HiS-Cybersecurity Digest Oktober 2018

Die Top Themen des letzten Monats: Supply Chain im Fadenkreuz | Was ist dran an der Bloomberg-Story | Support und EOL für Microsoft-Betriebssysteme | Produktzertifizierungen nach IEC 62443 | Gefahren von Gesichts-Biometrie
 

Top Thema

Die Kette ist das schwächste Glied: Supply Chain im Fadenkreuz

Kaum sichtbare winzige Chips, eingebracht auf Mainboards, welche in die USA importiert und in Rechenzentren der Internetgiganten eingesetzt werden und dann nach Hause telefonieren – die perfekte Spionage? Am 4. Oktober brachte Bloomberg Businessweek die große Geschichte „The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies“. Demnach wurden 30 strategisch wichtige Unternehmen einschließlich Amazon und Apple auf diese Weise unterwandert. Unabhängig davon, ob die konkrete Story stimmt: Realistisch ist sie allemal. Seit Snowden wissen wir, dass die NSA seit vielen Jahren in die Lieferketten bestimmter Komponenten eingreift, um sogenannte „Footholds“ – verlässliche Einstiegspunkte – in interessanten Netzwerken weltweit aufzubauen. Backdoors in Softwareprodukten und Firmware sind ein weiteres Mittel, die eigenen Abhörfähigkeiten auszubauen. Länder wie China oder Israel, die ebenfalls internationale Kundschaft haben, dürften Ähnliches versuchen. Neu ist die Skala: Mittels günstiger Bestechung von Fabrikmanagern oder Vorarbeitern sowie für Centbeträge pro Chip lassen sich so ganze Heerscharen von Lauschstationen aufbauen, ohne aufwändig jedes Mal Pakete abfangen und „Implants“ einsetzen zu müssen. Angeblich fielen bei Apple die Chips durch ungewöhnlichen Netzwerkverkehr auf, bei Amazon durch die strengen Augen externer Prüfer. Was lernen wir daraus? Dreierlei: Externe Prüfung und akribische Analyse und Detektion lohnen sich. Und: Wir sind fern davon, diese Bedrohung im Griff zu haben. Der Heise-Artikel listet im letzten Absatz einige Initiativen auf, die begonnen haben, Teilprobleme des Schlamassels zu lösen. Klar ist: Die Supply Chain verdient weniger Vertrauen und mehr Aufmerksamkeit, als wir ihr heute schenken.
https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies 
https://www.heise.de/security/meldung/Bericht-Winzige-Chips-spionierten-in-Cloud-Servern-von-Apple-und-Amazon-4181461.html 

Neuigkeiten im September: 

Big Hack oder Big Hoax? Was ist dran an der Bloomberg-Story
Die Wahrheit ist das erste Opfer des Krieges, heißt es. Doch welchen Krieges? Des Krieges NSA gegen Chinas People’s Liberation Army? Oder des Handelskrieges Donald Trump gegen den Rest der Welt? Oder gar des US-Wahlkampfs zu den nahenden „Midterms“? Nach der Logik des ersteren macht es Sinn, dass China die eigenen Fähigkeiten und Marktanteile nutzt, um „Aufklärung“ zu betreiben, wie es auf Schlapphutdeutsch heißt. Andererseits dementieren die Internetgiganten seit Tagen heftig – und überaus detailliert –, dass an den Enthüllungen anonymer Informanten über gefundene Abhörchips etwas dran ist. So veröffentlichten Amazon und Apple – kürzlich als erstes Unternehmen überhaupt mit mehr als einer Billion US-Dollar bewertet – deutliche Presseerklärungen, nach denen es nicht nur keine Chips gab, sondern überhaupt gar keine FBI-Ermittlungen zu dem Thema. Zwar klingen Statements wie „before servers are put into production at Apple they are inspected for security vulnerabilities“ sehr nach Boilerplate aus der Complianceabteilung, aber Bloomberg hat bisher außer anonymen Zeugen wesentlich weniger zu bieten als die Details, die die angeblich Ausspionierten zur Entlastung anführen. Es gibt also noch mindestens eine weitere mögliche „Variante“ der Wahrheit. Etwa die: Sollte das republikanische Lager vor den Midterms den Eindruck verstärken wollen, dass chinesische Kräfte im Wahlkampf mitmischen, käme eine solche Story nicht ungelegen. Andererseits hätte die Regierung der aufstrebenden Weltmacht ein starkes Motiv, den Haupttreiber der Strafzölle abwählen zu lassen, so sie denn (Einfluss auf) die Wahl hätte.
Was lernen wir daraus für die Security? Bei derart großen Maßstäben – Risiken, Hebeln, Einflusssphären – kann es durchaus mehrere Schichten der Realität geben. Die griffige Story mit den Abhörchips mag sich als richtig herausstellen. Aber wir sollten auch die Möglichkeit von Nebelkerzen aka Roten Heringen – absichtlichen falschen Fährten – im Blick behalten. Im Zweifel lohnt es sich trotzdem, sich mit dem zugrundeliegenden Problem der Supply Chain Security zu beschäftigen, denn das bleibt uns in jedem Fall als Hausaufgabe erhalten.
https://www.bloomberg.com/news/articles/2018-10-04/the-big-hack-amazon-apple-supermicro-and-beijing-respond
 

-------------------------------------------------------------- 
HiSolutions in den Medien: Cybersicherheit in Krankenhäusern
Das Thema IT-Sicherheit in Krankenhäusern hat zuletzt sprunghaft an Bedeutung gewonnen, was sich zunehmend auch in den Massenmedien widerspiegelt. Gestern erschien bei HR Inforadio die fünfte und letzte Folge der zweiten Staffel der Podcastserie "Cybercrime". Die Journalisten gehen der Frage nach, wie gefährdet deutsche Krankenhäuser sind und haben dafür u. a. ein Team von HiSolutions begleitet.
Nachzuhören unter: https://www.hr-inforadio.de/podcast/cybercrime/index.html
Auch das HR Fernsehen war bei einem technischen Audit einer Gießener Klinik live dabei.
Anzuschauen auf: https://www.ardmediathek.de/tv/defacto/Defacto-Cybercrime/hr-fernsehen/Video?bcastId=3437388&documentId=56621044

--------------------------------------------------------------
Leben und sterben lassen: Support und EOL für Microsoft-Betriebssysteme
Das HiSolutions SAM-Team (Software Asset Management) hat einen Blog-Beitrag zum komplexen und dynamischen Thema Support von Microsoft-Produkten veröffentlicht. Darin u. a.: Aktuell endet der erweiterte Support für Windows 7 am 14. Januar 2020. Laut Microsoft werden jedoch bis zu diesem Datum nicht alle Kunden auf eine neuere Version von Windows umgestiegen sein. Microsoft bietet daher kostenpflichtige Windows 7 Extended Security Updates (ESU) an, die je nach Windows-Version unterschiedlich verfügbar sind.
https://sam.news/microsoft-supportzyklen/ 

--------------------------------------------------------------
Flucht nach vorne? Produktzertifizierungen nach IEC 62443
Der Teletrust e. V., nach eigenen Angaben größter Kompetenzverbund für IT-Sicherheit in Deutschland und Europa, Betreiber u. a. des Labels „Security made in Germany“, hat ein Prüfschema für IEC 62443-4-2 veröffentlicht. Das ist derjenige erst kürzlich fertiggestellte Teil des ICS-Security-Standards IEC 62443, der Sicherheitsanforderungen für ICS-Komponenten beschreibt, und nach dem bisher noch nicht zertifiziert werden kann. Das nun vorgeschlagene Prüfschema kann eine Vorstufe zu einem Zertifizierungsschema sein, in welchem noch geregelt werden müsste, wer wann prüfen darf und welche Qualifikationen die Prüfer haben müssen.
https://www.teletrust.de/publikationen/iec-62443-4-2-pruefschema/

--------------------------------------------------------------
Hakt’s in der Fabrik? ZVEI-Spiel beim European Cyber Security Month
Der Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI) bietet ein kostenloses Cyberangriffsspiel an. Sogenannte „Newsgames“ sind ein neuer Ansatz, Aufmerksamkeit und Wissen in puncto Cybersicherheit zu erhöhen. Mit „Hack the Factory“ möchte der ZVEI Wissen spielerisch vermitteln. Spieler schlüpfen in die Rolle eines Hackers und versuchen, in eine vernetzte Fabrik einzudringen. Nur wer die Fragen richtig beantwortet, erreicht sein Ziel und kennt am Ende die wichtigsten Fakten zur Cybersicherheit.
www.hackthefactory.de
Das Ganze findet im Rahmen des European Cyber Security Month (ECSM) Oktober 2018 statt: https://www.bsi.bund.de/DE/Service/Aktuell/Veranstaltungen/ECSM/ecsm_node.html

--------------------------------------------------------------
Bitte Lächeln! Gefahren von Gesichts-Biometrie
Biometrische Verfahren bringen mehrere grundsätzliche Probleme mit sich. Der Hauptnachteil ist, dass sich einmal kompromittierte Merkmale prinzipbedingt niemals ändern lassen, was in vielen Fällen bereits als KO-Kriterium gelten sollte. Ein weiterer Haken ist allerdings, dass sich der Einsatz körperlicher Merkmale in den meisten Fällen leichter erzwingen lässt als die Preisgabe von Passwörtern. Die gewaltsame Abnahme von Fingerabdrücken wurde – etwa in den USA – schon häufig dokumentiert. Forbes beschäftigt sich nun mit der sich immer weiterverbreitenden Face-ID-Technik von Apple. Auch hier haben Ermittlungsbehörden bereits Verdächtige dazu gedrängt, ihr Gesicht in die Kamera zu halten, obwohl rechtlich zweifelhaft ist, ob dieses Verfahren durch einen Durchsuchungsbeschluss abgedeckt ist oder ob eher verfassungsmäßige Schutzrechte greifen. Ein – möglicherweise makabrer, aber aus Security-Sicht faktischer – Vorteil der Gesichtserkennungstechniken scheint jedoch zu sein, dass sie, im Gegensatz zu Fingerabdrücken, nur mit Gesichtern von Lebenden funktionieren sollen.
https://www.forbes.com/sites/thomasbrewster/2018/09/30/feds-force-suspect-to-unlock-apple-iphone-x-with-their-face 

--------------------------------------------------------------
Einmal von Profis lernen… OPSEC Fail führt zur Massenenttarnung von Geheimdienstmitarbeitern
Freiwilligen der Open-Source- und Social-Media-Investigativplattform Bellingcat ist es angeblich gelungen, die Identität von 305 mutmaßlichen Mitarbeitern des russischen Militärgeheimdienstes GRU offenzulegen („Doxxing“). Dafür nutzten sie die Verkettung einer Reihe von „Anfängerfehlern“ der Offiziere in Bezug auf die sogenannte OPSEC (Operational Security) wie konsekutive Nummern und sich wiederholende Ausstellungsdaten auf gefälschten Pässen sowie die Anmeldung von Autos auf Dienstadressen der Militärakademie.
https://www.bellingcat.com/news/2018/10/04/305-car-registrations-may-point-massive-gru-security-breach/

--------------------------------------------------------------
Und noch ein schwaches Kettenglied: Wearables und Machine Learning (OPSEC Fail II)
„Wearables“, also am Körper getragene IT, bieten ganz neue Potenziale an Datengewinnung und damit auch Nutzung – gerade im Zusammenspiel mit künstlicher Intelligenz. So versucht etwa die Apple Watch, Unfälle zu detektieren und ggf. automatisch Hilfe sowie nächste Angehörige herbeizurufen. Dass das Machine Learning hierbei noch lernfähig ist, musste ein schottischer Twitternutzer erfahren, als seine Uhr eigenmächtig schlussfolgerte, 627 schnelle Auf- und Abwärtsbewegungen gefolgt von fünf Minuten Bewegungslosigkeit könnten nur einen Sturz von einer (sehr hohen?) Treppe bedeuten – worauf nicht nur der Notarzt, sondern auch die Mutter vor der Tür standen.
https://twitter.com/RyPatts/status/1045281819866927105

LESETIPPS

Einen an der Waffel? Notfallmanagement lernen vom Eierbräter
Wenn Hurrikane die USA verwüsten, ruft das Weiße Haus bei einer Fastfood-Kette an, um herauszufinden, wie schlimm es wirklich steht. Denn niemand kennt sich so gut mit solchen Ereignissen aus wie das für sein billiges Frühstück bekannte Waffle House. Der Text ist von 2017, aber immer noch extrem lesenswert im Hinblick auf praxiserprobtes, orkantaugliches BCM:
https://www.brandeins.de/magazine/brand-eins-wirtschaftsmagazin/2017/ueberraschung/im-auge-des-sturms

Nur Rasterfahndung nach dem Rastafari? Big Data prägt uns immer mehr
Dass unsere Daten von Behörden wie Konzernen massenhaft gesammelt und ausgewertet werden, ist schon lange kein Geheimnis mehr. Der FAZ-Beitrag vom Februar 2018 geht den Fragen nach dem Wer, Warum, Wie und nach der Macht von Metadaten sehr gründlich und grundsätzlich nach und wagt auch Blicke in die „Zukunft“, die längst begonnen hat: Stichworte Social Scoring und KI – zum Beispiel zur automatischen Charakteranalyse von Bewerbern.
http://www.faz.net/aktuell/politik/inland/ueberwachung-was-passiert-mit-den-gesammelten-informationen-15445555.html

---------------------------------------------------------------
Der nächste HiS-Cybersecurity Digest erscheint Anfang November 2018 – jetzt abonnieren!

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!