Top Thema
Die Ikarussen kommen? Flächensonnenbrand in IT-Land – SolarWinds #Sunburst Supply Chain Angriff
Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen auch schon konkret ausgenutzt worden sind.
Aufgefallen war der Angriff, weil eines der Opfer der amerikanische Security-Spezialist FireEye ist. Experten dort hatten den Missbrauch von Microsoft-Authentifizierungstechniken durch die Angreifer bemerkt und eine Untersuchung gestartet, die zunächst die Spitze des Eisbergs sichtbar machte.
Inzwischen ist klar, dass nicht nur viele Fortune 500-Unternehmen, sondern auch kritische Infrastrukturen und der Verteidigungssektor betroffen sind – eine Goldgrube für die Angreifer.
„Sunburst“, wie der Angriff genannt wird, ist relativ leicht im Netzwerk zu detektieren und zu stoppen. Die Sisyphusarbeit liegt jedoch darin, Netzwerke, die möglicherweise durch die Lücke schon kompromittiert wurden, zu untersuchen und – in vielen Fällen der einzig wirklich sichere Weg – neu aufzusetzen. Die Aufräumarbeiten hierzu haben gerade erst begonnen.
https://research.hisolutions.com/2020/12/solarwinds-sunburst-supply-chain-angriff/
Neuigkeiten
Wall of… Awareness: Prominente Opfer 2020
2020 sollte allen klar sein, dass es keine Schande ist, Opfer von Ransomware oder anderen großen Cyber-Attacken geworden zu sein. Es kann jedes Unternehmen und jede Behörde treffen. In diesem Jahr waren unter anderem die folgenden Institutionen an der Reihe – ihnen gebührt unser aller Dank, dass wir aus diesen öffentlich bekannten Fällen lernen durften, um besser gerüstet zu sein.
Finanz- und das Handelsministerium (USA), AstraZeneca , Europäische Arzneimittelbehörde, Klinikum Düsseldorf, BW Fuhrpark Service, TX Group (Mediengruppe), Hirslanden-Gruppe (Krankenhaus), Argentinisches Innenministerium (Passdaten), Wipotec Gruppe (Maschinenbau), GWG Wohnungsbaugesellschaft München, Marabu (Druckfarbenhersteller), Manchester United (Fußball), Flughafen Saarbrücken, Magellan Health, Schmersal (Sicherheitsschaltgeräte und Systeme), Münchner Sicherheitskonferenz, X-Fab (Halbleiter), Software AG, Easyjet, KME (Kupferhersteller), Kammergericht Berlin, Humboldt-Universität, Stadtverwaltung Potsdam, Handwerkskammer Hannover, Ruhr-Universität Bochum, Swatch, DFB, Universität Augsburg, Tracto (Maschinenbau), Fresenius, Optima (Verpackungen), Garmin, Netzsch (Maschinenbau), Technische Werke Ludwigshafen, Kölner Universitäts- und Stadtbibliothek, Sopra Steria, Vastaamo, Symrise, …
Ganz normale Landstraße: Normungsroadmap KI veröffentlicht
Beim DIN wurde die „Normungsroadmap KI“ veröffentlicht. Um ein einheitliches Vorgehen beim Thema IT-Sicherheit von KI-Anwendungen zu ermöglichen, soll eine übergreifende „Umbrella-Norm“ („Horizontale KI-Basis-Sicherheitsnorm“) entwickelt werden, die vorhandene Normen und Prüfverfahren bündelt und um KI-Aspekte ergänzt sowie durch Sub-Normen zu weiteren Themen ergänzt werden kann. Außerdem sollen eine praxisgerechte initiale Kritikalitätsprüfung von KI-Systemen ausgestaltet und ein nationales Umsetzungsprogramm „Trusted AI“ zur Ertüchtigung der europäischen Qualitätsinfrastruktur initiiert werden.
https://www.din.de/de/forschung-und-innovation/themen/kuenstliche-intelligenz/normungsroadmap-ki
Ja SANS denn deppert? SANS Practical Guide AWS Security
SANS hat das kostenlose eBook „Practical Guide to Security in the AWS Cloud“ veröffentlicht, das auf ganzen 365 Seiten praktische Aspekte der Absicherung von AWS aufzählt – von Automatisierung über Detektion bis Threat Hunting.
Es sieht schwarz aus für den Rotwald – Microsoft kündigt ESAE ab
Das unaussprechliche Enhanced Security Admin Environment (ESAE), vielen auch unter dem griffigeren Namen Red Forest bekannt, ist ein Konzept, das in Kennerinnen und Kennern unterschiedlichste Reaktionen ausgelöst hat: von Ehrfurcht (ob des möglichen Sicherheitsniveaus) bis zu hysterischem Lachen (ob des sechsstelligen Taschengeldes, das notwendig war, damit Vertreter der Erfinderin Microsoft überhaupt vorbeikamen, um über diese Geheimwaffe zu reden). Nun schickt Redmond den Red Forest aufs Altenteil – zu komplex und zu schwerfällig war die Idee, um unter dem Strich für ein Plus an Hochsicherheit sorgen zu können. Ersetzt werden soll ESAE nach Microsofts Idee durch die hauseigene Privileged Access Strategy und die Rapid Modernization Plan (RAMP) Anleitung. Einzig Microsoft selbst möchte intern weiter eine Art Red Forest betreiben „because of the extreme security requirements for providing trusted cloud services to organizations around the globe.“
https://docs.microsoft.com/en-us/security/compass/esae-retirement
Praktisch unsicher: Elektronische Patientenakte stolpert über Konfigurationslücken
Ab Januar ist die elektronische Patientenakte (ePA) in Arztpraxen, Krankenhäusern und Apotheken in Betrieb. Dann können über die Telematik-Infrastruktur sensible Gesundheitsinformationen miteinander ausgetauscht werden. Doch IT-Sicherheitsforscher fanden gravierende Sicherheitslücken bei der Konfiguration der sogenannten Konnektoren, welche die Praxen an die Infrastruktur anbinden. In etwa 30 Fällen hätten Angreifer der Telematik-Infrastruktur vortäuschen können, eine Arztpraxis zu sein, und damit ohne Passwortschutz Zugriff auf alle Patientenakten der Praxis bekommen.
https://www.tagesschau.de/investigativ/br-recherche/sicherheit-telematik-101.html
Oh IOT oh IOT, fast verjessen: AMNESIA:33
AMNESIA:33 ist eine Sammlung von 33 Schwachstellen in vier weit verbreiteten TCP/IP-Stack-Implementierungen. uIP, FNET, picoTCP und Nut/Net decken als Basiskomponenten insgesamt viele Millionen vernetzter Geräte ab. Die Schwachstellen ermöglichen via Memory Corruption Angriffe wie Remote Code Execution (RCE), Denial of Service (DoS) und den Diebstahl von Informationen.
https://www.forescout.com/research-labs/amnesia33/
1, 2, Policy: ISMS Policies von UC Berkeley
Das Information Security Office der renommierten US-Uni Berkeley bietet wichtige Teile der Richtlinien aus seinem ISMS öffentlich im Internet an. Diese sind durchaus einen Blick wert, wenn man an der Ausgestaltung des eigenen sitzt.
https://security.berkeley.edu/policy
Spätlese 2020
Anstelle des Weihnachtsschmucks
Wem die Kreativität für Lamettagraphentheorie, Christbaumkugelpackungen oder Lebkuchenhauskonstruktionen in diesem Jahr ausgegangen ist, der kann sich auch einfach diese hübschen Netzwerktechnik-Cheat-Sheets in DIN A0 an die Wand hängen. Frohes Fest!
https://packetlife.net/library/cheat-sheets/
Anstelle eines Weihnachtslieds
Und wem nicht nach Weihnachtsliedern zumute ist, der kann stattdessen Deichkind hören, die ein Video von „Frag den Staat“ musikalisch hinterlegt haben. Die Plattform hat auch 2020 mit der konsequenten Nutzung des Informationsfreiheitsgesetzes (IFG) dazu beigetragen, dass die Öffentlichkeit über diverse die Cybersicherheit betreffende Vorgänge informiert werden konnte.
https://fragdenstaat.de/spenden/wfds/#video
Der nächste HiS-Cybersecurity Digest erscheint Ende Januar – man glaubt es kaum – 2021.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!