Top Thema
Sassy Buzzwords: Erobert SASE die Welt?
Ein neuer Trend macht aktuell in der IT(-Security) die Runde: SASE, wie die Marketinggötter sagen: „sassy“, oder in lang und verwirrend Secure Access Service Edge.
SASE ist ein neuer Ansatz in der Netzwerk-Architektur, in welchem WAN-Services (etwa eine Anbindung von Außenstellen) und Security-Funktionen (bisher bisweilen als CASP – Cloud-Access Security Provider – implementiert) in einer kombinierten Cloud-Lösung integriert werden. Die Sicherheitsfunktionen greifen hier am Rand (Edge) des Netzwerks und machen so bestimmte zentrale Sicherheitskonzepte wie vom Hauptquartier aufgespannte VPNs überflüssig. Zugriffe von Anwendern, Apps und Geräten werden dabei mit starken Identitäten und kontextbasierten Regeln gesteuert.
Die Platzierung des Begriffs an wenigen strategischen Template-Stellen in den Pressemitteilungen der Storage-Firmen und die Anzahl der um Bildschirm-Estate konkurrierenden Google-Ads zeigen allerdings schnell, worum es zunächst hierbei geht: Content Marketing und Search Engine Advertisement zur „neusten“ Sau, die Marktforscher wie Gartner, Forrester und Co. (natürlich auch zur Stärkung der eigenen Relevanz) durchs Dorf Internet treiben. Allein für die erotische Aussprache des Akronyms hat vermutlich eine Agentur einen schönen Batzen Geld kassiert.
Bei allem Hype ist aber vor allem der Trend hinter dem Trend interessant: Warum gerade diese Sau, gerade jetzt?
Zum einen geht es um Konvergenz: Die meisten großen Innovationen lassen sich entweder in „dasselbe mit weniger“ (Effizienz) oder „mehr mit demselben“ (Funktionalität) einordnen; nur wenige wahre „Disruptionen“ schaffen beides zugleich. Hier also dasselbe (nämlich VPN/„SD-WAN“ einerseits und CASP andererseits) mit weniger, d. h. nur einem Anbieter, der zukünftig beide Töpfe abgreifen möchte. Diejenigen, die eine Chance sehen, beides zugleich anzubieten, pushen den Hype, um diejenigen auszubooten, die nur eines von beiden können. Und selbstverständlich müssen dabei alle behaupten, sie machten das eh alles schon längst.
Zum anderen gibt es immer die Bewegung hin und her zwischen Zentralisierung und Dezentralisierung. Zum Beispiel: Mainframe -> Client-Server -> Cloud -> Edge -> … Diesmal rückt die zentrale Cloud, man hört es im „Edge“ am Ende von SASE, wieder ein Stück näher an die Kunden, um diese noch mehr einzubetten (und abzukassieren).
Bei allem Getrommel: Da das Konzept zu aktuellen Tendenzen und Bewegungen passt, kann ich mir vorstellen, dass es wirklich an Fahrt gewinnen wird – ob unter diesem künstlichen Buzzword oder unter dem nächsten.
https://www.security-insider.de/was-ist-sase-a-954025/
Neuigkeiten
Cyberei auf drei dabei: Cybersicherheit Top 3 Risiko weltweit
Cyber-Vorfälle sind laut Allianz Risk-Barometer 2020 von Platz 1 auf 3 der weltweiten Top-Unternehmensrisiken "abgerutscht" – wegen Corona. Platz 1 und 2 nehmen jetzt die Geschäftsunterbrechung (hoch von 2) und, wenig überraschend, die Pandemie (hoch von 17) ein. Allerdings betont der Report, der bereits im zehnten Jahr erscheint und auf Einschätzungen von über 2.700 Experten aus 92 Ländern beruht (CEOs, Risikomanager, Makler und Versicherungsexperten), dass diese drei Risiken nicht unabhängig voneinander zu betrachten sind. So hat Corona auch die Cyberlage verschärft, und Cyber ist einer der wesentlichen Risikofaktoren für Geschäftsausfälle. In Deutschland liegt das Thema übrigens sogar auf Platz 2, noch vor der Pandemie. Informationssicherheit bleibt also mit der formalen „Bronzemedaille“ national wie weltweit auch 2020 ff. eines der Schlüsselfelder für das Risikomanagement.
https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2021-de.html
HISOLUTIONS
Neues Schulungsformat bei HiSolutions: „Vorfall-Experte“
In unserer neuen dreitägigen Aufbauschulung zum Vorfall-Experten werden Teilnehmer befähigt, im Falle von IT-Sicherheitsvorfällen schnell und effektiv reagieren zu können sowie Schnittstellen zu den Vorfall-Experten des Cyber-Sicherheitsnetzwerks (CSN) des BSI aufzubauen. Das Training richtet sich an IT-Sicherheitsbeauftragte, CISOs, Business Continuity Manager (Notfallmanager), Auditoren und Experten, die mit einem Zertifikat den Status als Dienstleister des CSN oder IT-Sicherheitsdienstleister anstreben.
https://www.hisolutions.com/security-consulting/academy#c5601
Aller guten 200er sind 4: BSI-Standard 200-4 veröffentlicht
Aller guten Dinge sind vier. Das gilt bekanntermaßen auch für Standards, und so hat das BSI gerade den lange erwarteten Standard 200-4 als Community Draft veröffentlicht. Der nun nach 200-1, 200-2 und 200-3 endlich ebenfalls modernisierte BSI-Standard 200-4 gibt eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen. Der in Co-Autorschaft mit HiSolutions entwickelte Standard wurde auf dem 1. IT-Grundschutz-Tag 2021 am 19.01. vorgestellt.
Das BSI freut sich über jeden Kommentar zum Draft an it-grundschutz@bsi.bund.de bis zum 30.06.2021. Schon während der Kommentierungsphase sollen die Kommentare gesichtet und konsolidiert werden, sodass bedarfsweise auch frühzeitig überarbeitete Fassungen zur Verfügung gestellt werden können.
Ankündigung von HiSolutions: https://www.hisolutions.com/detail/bsi-standard-200-4-business-continuity-management-community-draft-veroeffentlicht
Download des Community Draft: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard204/ITGStandard204_node.html
Heise-Artikel zum 200-4: https://www.heise.de/news/Neuer-BSI-Standard-zum-Business-Continuity-Management-5030647.html
Papier-Tiger oder Praxis-Löwe: Umsetzung des § 8a BSIG in der Praxis
Seit Juli 2015 ist das IT-Sicherheitsgesetz nun bereits in Kraft. Insbesondere die Anforderungen nach § 8a BSI-Gesetz haben dabei weitreichende Anforderungen für die Betreiber kritischer Dienstleistungen gebracht. Der ausführliche Beitrag „Umsetzung des § 8a BSIG in der Praxis – Eine Reise zwischen Nachweiserbringungen, Zertifizierungen und dem wirklichen Leben“ unseres Experten Daniel Jedecke im Research-Blog geht der Frage nach, ob die Regulierung nur einen Papier-Tiger erschaffen oder tatsächliche Hilfe für die Bevölkerung gebracht hat.
https://research.hisolutions.com/2021/01/umsetzung-des-%c2%a78a-bsig-in-der-praxis/
Ganz schön forsch: Security-Researcher im Visier
Googles Abteilung Threat Research Group hat eine Kampagne aufgedeckt, mittels derer ein Geheimdienst versucht hat, Forschungsergebnisse zu Schwachstellen zu stehlen. Dafür wurden eigens Netzwerke aus Trollen und Bots – sogenannten Sock Puppets (Sockenpuppen) – aufgesetzt, die mit den Researchern interagiert haben, um deren Vertrauen zu erschleichen. Sogar Gastartikel von realen Expertinnen und Experten konnten die Fake-Forscher für ihre Blogs, in denen zur Tarnung eigene und niederwertige Fake-Forschung publiziert wurde, gewinnen. Diese „Ergebnisse“ und Kooperationen wurden über eine Vielzahl von Social Media Accounts verbreitet und beworben. Ziel der Kampagne schien nach ersten Analysen, eine trojanisierte VS-Projekt-Datei unterzuschieben, die in einigen Fällen Systeme der Researcher erfolgreich kompromittiert hat. Dies stellte sich allerdings nur als Backup-Angriffsvektor heraus. Die eigentliche Kompromittierung erfolgte via Chrome-0-day in Form eines Drive-By-Exploits, der sich in einem Blog befand, von dem ein PGP-Schlüssel zur Übertragung einiger minderwertiger Lock-Exploits (PoCs) heruntergeladen werden sollte.
Im Netz machte sich darob zunächst vor allem (ironischer) Neid breit von Seiten derer, die die Gauner nicht angesprochen hatten. In Zukunft ist also eine weitere mögliche Schwachstelle besonders zu beachten: die eigene Eitelkeit, wenn Fremde zur Kooperation einladen...
https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/
Smishing (im)possible? Phishing-Angriffe per SMS häufen sich
In den letzten Tagen gehen vermehrt verdächtige SMS-Nachrichten bei Mitarbeiterinnen und Mitarbeitern von Unternehmen und Behörden ein, mit Texten wie „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. [Link]“. Bei dieser Art von SMS handelt es sich um einen Phishing-Versuch per SMS, auch „Smishing“ genannt. Dies bezeichnet einen Betrugsversuch, bei dem automatisiert oder gezielt SMS mit irreführenden Informationen versandt werden, um die Empfänger zur Herausgabe sensibler Daten zu verleiten. Unser Artikel erklärt, wie die Angriffe funktionieren und wie man sich dagegen schützen kann.
https://research.hisolutions.com/2021/01/phishing-per-sms-smishing-angriffe-haeufen-sich/
Wider den reedlichen Mast- und Schotbruch der Integrität: UN verlangen IT-Resilienz von Schifffahrt
Während sich viele Konzerne auf dem Land und in der Luft schon länger um den Schutz ihrer Netze und Daten kümmern, verlangt die internationale Schifffahrtsorganisation der UNO, IMO, nun auch IT-Resilienz auf den Meeren. Seit Anfang des Jahres gelten neue Anforderungen für die Cyber-Sicherheit an Bord von Schiffen tausender Reedereien. Dafür wurden eigens die Regeln für den sicheren internationalen Schiffsbetrieb ergänzt, u. a. um ein Cyber-Risikomanagement. Systeme müssen nun durch technische und organisatorische Maßnahmen (TOM) geschützt werden.
Von Profis lernen: NSA-Papier zu Cloud-Sicherheitsmaßnahmen
Die NSA, selbst für robusten Umgang mit der Vertraulichkeit von Cloud-Daten bekannt, hat ein achtseitiges Papier veröffentlicht, welches die aktuellen Herausforderungen der Cloud-Security gut zusammenfasst und Angreifertypen sowie Maßnahmenklassen sinnvoll kategorisiert.
Know Your Cloudnutzer – KYC für Cloud
An seinem letzten Amtstag hat Ex-US-Präsident Trump noch eine letzte Executive Order zur Cybersicherheit unterzeichnet. Nach dieser müssen US-Cloudprovider – gemeint sind vor allem IaaS-Anbieter – zukünftig ihre Kunden identifizieren (KYC – Know Your Customer), wie das im Bereich Banking bereits seit langer Zeit üblich ist. Das würde bedeuten, dass die Cloud-Dienste vielen ihrer Kunden die Accounts schließen müssten, bis diese Identitätsnachweise hochgeladen haben. Die Biden-Administration hat zumindest den Text des Dekrets sofort wieder von der Internetseite des Weißen Hauses getilgt.
Signing In the Rain: Von Decryption und Signing Oracles – Covert-Content-Angriffe auf E-Mail
Aktuelle Forschung unserer Kollegin Heike Knobbe zeigt, dass viele gängige E-Mail-Clients heute immer noch anfällig sind für die vor wenigen Jahren entdeckten Angriffe Decryption Oracle und Signing Oracle. Der Blog-Post beschreibt die Attacken und gibt Hinweise für notwendige Gegenmaßnahmen.
Gesunde Wolke: ENISA-Studie zu Healthcare-Cloud-Security
ENISA hat eine Studie "Cloud Security for Healthcare Services" veröffentlicht. Diese gibt Sicherheits-Best-Practices für die Cloud-Nutzung im Gesundheitssektor an die Hand und bezieht auch relevante Aspekte des Datenschutzes mit ein.
https://www.enisa.europa.eu/publications/cloud-security-for-healthcare-services
Toller Takedown: Emotet total tot
Für einen Moment zumindest. Die Generalstaatsanwaltschaft Frankfurt und das BKA haben mit internationaler Kooperation einen Takedown von 17 Emotet-C2-Servern durchgeführt und die damit gewonnene Kontrolle genutzt, indem sie die Schadsoftware so modifiziert haben, „dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können“. Damit sind zunächst einmal zentrale Teile des Backends von Emotet zerstört. Hoffen wir, dass das ein kleines Weilchen hält, bevor andere die entstandene Lücke nutzen.
https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2021/Presse2021/210127_pmEmotet.html
Medientipps
Heute einmal nichts zu lesen. Aber zu:
Hören: DLF Kultur Feature „Datensicherheit oder Abwehr von Cyberkriminalität“
Unter anderem zu KRITIS und IT-Sicherheitsgesetz 2.0, mit Manuel Atug von HiSolutions.
Sehen: ZDF WISO – Gestohlene Payback-Punkte
Cyberangriff auf Payback-Punkte? Banken und andere Zahlungsdienstleister wie Paypal haben aufgrund der EU-Zahlungsdiensterichtlinie PSD2 ihre Sicherheitsmaßnahmen hochfahren müssen. Dadurch ist der Druck auf Anbieter wie Payback gestiegen. Eine Recherche von ZDF WISO ging dem am 11.1.2021 von 19:25-20:15 mit der Expertise von HiSolutions auf den Grund. Nachzuschauen online (ab Minute 25’40):
https://research.hisolutions.com/2021/01/zdf-wiso-gestohlene-payback-punkte/
Meeten: Scalable Security am 17.2.2021 16-17 Uhr beim it’s.BB – Das IT-Sicherheitsnetzwerk
Zweifellos wird Informationssicherheit für alle Arten von Organisationen immer wichtiger. Während Konzerne oder Behörden sich im Wesentlichen auf die „großen“ Standards IT-Grundschutz und ISO 27001 stürzen, stellt sich für viele andere Akteure die Frage: Wo fange ich an? Was sind die ersten drei Schritte, wenn ich ein junges Startup, ein mittelgroßer Verein, eine größere NGO, ein Sportclub oder ein KMU bin? Was könnte oder sollte mein Ziel in fünf Jahren sein? Dieser Vortrag versucht, die Grundfragen und aufgaben der Security auf ein Modell herunterzubrechen, aus dem sich für jede Größe und jeden Organisationstyp eine Leiter von Reifegraden und eine Security-Roadmap ableiten lassen.
Der nächste HiS-Cybersecurity Digest erscheint Ende Februar 2021.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!