HiSolutions Research

Medientipps Januar 2021

Heute einmal nichts zu lesen. Aber zu:


Hören: DLF Kultur Feature „Datensicherheit oder Abwehr von Cyberkriminalität“

Unter anderem zu KRITIS und IT-Sicherheitsgesetz 2.0, mit Manuel Atug von HiSolutions.

https://www.deutschlandfunkkultur.de/datensicherheit-oder-abwehr-von-cyberkriminalitaet-politik.976.de.html?dram:article_id=491400


Sehen: ZDF WISO – Gestohlene Payback-Punkte

Cyberangriff auf Payback-Punkte? Banken und andere Zahlungsdienstleister wie Paypal haben aufgrund der EU-Zahlungsdiensterichtlinie PSD2 ihre Sicherheitsmaßnahmen hochfahren müssen. Dadurch ist der Druck auf Anbieter wie Payback gestiegen. Eine Recherche von ZDF WISO ging dem am 11.1.2021 von 19:25-20:15 mit der Expertise von HiSolutions auf den Grund. Nachzuschauen online (ab Minute 25’40):

https://research.hisolutions.com/2021/01/zdf-wiso-gestohlene-payback-punkte/


Meeten: Scalable Security am 17.2.2021 16-17 Uhr beim it’s.BB – Das IT-Sicherheitsnetzwerk

Zweifellos wird Informationssicherheit für alle Arten von Organisationen immer wichtiger. Während Konzerne oder Behörden sich im Wesentlichen auf die „großen“ Standards IT-Grundschutz und ISO 27001 stürzen, stellt sich für viele andere Akteure die Frage: Wo fange ich an? Was sind die ersten drei Schritte, wenn ich ein junges Startup, ein mittelgroßer Verein, eine größere NGO, ein Sportclub oder ein KMU bin? Was könnte oder sollte mein Ziel in fünf Jahren sein? Dieser Vortrag versucht, die Grundfragen und  aufgaben der Security auf ein Modell herunterzubrechen, aus dem sich für jede Größe und jeden Organisationstyp eine Leiter von Reifegraden und eine Security-Roadmap ableiten lassen.

https://www.itsbb.net/kalender/its-bb-webinar-scalable-security-5-level-von-sicherheitsniveau-fuer-fast-jeden-anwendungsfall/

HiSolutions Research

Cyberei auf drei dabei: Cybersicherheit Top 3 Risiko weltweit

Cyber-Vorfälle sind laut Allianz Risk-Barometer 2020 von Platz 1 auf 3 der weltweiten Top-Unternehmensrisiken “abgerutscht” – wegen Corona. Platz 1 und 2 nehmen jetzt die Geschäftsunterbrechung (hoch von 2) und, wenig überraschend, die Pandemie (hoch von 17) ein. Allerdings betont der Report, der bereits im zehnten Jahr erscheint und auf Einschätzungen von über 2.700 Experten aus 92 Ländern beruht (CEOs, Risikomanager, Makler und Versicherungsexperten), dass diese drei Risiken nicht unabhängig voneinander zu betrachten sind. So hat Corona auch die Cyberlage verschärft, und Cyber ist einer der wesentlichen Risikofaktoren für Geschäftsausfälle. In Deutschland liegt das Thema übrigens sogar auf Platz 2, noch vor der Pandemie. Informationssicherheit bleibt also mit der formalen „Bronzemedaille“ national wie weltweit auch 2020 ff. eines der Schlüsselfelder für das Risikomanagement.

https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2021-de.html

HiSolutions Research

Last-Minute-Diebstahl: Massenhafter Bestellbetrug kurz vor PSD2

Ende des Jahres wird die überarbeitete europäische Zahlungsdiensterichtlinie (Revised Payment Services Directive, PSD 2) nach mehrmaligem Aufschub auch für die letzten säumigen Umsetzer final gültig. Während die meisten Banken die härteren Maßnahmen wie „Strong Customer Authentication“ (SCA) – also im Wesentlichen Zwei-Faktor-Authentifizierung an neuralgischen Stellen – längst umgesetzt haben, sträubten sich Online-Bezahldienste teilweise aus Sorge vor Kundenverlust bis zuletzt. Und so hatte sich die Energie der Cyber-Kriminalität zuletzt auf Dienste wie PayPal und Co. konzentriert, was viele Kunden schmerzhaft erfahren mussten.

Der mit Beratung durch HiSolutions entstandene ZDFzoom-Beitrag „Gestohlene Identität – Auf der Spur der Online-Betrüger“ (02.12.2020 um 23 Uhr) gibt Einblicke in die Szene und ihre Geschäftsmodelle sowie die unrühmliche Rolle der Anbieter.

https://www.zdf.de/dokumentation/zdfzoom/zdfzoom-gestohlene-identitaet—auf-der-spur-der-online-betrueger-100.html

HiSolutions Research

Ich weiß, wo Du online Geld verdienst: Cyber-OK lernt dazu

Ransomware ist seit vielen Monaten die größte Geißel der IT – und zumindest derjenigen Menschen, die für diese verantwortlich sind. Erst letztens hatten wir berichtet, dass Emotet und Co. dazugelernt haben und statt mit dummen Standard-E-Mails in schlechter Übersetzung, nun frühere Kommunikationsstränge wiederverwerten, um so die Klickrate auf die Malware deutlich zu erhöhen. Unterdessen hat die im Hintergrund die Geschäftsprozesse spinnende organisierte Cyber-Kriminalität (Cyber-OK) anscheinend gelernt, dass es noch weitere gemeine Hebel gibt, um Opfer zur Zahlung zu bewegen. Es gilt schließlich für die Angreifer, die empfindlichste Stelle eines Unternehmens zu finden und auszunutzen. Denn je mehr Unternehmen auf starke Backup-Konzepte mit schreibgeschützten Sicherungen und realistischen, regelmäßigen Restoretests umstellen, desto mehr bewegt sich das Wettrüsten in Richtung anderer Erpressungsvektoren.

Mit salamitaktikhafter Veröffentlichung gestohlener Informationen haben Erpresser ebenfalls bereits gedroht (teils erfolgreich, teils nicht). Was lässt sich – möglichst (teil-)automatisiert, denn das Ganze soll ja skalieren – einem Unternehmen außer Datenkidnapping noch antun? Nun wurde eine weitere Masche in freier Wildbahn gesichtet: Für Publisher – „Verlage“, wie es in der alten Welt heißt – ist das Wertvollste die Schnittstelle zu ihren Anzeigenkunden, heutzutage meist vermittelt über Internetgiganten wie Google. Statt also die Webserver in Geiselhaft zu nehmen, haben Angreifer begonnen, die Anzeigen auf den Seiten derart oft klicken zu lassen, dass dies bei Google, Facebook & Co. als Werbemissbrauch gewertet wird und die dortigen Sicherheitsmechanismen den Werbeträger automatisch sperren. Bei Wiederholung droht sogar eine permanente Verbannung von der Werbeplattform – mithin der Entzug der Existenzgrundlage.

Selbstverständlich bietet die freundliche Gang von nebenan da zufälligerweise ein “Traffic Management” an, das sich gegen Einwurf geeigneter Bitcoins gerne um dieses Problem kümmert und den Betrug-Betrug umgehend beendet.
Auf eine Art ist dies alles in der analogen Welt schon da gewesen. Überträge in die digitale ergeben trotzdem immer wieder neue und überraschende Gemengelagen.

https://krebsonsecurity.com/2020/02/pay-up-or-well-make-google-ban-your-ads

Dass Eingeweihte dies bereits seit langem wussten, dokumentiert sehr schön dieser Blog-Post von Security-Guru Bruce Schneier inklusive der Kommentare:

https://www.schneier.com/blog/archives/2020/02/crypto_ag_was_o.html