Weitere News im Januar
Digital Independence Day #DID
Auch Teil des Kongresses waren wieder Marc-Uwe Kling und das Känguru, die zusammen mit Linus Neumann den Digital Independence Day oder DID (bzw. DUD im Deutschen) ausriefen. Ziel ist die Reduktion der eigenen, digitalen Abhängigkeit von großen Tech-Konzernen. Auch wenn sich der Aufruf in erster Linie an Privatpersonen richtet, kann die Gelegenheit ebenfalls durch Unternehmen genutzt werden, die eigene Abhängigkeit zu prüfen und zu hinterfragen.
https://media.ccc.de/v/39c3-die-kanguru-rebellion-digital-independence-day
https://di.day/
Teams-Sicherheitsupdate bringt Methoden zur Überwachung an den Arbeitsplatz
Das Erzwingen von Sicherheitsfeatures ist eine gängige Methode, um den Nutzenden die Abwägung zwischen Sicherheit und Komfort abzunehmen. Dass man dabei aber auch über das Ziel hinausschießen kann, zeigt Microsoft mit den geplanten Updates im Januar.
So soll Teams automatisiert erkennen, an welchem Standort Mitarbeitende tätig sind. Auch wird es eine automatisierte Echtzeitprüfung von URLs geben, wie man sie von Deep Packet Inspections in IDS (Intrusion Detection Systemen) kennt. Deren Einführung kann aber teilweise erst mit Zustimmung bestimmter Gremien, z. B. eines Betriebsrates stattfinden. Unternehmen sollten frühzeitig und vor dem Roll-out prüfen, inwieweit diese Einschränkung bei ihnen zutrifft, wer zu beteiligen ist und die Einführung entsprechend planen.
https://www.ad-hoc-news.de/boerse/news/ueberblick/microsoft-teams-update-stellt-betriebsraete-vor-notfall/68475356
https://www.security-insider.de/microsoft-teams-automatische-standorterkennung-datenschutz-2026-a-dc7c1a199894436c353d82c18f3b1b27/
https://www.microsoft.com/de-at/microsoft-365/roadmap?id=488800
ClickFix: das eigene System hacken
Social Engineering ist eine beliebte Methode, um in fremde Systeme zu gelangen. Dabei müssen Angreifende meist keine komplexen technischen Systeme oder Schutzmaßnahmen umgehen, sondern „hacken“ die menschliche Komponente. Eine Variante, ClickFix, konnte in den letzten Monaten vermehrt beobachtet werden. Dabei bringen Angreifende die User dazu, Schadsoftware selbst zu installieren. Oft geschieht das durch vermeintlich notwendige Sicherheitsupdates oder andere dringliche Aktivitäten, wie es beim Social Engineering üblich ist.
Diese Angriffe sind meist wenig komplex, zeigen aber auch, dass eine rein technische Sicht auf das Thema Sicherheit nicht immer zielführend ist. Um Social Engineering vorzubeugen, muss das eigene Personal in der Erkennung und Behandlung solcher Angriffe geübt sein – am besten mit praktischen Simulationen und begleitender Wissensvermittlung. Angreifende sind kreativ, seien Sie es auch!
https://this.weekinsecurity.com/clickfix-attacks-are-increasingly-devious-dangerous-and-can-get-you-hacked-in-an-instant/
https://cside.com/blog/ruthless-client-side-attacks-targeting-multiple-platforms-with-clickfix
https://www.security-insider.de/social-engineering-angriffswelle-clickfix-a-0f1d35d5c67d7e064b5bc9f74f6de5de/
