Top-Thema
Caught in the Act of Produktsicherheit: EU Cyber Resilience Act
Seitdem 2015 das IT-Sicherheitsgesetz in Kraft getreten ist, hat sich in der Regulierung zur Cybersicherheit viel getan. Immer mehr Sektoren wurden mit Anforderungen und Auflagen belegt, und neue Zielgruppen sind in den Fokus gerückt.
Allerdings hat sich die Aufmerksamkeit dabei bisher weitgehend auf die Betreiber von IT und OT gerichtet. Dies ist insofern unzureichend, als bestimmte Probleme ohne die Mitwirkung der Hersteller und Zulieferer nicht gelöst werden können. Diese Lücke möchte die EU nun mit dem Cyber Resilience Act schließen.
Die im Entwurf vorliegende Richtlinie, die nach ihrer Verabschiedung in nationales Recht implementiert werden muss, sieht vor, dass Security Teil des CE-Kennzeichens wird. Dies betrifft alle Produkte „mit digitalen Elementen“, die in der EU in Verkehr gebracht werden. Security würde damit erstmals eine offiziell geforderte und zu zertifizierende Produkteigenschaft, inklusive beizulegender „SBOM“ (Software Bill of Materials, einer Auflistung aller verwendeten Softwarekomponenten) und der Pflicht zur Bekanntgabe ausgenutzter Schwachstellen innerhalb von 24 Stunden.
Zwar ist noch unklar, wie die Richtlinie durch die Mitgliedsstaaten, die Hersteller und den Markt am Ende umgesetzt wird, doch könnte sie durchaus geeignet sein, der Security in Produkten nachhaltig Schwung zu verleihen. Vorausgesetzt, sie wird bis zur Verabschiedung nicht noch verwässert.
https://fluchsfriction.medium.com/eu-cyber-resilience-act-german-version-ae2ed6166aea
Neuigkeiten
Bring Your Own Vulnerable Driver: Windows-Kernelsicherheit muss nachschärfen
Im Kernel agierende Treiber sind mächtige Softwarekomponenten, die sich besonders gut für tiefgreifende Angriffe missbrauchen lassen. Daher müssen Betriebssysteme und User bzw. Admins sorgsam entscheiden, welche Treiber zugelassen werden. Windows enthält zu diesem Zweck seit langem eine Liste, über die unsichere Treiber gesperrt werden. Anscheinend wurde diese aber nie aktualisiert, sodass APTs und zunehmend auch „normale“ Cyberangriffe verwundbare Treiber ausnutzen konnten.
Nachdem der Sicherheitsforscher Will Dormann dies belegt hat, will Microsoft nun nachbessern und die Liste regelmäßig aktualisieren. Außerdem können Anwender selbst aktiv werden und die Liste ergänzen.
HiSolutions Know-how to go: Red Teaming - IT-Security im Stresstest
Red Teaming ist die hohe Kunst des Eindringens in die IT-Infrastruktur eines Unternehmens, bestenfalls ohne vor dem Erreichen des definierten Ziels entdeckt zu werden. Das Red Team greift auf ein breites Feld möglicher Angriffsvektoren zurück, wozu u. a. das Ausnutzen von Schwachstellen und Fehlkonfigurationen sowie Social Engineering zählen. Das Red Team aus qualifizierten Sicherheitsexperten nimmt die Angreiferperspektive ein. Demgegenüber steht eine Gruppe aus internen IT-Experten der Organisation des Auftraggebers, das sogenannte Blue Team, das für die IT-Sicherheit der Organisation zuständig ist und die Angriffe möglichst frühzeitig erkennt und verteidigt.
In unserem Wissensfrühstück erläutern unsere Spezialisten aus den Bereichen Penetrationstest und Incident Response anhand von Beispielen aus der Praxis, welche zum Teil sehr professionalisierten Angriffsvektoren dazu verwendet werden. Außerdem geben sie einen Einblick in die Durchführung von Phishing-Kampagnen sowie zu Angriffsvektoren gegen die physische Sicherheit einer Organisation. Des Weiteren wird der Frage nachgegangen, welche Voraussetzungen erfüllt sein müssen, damit ein Red Team Engagement das richtige Werkzeug ist, um das IT-Sicherheitsniveau der Organisation sukzessive anzuheben.
Die Veranstaltung findet am 24.11.2022 in unserem Berliner Büro statt und ist kostenfrei.
https://www.hisolutions.com/knowhow
Oracle Java Audits
Cyberangriffe sind nicht die einzigen Risiken für die IT. Auch mangelhafter Umgang mit Softwarelizenzen kann erhebliches Schadenspotenzial in sich bergen.
In unserem SAM-Blog erläutern die Kolleginnen und Kollegen aus dem Software Asset Management, was Unternehmen und Behörden in Bezug auf die nun auch im deutschsprachigen Raum startenden Java Standard Edition Audits durch Oracle beachten sollten.
https://sam.news/die-oracle-java-audits-kommen/
Read-all Your Own Dog Food? Microsoft patzt im eigenen Azure
Bei Microsoft hat es ein ernstes Datenleck gegeben. 2,4 Terabyte vertrauliche Kundendaten standen in einem fehlkonfigurierten Azure-Blob frei lesbar im Internet zur Verfügung und waren sogar über Suchmaschinen auffindbar. Es handelte sich dabei unter anderem um Verträge, Rechnungen, Angebote, Aufträge und andere Arbeitsdokumente von kritischen Infrastrukturen und Daten von 65.000 Kunden und potenziellen Kunden der letzten fünf Jahre.
Der Softwarehersteller hatte zunächst die Security-Firma, die das Leck meldete, öffentlich der Übertreibung bezichtigt, musste aber in der Folge selbst Kritik in Bezug auf seine zu zögerliche Benachrichtigung der betroffenen Unternehmen einstecken.
Auch ohne Führung verlässlich: Neues vom BSI
Wie alle Jahre hat das BSI auch jetzt wieder den Bericht "Die Lage der IT-Sicherheit in Deutschland" veröffentlicht. Laut der Cybersicherheitsbehörde des Bundes spitzte sich 2022 die bereits zuvor angespannte Lage weiter zu. Neben neuen und verschärften Bedrohungen im Bereich Cybercrime kamen insbesondere Gefahren im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine hinzu.
Steht für Unternehmen und den öffentlichen Sektor Ransomware weiterhin ganz oben auf der Liste der Top-Bedrohungen, so ist für Individuen bzw. die Gesellschaft neben Identitätsdiebstahl und Online-Betrug das Thema „Sextortion“, also die Erpressung mit angeblichem oder tatsächlichem anzüglichen Material, zu einem wesentlichen Risiko avanciert.
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
200-4 CD 2.0: Zweiter Community Draft des BSI-Standards 200-4 veröffentlicht
Das BSI hat die Überarbeitungen abgeschlossen, die sich aus der ersten Kommentierungsphase des gemeinsam mit HiSolutions erstellten BCM-Standards 200-4 ergeben hatten. Gegenüber dem CD 1.0 konnte der Umfang durch eine Restrukturierung deutlich reduziert werden. Darüber hinaus wurden viele Details angepasst, etwa beim Thema Outsourcing.
Der Community Draft kann noch bis zum 30. November 2022 per E-Mail an it-grundschutz@bsi.bund.de kommentiert werden.
www.bsi.bund.de/gs-standard200-4
Finale, Finale! ISO 27001:2022 fertig
Nun endlich völlig fertig und final erschienen ist die „Mutter aller Security-Normen“ in ihrer aktualisierten Version: ISO/IEC 27001:2022 „Information security, cybersecurity and privacy protection — Information security management systems — Requirements“.
https://www.iso.org/standard/82875.html
Enhanced Defection and Respawn: Wider die Antiviren
Die Sicherheitsforscher Jorge Gimenez und Karsten Nohl haben auf der Konferenz „Hack In The Box“ ihre Forschungsergebnisse zu EDR (Enhanced Detection and Response), also modernen Antivirenlösungen, vorgestellt. Das Umgehen von EDR („Evasion“) ist bereits seit einigen Jahren Objekt aktiver Forschung. Neuste Red-Teaming-Techniken zielen allerdings zusätzlich auf die Ausnutzung von Schwachstellen wie Zero-Days in der Schutzsoftware selbst ab.
https://www.youtube.com/watch?v=CKfjLnEMfvI
Sag mir quantum, sag mir wann: Wann lohnt sich der „Quantensprung“?
Die HiSolutions-Expertin Barbara Grutzig hat zusammengestellt, was für Unternehmen in Bezug auf die voranschreitende Entwicklung von Quantencomputern aktuell zu beachten ist.
Lesetipps
26 Seiten
... lang ist die Antwort auf die Frage, was beim Aufruf eines Hello-World-Programms (hier in Python unter Windows) passiert:
https://asawicki.info/articles/Hello_world_under_the_microscope.php5
6 Bedeutungen
… von Security beschwört Kelly Shortridge, von Platon bis zu den Römern:
https://kellyshortridge.com/blog/posts/what-do-we-mean-when-we-say-security-part-1/
10 Mythen
… der Supply-Chain-Security führt sie darüber hinaus an und legt sich dabei mit dem „US-amerikanischen BSI“ (CISA) und der NSA an: https://kellyshortridge.com/blog/posts/securing-the-supply-chain-of-nothing/
Der nächste HiSolutions Cybersecurity Digest erscheint Ende November 2022.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!