Top Thema:
Death by Datenschutz? Die Grenzen der Anonymität
Einer der traurigen Corona-Hotspots, die sich als Fußabdrücke eines wild gewordenen, unsichtbaren Random Walkers wie ein sich verdichtender Flickenteppich durch die Lande ziehen, ist das Potsdamer Bergmann-Klinikum. Aufgrund eines zu spät begrenzten Corona-Ausbruchs haben sich dort fast jeder zehnte Mitarbeiter und überdurchschnittlich viele Patienten mangels Testung und Isolation infiziert, etliche sind verstorben. Ein wichtiger Grund: Im Corona-Krisenstab des Klinikums war zunächst der Betriebsarzt nicht vertreten – die einzige Person, die erfahren durfte, woran erkrankte Mitarbeiter leiden. So konnte nicht festgestellt werden, wo infizierte Mitarbeiter gearbeitet haben und wie Infektionsketten verlaufen sind. Man muss nicht so weit gehen, die verursachten Todesfälle alle auf das Konto des (Gesundheits-)Datenschutzes zu schreiben. Allerdings scheint hier eine starre Regel aus einer anderen Zeit schlimme Nebenwirkungen gehabt zu haben. Nun sind wir alle aufgerufen, uns schnellstens Lösungen zu überlegen, die bei der – auch informationellen – Einhegung der Pandemie helfen.
Dabei ist die Aushebelung des Datenschutzes in der Regel gar nicht das, was benötigt wird. Im obigen Fall hätte eine relativ einfache Regeländerung die geeigneten Erkenntnisse rechtzeitig erbringen können, ohne die Krankheitsdaten vieler Mitarbeiter einem größeren Kreis bekannt zu machen. Und auch bei der aktuell diskutierten #CoronaApp sind dezentrale Ansätze ausreichend (wenn auch mit einigen technischen Herausforderungen versehen), wie nach intensiver Beratung durch die Privacy-Community inzwischen auch die Bundesregierung eingesehen hat.
Die Frage ist also nicht: Wie können wir unseren Datenschutz schnellstmöglich aufweichen? Sondern: Wie können wir ihn agil so gestalten, dass er zunächst zu einem Mittel im Kampf gegen die Krise und dann im Idealfall zu einer Blaupause für das wird, was wir gemeinsam mit Big- und Crowd-Data zukünftig noch an Lebensqualitätsverbesserung erreichen können?
https://www.pnn.de/potsdam/coronakrise-im-bergmann-klinikum-der-ausbruch/25757776.html
Neuigkeiten:
Die Grenzen des guten Geschmacks: Zoom Bombing, WebEx Wardialing, Teams Raiding und Co.
Organisierte Kriminalität und andere Angreifergruppen bis hin zu bösartigen Spaßvögeln haben sich wieder einmal als äußerst anpassungsfähig erwiesen. Altbekannte Techniken wie das Stören oder Sprengen von Zusammenkünften (Trolling) oder das Durchprobieren von Zugangsdaten für (Telefon-)Netze (War Dialing) erfreuen sich nicht nur neuer „Beliebtheit“, sondern laufen auch zu neuen Formen auf. Insbesondere fehlende oder schwache Passwörter bei Online Tools sind ein Problem. Denn die Eindringlinge können nicht nur nerven, sondern sogar strafrechtlich relevante oder im schlimmsten Fall traumatisierende Inhalte einspielen. Daher erfordert die Nutzung solcher Tools ein Sicherheitskonzept, welches insbesondere auch den Zugriffsschutz behandelt.
https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems
HiSolutions - Passwort-Audits
Durch das verstärkte mobile Arbeiten in der Corona-Krise haben viele Institutionen neue Online-Zugänge geschaffen, die nicht in jedem Fall mit einer Zwei-Faktor-Authentisierung geschützt sind. Dadurch gewinnen sichere Passwörter in der aktuellen Situation eine besondere Bedeutung. Dabei beobachten wir seit Jahren problematische Trends bei der Verwendung von Passwörtern. Ob bei Incident Response Einsätzen oder bei Penetrationstests – zu schwache Passwörter sind in heutigen IT-Umgebungen noch viel zu häufig der entscheidende Knackpunkt, der über Erfolg bzw. Misserfolg eines Angriffs entscheidet. In unserem Labor mit Spezialhardware für das Durchführen von hochparallelisierten Angriffen auf Passwort-Hashes führen wir systematische Analysen und Ermittlungen von Passwörtern durch, die nachweislich helfen, das Sicherheitsniveau in diesem Bereich zu steigern.
https://research.hisolutions.com/2020/04/passwort-audits/
P.S.: Für den Remote-Kurs „IT-Notfallmanager (TÜV-geprüft)“ mit Start am 5. Mai 2020 gibt es noch wenige freie Plätze. Melden Sie sich jetzt an: https://www.hisolutions.com/security-consulting/academy
Die Grenzen der Elastizität: Auch die Cloud skaliert nicht immer
Das Heilsversprechen der Cloud – instantane, unbegrenzte Skalierbarkeit – wurde zuletzt auf eine harte Probe gestellt. Viele große Anbieter gingen aufgrund des Ansturms zeitweise in die Knie oder mussten ihr Angebot einschränken. Dabei ist das Problem bei kleinen Anbietern oder bei DIY nicht geringer: Nicht jede Firma kann plötzliche Nachfrageänderungen um mehrere Größenordnungen so passabel abfedern wie große Cloud-Provider. Häufig fallen den Akteuren ganz profane Probleme auf die Füße: zu wenige Server (z. B. Terminalserver), VPN-untaugliche Fachanwendungen, fehlende VPN-Lizenzen bzw. unterdimensionierte VPN-Gateways, mangelnde Brandbreite vor allem im Upload oder auch schlicht: fehlende Laptops, die nicht immer sofort beschafft werden können.
Azure: https://www.theregister.co.uk/2020/03/24/azure_seems_to_be_full/
GCP: https://www.theregister.co.uk/2020/03/26/google_gsuite_outage/
Laptop-Mangel: https://www.telegraph.co.uk/technology/2020/03/12/surge-home-working-threatens-laptop-shortage-warns-computacenter/
Die Grenzen der Geduld: Kriminelles Callcenter gehackt
Ein Sicherheitsforscher hat zu „robusten“ Maßnahmen gegriffen und sich in die Prozesse krimineller digitaler Machenschaften gehackt. Durch die Übernahme von Systemen in einem Callcenter der Verbrecher konnte er u. a. 70.000 Anrufmitschnitte und Livebilder der Videoüberwachung erbeuten. Die Aufnahmen wurden in einer Dokumentation der BBC und auf YouTube veröffentlicht.
https://www.golem.de/news/callcenter-sicherheitsexperte-hackt-microsoft-betrueger-2003-147058.html
KRITIS-Krise in Griff gekriegt: Angriff auf nationale Wasserversorgung in Israel abgewehrt
Israel hat nach Aussage des Nationalen Cyber-Direktorats eine groß angelegte Cyberattacke auf die nationale Wasserversorgung verhindert. Diese hatte insbesondere auf die SCADA-Systeme von Kläranlagen, Pumpwerken und weiterer Abwasserinfrastruktur gezielt. Schäden an der kritischen Infrastruktur seien in diesem mutmaßlich koordinierten Angriff allerdings nicht entstanden.
https://www.datensicherheit.de/cyberangriff-wasserversorgung-israel-kritische-infrastruktur
Post für das Quantum – BSI-Handlungsempfehlungen zur Post-Quantum-Kryptografie
Laut BSI sollten nicht mehr die Fragen im Vordergrund stehen, ob und wann es einen leistungsfähigen Quantencomputer geben wird, sondern wie wir die Migration zu quantensicheren Verfahren heute schon gestalten können, um auf der sicheren Seite zu sein. Dies beschreiben die neuen Handlungsempfehlungen „Migration zu Post-Quanten-Kryptografie“ auf netto sieben Seiten kurz und prägnant.
Rechte Hacker: Neonazis jagen Bill Gates
Rechtsextreme Aktivisten sind an eine Liste mit mehr als 20.000 Zugangsdaten u. a. der WHO und der Gates Foundation, die sich für die Bewältigung der Corona-Krise engagiert, gelangt. Angeblich wollen sie diese Informationen einsetzen, um die „Corona-Pandemie in eine Waffe zu verwandeln“. Verschwörungstheoretiker, Rechtsradikale und von ausländischen Diensten gesteuerte Troll-Armeen nutzen häufig Krisen aus, um Falschinformationen zu verbreiten, Unsicherheit und Dissens zu sähen und so ihre Agenda voranzutreiben.
Auch bei der umstrittenen Gesichtserkennungsapp Clearview AI, die vor allem an Strafverfolgungsbehörden vermarktet wird und über eine der größten Gesichtsdatenbanken der Welt verfügt, wurden kürzlich Verbindungen zu Neonazigruppen enthüllt. Diese könnten ein Interesse daran haben, die Technik von Clearview im „Heimatschutz“ flächendeckend einzusetzen. Ein weiteres verbindendes Element ist einer der ersten Investoren von Clearview, der Tech-Unternehmer und Milliardär Peter Thiel. Seine Firma Palantir versorgt die US-Grenzschutzbehörde ICE bereits mit Big Data Tools.
https://www.huffpost.com/entry/clearview-ai-facial-recognition-alt-right_n_5e7d028bc5b6cb08a92a5c48
Lesetipps:
Zum Aufhängen
Die Stiftung Neue Verantwortung hat ihre beliebte „Tapete“ aktualisiert: Das Diagramm visualisiert die komplexe Cyber-Sicherheitsarchitektur des Bundes und der Länder samt aller Aus- und Zuwüchse.
Zum Ausdenken
Das kleine Büchlein „How To Solve It“ des ungarischen Mathematikers George Pólya ist bereits 75 Jahre alt. Trotzdem ist der Untertitel „A system of thinking which can help you solve any problem“ nicht komplett unrealistisch, sodass gerade heute sich ein Blick mehr als lohnt: Die Probleme sind uns ja immerhin nicht ausgegangen.
https://en.wikipedia.org/wiki/How_to_Solve_It (mit guter Zusammenfassung)
Zum Ablachen
Es soll niemand sagen, Künstliche Intelligenz (KI) habe keine wichtigen Anwendungsfelder. Kurz hinter medizinischen bildgebenden Verfahren dürfte aktuell folgendes kommen: der automatische Meme-Generator. Dieser erfindet nicht nur tiefe Wahrheiten, sondern sorgt auch für den einen oder anderen Lachanfall, der ja bekanntlich die beste Medizin ist.
Der nächste HiS-Cybersecurity Digest erscheint Ende Mai 2020.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!