Toobin jüngst erfahren musste, aus Versehen in einem Zoom-Call während einer Pause die Kamera angeschaltet zu lassen und sich vermeintlich nur in einem anderen Call mit jemand anderem fernzuvergnügen, während die Kolleginnen und Kollegen im ersten Call zuschauen können/dürfen/müssen. Der Vorgang zeigt auf etwas andere Art und Weise, wie risikoreich das Eindringen der (Arbeits-)Technik in unser Privatleben für alle Seiten sein kann.

https://www.vice.com/en/article/epdgm4/new-yorker-suspends-jeffrey-toobin-for-zoom-dick-incident

News

Lesetipps Oktober 2020

#FOMO vs. #YOLO

Die Security-Ökonomie-Psychologie-Philosophin Kelly Shortridge hat in einem langen Blogartikel ihr Konzept der #YOLOsec (Black Hat 2017) um das Konzept der #FOMOsec ergänzt. Während You Only Live Once einen zu großen, häufig gar unbewussten Risikoappetit beschreibt, bezeichnet Fear Of Missing Out den Impuls, nur ja nichts falsch machen zu wollen und letztlich alle Controls umzusetzen, die eine Risikominimierung bringen *könnten*, ohne zu hinterfragen, ob so die Geschäftsziele nicht vielleicht sogar behindert werden.

https://swagitda.com/blog/posts/on-yolosec-and-fomosec


KI nder…

Produktmanager und Filmemacher Eugene Wei analysiert, wie TikTok als erste chinesische App überhaupt den amerikanischen Markt „knacken“ konnte – und erzeugt dabei tiefe Einsichten in die Wirkungsweise und Macht von KI.

https://www.eugenewei.com/blog/2020/8/3/tiktok-and-the-sorting-hat


Ältern!

Der witzige Cloud-Sparfuchs Corey Quinn hat seinen bekannten wöchentlichen Newsletter „Last Week In AWS“ genutzt, seine Gedanken zur Elternzeit als Mann, Gründer und Manager in der IT-Branche zu teilen. Auch wenn die US-Perspektive hier noch etwas anders ist als die deutsche und europäische: Wertvoll!

Paternity Leave


I see ass…toundingly clear

Die Cyber-Edel-Bildungsfabrik SANS beschäftigt sich zunehmend mit dem Thema Industrial Security. Ein wertvolles Nebenprodukt davon ist diese wunderschön anschauliche Zusammenfassung der Geschichte von ICS(-Security).

https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf


Bei S ist Stop

Diese Grafik stellt alle 50(!) bekannten kognitiven Biases dar, die uns in der Security und anderswo am rationalen Denken hindern.

https://storage.googleapis.com/titlemax-media/099372db-50-cognitive-biases-2_80per.png

News

Fuhrpark im Visier – Erpresserangriff auf Fahrdienst der Bundeswehr

Die Fahrdienst-Tochter der Bundeswehr „Bundeswehr Fuhrpark Service“ ist Opfer eines Emotet-Angriffs geworden. Aufgrund besonders sensibler personenbezogener Daten innerhalb des Fahrdienstes des Deutschen Bundestages war zwischenzeitlich das politische Interesse an dem Vorfall sehr groß; inzwischen wurde jedoch klar, dass es sich nicht um einen gezielten Angriff handelt, sondern um ungezielte Erpressung ging.

Nach Hacker-Angriff auf Bundeswehr-Fahrdienstfirma: Kein Cyber-Schutz für Bundeswehr-Tochterfirmen
News

Schweigegeld: Organisationen trotz Backups erpressbar

Seit neuestem häufen sich die Fälle, in denen Institutionen die Forderungen von Ransomware-Erpressern zahlen, obwohl sie dank korrekter Backups die Daten wiederherstellen konnten: Die Verbrecher setzen das Mittel der Drohung der Veröffentlichung der vor der Verschlüsselung gestohlenen Daten derart geschickt ein, dass in diesem Fall etwa die University of Utah lieber 457.000 US-Dollar berappte.

https://www.zdnet.com/article/university-of-utah-pays-457000-to-ransomware-gang/

News

Von wegen diebische Elster: Nutzerdaten aus Elster-Anwenderforum gestohlen

In einem Anwenderforum zur Online-Finanzamt-Software „Mein Elster“ des bayerischen Landesamts für Steuern war eine lückenhafte Forensoftware vBulletin im Einsatz, über die Angreifer Nutzerdaten abgreifen konnten. Das Elster-Onlinefinanzamt selbst war hiervon ausdrücklich nicht betroffen, trotzdem droht in solchen Fällen ein zumindest vorübergehender Vertrauensverlust auch für das Hauptangebot.

https://www.heise.de/news/Elster-Anwenderforum-Angreifer-griffen-ueber-Sicherheitsluecke-Nutzerdaten-ab-4875316.html

News

Zero Trust verdient: Zerologon erlaubt Vollkompromittierung einer Domain

Forscher der niederländischen Firma Secura haben einen Exploit für die Windows-Sicherheitslücke „Zerologon“ (CVE-2020-1472) veröffentlicht, der es einem Angreifer erlaubt, von einem einzelnen Windows-Client aus die ganze Domäne zu übernehmen. Microsoft hat die mit der maximalen CVSS 10 bewertete Schwachstelle im August-Patch Tuesday geschlossen.

https://www.secura.com/pathtoimg.php?id=2055

News

ifconfig down under up – Australien rüstet cyber auf

Five-Eyes-Mitglied Australien hat eine neue Cyberstrategie vorgestellt, die in nicht unerheblichem Anteil auch offensive Elemente umfasst. Insgesamt will man über 10 Jahre fast 1,7 Milliarden AUS-Dollar in die Hand nehmen, um die Fähigkeiten im Cyberraum auszubauen. Neben allgemeinen Vorgaben an Kritische Infrastrukturen wird auch diskutiert, wie der Staat in die Notfallbewältigung von Institutionen eingreifen kann, wenn diese hierzu nicht selbst angemessen in der Lage sind.

https://blog.lukaszolejnik.com/analysis-of-interesting-points-in-australian-2020-cybersecurity-strategy/ 
(mit Links auch zu Analysen der Strategien von USA, Irland, Niederlande, Frankreich und Luxemburg)

News

Tsetsetsetsetse-Fliege: C5-Tsusätse

Das BSI hat zum Cloud-Security-Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) zwei Zusatzdokumente veröffentlicht, die Testierung und Interpretation erleichtern. Die Kurzübersicht zur Berichterstattung fasst grundlegende Elemente des C5-Prüfungsberichts als Orientierungshilfe für den Prüfer zusammen. Der Auswertungsleitfaden gibt Cloud-Kunden eine Struktur vor, einen C5-Bericht systematisch auszuwerten, um die eigenen Controls für die Nutzung einzurichten und hierdurch das mit der Cloud-Nutzung verbundene Risiko einschätzen und steuern zu können.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html

News

Sehr fette Finger – KMPG löscht versehentlich Chats von 145.000 Mitarbeitern

Neue Technologie in etablierte (Sicherheits-)Strukturen und eine vernünftige Governance zu bekommen, ist immer eine Herausforderung. Das musste diesmal KPMG erfahren, wo ein IT-Mitarbeiter offenbar versehentlich Chats von 145.000 Mitarbeitern in der Anwendung Microsoft Teams unwiderruflich gelöscht hat. Es sei jedoch „lediglich die persönliche Chat Historie betroffen“.

https://www.n-tv.de/wirtschaft/Mitarbeiter-loescht-aus-Versehen-KPMG-Chats-article21994942.html