HiSolutions Cybersecurity Digest April 2021 veröffentlicht

Top Thema

Gesetzt den Fall – IT Sicherheit 2.0

Nach langen Verhandlungen hat der Bundestag am 23.4.2021 „nach halbstündiger Aussprache“ – sprich, kurz und (je nach Standpunkt) schmerzlos bzw. -voll die Neuausgabe des IT-Sicherheitsgesetzes von 2015 beschlossen. Seit 2019 hatte es für die Novelle des Gesetzes, welches bis zuletzt nicht evaluiert worden war, eine Reihe von öffentlichen, nichtöffentlichen, geleakten und teilweise schnell wieder veralteten Entwürfen gegeben, die der kommentierenden Zivilgesellschaft einiges an Agilität abverlangten.

Am Ende konnte die viele – nicht wenige sagen: vernichtende – Kritik am Gesamtwerk nur wenig Änderungen bewirken; auch die Anträge der verschiedenen Oppositionsparteien wurden sämtlich abgeschmettert. Nun ist es, was es ist – und wird, wie bereits das ursprüngliche IT-SiG – konkret vor allem mit den folgenden Rechtsverordnungen ausgestaltet werden.

Klar ist aber schon, dass die Kompetenz des BSI stark erweitert wird. Es kann künftig Sicherheitslücken in IT-Systemen über öffentliche Telekommunikationsnetze mithilfe von Portscans suchen und semi-offensive Methoden wie Honeypots und Sinkholes einsetzen. Dazu mischt das BSI jetzt im Verbraucherschutz mit, etwa mit einem IT-Sicherheitskennzeichen.

Kritis-Betreiber sowie Betreiber im Energie-Sektor müssen bald Systeme zur Angriffserkennung („SOC“/„SIEM“) einsetzen. Außerdem müssen Erklärungen von Herstellern kritischer Komponenten eingeholt werden, dass keine Sabotage oder Spionage zu erwarten ist.

Bestimmte bislang schon geltende Pflichten für Kritis-Betreiber (v. a. die Meldepflicht) betreffen demnächst auch „Unternehmen in besonderem öffentlichen Interesse“ („UNBÖFI“), etwa in der Rüstungsindustrie und im Bereich Verschlusssachen („KRITIS-light“). Ebenso auf dem Radar sind nun Unternehmen, die der Störfallverordnung unterliegen, und Konzerne "von erheblicher volkswirtschaftlicher Bedeutung" im Inland oder als Zulieferer mit „Alleinstellungsmerkmalen". Neu betroffen ist der Sektor Entsorgung.

Mehr zum frisch erschienenen Vorab-Entwurf der KRITIS-Verordnung:

https://research.hisolutions.com/tag/kritis/ 

 

Neuigkeiten

Durch-laucht: Datenleaks en gros

In den letzten Wochen kamen die Ticker nicht mehr zum Stillstand angesichts vielfältigen unfreiwilligen „Datenreichtums“. Facebook musste den Verlust der Daten von 533 Millionen Usern aus 106 Ländern zugeben, die vermutlich über eine im August 2019 geschlossenen Sicherheitslücke entwendet worden waren. Bisher war nicht bekannt gewesen, wie viele Nutzer tatsächlich betroffen sind. Zu den geleakten Informationen gehören Telefonnummern, vollständige Namen, Standorte, Geburtstage, E-Mail-Adressen und biographische Daten. Der gesamte Datenabzug ist mittlerweile kostenlos im Internet verfügbar. 

Bei LinkedIn hingegen handelt es sich nicht um ein klassisches Leak, sondern es wurden öffentlich verfügbare Daten im großen Stil gesammelt. Die zum Verkauf angebotenen Daten, die etwa für Phishing-Angriffe nützlich sein können, enthalten Informationen von 500 Millionen Profilen.

Auch bei Clubhouse war kein Leak im engeren Sinn im Spiel: Hier wurden „lediglich“ die öffentlichen Daten von 1,3 Millionen Profilen der unter Datenschützenden ohnehin umstrittenen App gesammelt und auf einer Online-Plattform zur Verfügung gestellt.

https://www.handelsblatt.com/technik/it-internet/telefonnummern-namen-mailadressen-daten-von-533-millionen-facebook-nutzern-veroeffentlicht-hamburger-datenschuetzer-fordert-aufklaerung/27066630.html 

https://www.reuters.com/technology/linkedin-says-some-user-data-extracted-posted-sale-2021-04-09/ 

https://cybernews.com/security/clubhouse-data-leak-1-3-million-user-records-leaked-for-free-online/ 


HISOLUTIONS

Vorfall-Experte/-in des CSN (Cyber-Sicherheitsnetzwerk)

In der dreitägigen Aufbauschulung werden die Teilnehmenden befähigt, im Falle von IT-Sicherheitsvorfällen schnell und effektiv reagieren und als Schnittstelle zu den Vorfall-Expertinnen und -Experten des Cyber-Sicherheitsnetzwerks beim Bundesamt für Sicherheit in der Informationstechnik (BSI) agieren zu können. 

Die erste Schulung zum Vorfall-Experten wird von 15.-17.06.2021 stattfinden.

https://www.hisolutions.com/security-consulting/academy#c5601


Verspätungs-Zuschlag: DSGVO trifft Booking 

Der Verlust von Kundendaten wurde an die Datenschutzaufsicht gemeldet – allerdings zu spät. Nun muss der Reisebroker Booking.com in den Niederlanden 475.000 Euro Strafe zahlen. Abgegriffen werden konnten 4.109 Kundendatensätze, etwa durch Konten von Mitarbeitern von 40 Hotels in den Vereinigten Arabischen Emiraten. In 283 Fällen wurden die Kreditkarteninformationen, bei 97 sogar die Sicherheitsnummer der Kreditkarte erlangt. Der unerlaubte Zugriff auf das Extranet von Booking.com, für den die Strafe verhängt wurde, geschah bereits 2019 und wurde damals erst nach 22 Tagen anstatt wie vorgeschrieben nach 72 Stunden gemeldet.

https://www.heise.de/news/Datenverlust-zu-spaet-gemeldet-Booking-com-muss-Strafe-zahlen-6004800.html 


Bund baut Bundescloud, na und?

Medienberichten zufolge erwägt die Bundesregierung, mit Hilfe von Microsoft eine „Bundescloud“ aufzubauen. Hierbei handelt es sich wohl nicht um das geplante europäische Projekt „Sovereign Cloud Stack (SCS)“. Dies wirft viele Fragen auf, etwa nach der Vereinbarkeit der unterschiedlichen Rechtslagen in Deutschland und den USA bezüglich des Datenschutzes. Branchenkenner befürchten zudem, dass nach dem Projektstart eine Alternative nicht mehr möglich sein könnte, da die Kosten für einen Neustart zu hoch wären.

https://www.heinlein-support.de/blog/news/bundesregierung-plant-rechtswidrige-bundescloud/ 


Aufräumarbeiten: FBI putzt Webshells weg

Die US-amerikanische Bundespolizei FBI hat die Freigabe erhalten, aus der Ferne Malware von befallenen Systemen aus dem Hafnium-Exchange-Vorfall zu entfernen. Es ist das erste Mal in der Geschichte der USA, dass ein Gericht eine solche Aktion gutheißt. In diesem Fall wurde das systematische Vorgehen des FBI von vielen Beobachtern gelobt. Es bleibt zu beobachten, ob dieses Beispiel (auch international) Schule macht.

https://www.bankinfosecurity.com/fbi-removing-web-shells-from-infected-exchange-servers-a-16399 


Eiskaltes Kühlketten-Phishen

Cyberkriminelle mit vermuteter Unterstützung durch staatliche Akteure haben eine Spear-Phishing-Kampagne ausgebaut, die als Ziel die Kühlkette der Covid-Impfungen hatte bzw. hat. Forscher von IBM haben entdeckt, dass es bereits Opfer unter den Führungskräften von 44 Unternehmen weltweit gab. Die Angriffe starteten bereits vor den Zulassungen der Impfungen. Ziel der Angreifer schien es mindestens, Einblicke in die Verhandlungen rund um die Impfungen zu bekommen. Ob im schlimmsten Fall die Verteilung der Impfungen behindert werden sollte, ist unklar. 

https://www.bankinfosecurity.com/phishing-campaign-targeting-covid-vaccine-cold-chain-expands-a-16406 


Grumpy (old) Verdrecker: Saurer Ex-Mitarbeiter macht Wasser nicht sauber 

Ein Mitarbeiter des örtlichen Wasserversorgers hat nach seiner Kündigung bei der Post Rock Water District in Ellsworth in Kansas, USA, mit einem noch aktiven Login die Desinfektion und Säuberung des Trinkwassers ausgeschaltet. Die Zugangsdaten hatte er benötigt, da er zuvor von remote gearbeitet hatte. Ende März wurde er zu 25 Jahren Haft und 500.000 Dollar Strafe verurteilt.

https://www.cshub.com/attacks/articles/another-cyber-attack-affecting-water-supply 


Trotzdem von Geld gelöst: Scottish Environment Protection Agency (SEPA) erpresst

Wie jetzt bekannt wurde, war die Scottish Environment Protection Agency (SEPA) an Weinachten gehackt worden. Nun wurden über 4.000 Dateien im Internet veröffentlicht, nachdem die SEPA eine Lösegeldzahlung verweigert hat. Insgesamt wurden 790.000 Pfund für Recovery und Response ausgegeben, wovon alleine 458.000 Pfund für die Stabilisierung der IT-Plattform benötigt wurden. Eine vollständige Erholung von dem Angriff dauert derweil noch an.

https://www.bbc.com/news/uk-scotland-56612867 


Continuous Disintegration? Codecov-Skript unterwandert

Unbekannte haben unerlaubten Schreibzugriff auf das „Bash Uploader“-Skript von Codecov erlangt. Die ausgenutzte Schwachstelle war ein Fehler in der Konfiguration des Prozesses zur Erstellung von Docker-Images. Nachforschungen von Codecov und eines beauftragten externen Forensik-Unternehmens zeigten, dass bereits am 31. Januar erste Änderungen am Skript getätigt wurden. Die Schwachstelle erlaubte es insbesondere, Daten aus der Continuous Integration (CI)-Umgebung von Nutzern zu extrahieren. Das manipulierte Skript wurde bei jeder Dienstnutzung auf den Systemen der Kunden ausgeführt, die Angreifer hatten damit theoretisch recht freie Hand für Manipulationen der Continuous Integration (CI)-Umgebungen der Nutzer. Sie beschränkten sich nach aktuellem Stand aber darauf, Zugangsdaten für weitere Cloud-Plattformen zu extrahieren.

https://about.codecov.io/security-update/ 


Fernkampf in Nah-Tanz: Mutmaßlicher Cyberangriff auf iranische Atomanlage 

Israelische Medien berichten, dass der kürzlich erfolge Sabotage-Angriff auf die Atomanlage im persischen Natanz ein Cyberangriff des Mossad gewesen sein soll. Dieser hatte nach Informationen der Atomic Energy Organisation of Iran (AEOI) zu einem Stromausfall in der Anlage geführt und könnte das Atomprogramm ein Stück weit gebremst haben. Es wurden jedoch keine weiteren Informationen über Schäden bestätigt, außer dass es keine Verletzten oder „Lecks“ gegeben haben soll.

https://www.bbc.com/news/world-middle-east-56708778 

 

Lesetipps

Neues im HiSolutions Research Blog (https://research.hisolutions.com): 

Hafnium Reloaded – Wieder kritische Schwachstellen in Microsoft Exchange

https://research.hisolutions.com/2021/04/hafnium-reloaded-wieder-kritische-schwachstelle-in-microsoft-exchange/


Kein Ende-zu-Ende gut, alles gut bei E-Mail

https://research.hisolutions.com/2021/04/kein-ende-zu-ende-gut-alles-gut-bei-e-mail/


OWASP – Mehr als die Top 10 Sicherheitsrisiken für Webanwendungen

https://research.hisolutions.com/2021/04/owasp-mehr-als-die-top-10-sicherheitsrisiken-fuer-webanwendungen/
 

 

Der nächste HiSolutions-Cybersecurity Digest erscheint Ende Mai 2021.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions-Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: