Top Thema
Gestorben MIT, nicht AN Cyber
Im Fall der Patientin, die nach verschiedenen, auch internationalen Berichten wegen eines Cyberangriffs auf die Uniklinik Düsseldorf bedauerlicherweise verstorben war, müssten wir nun zurückrudern – wenn wir hier im Digest nicht schon im vergangenen September zur Vorsicht gemahnt hätten. Auch die Staatsanwaltschaft ist inzwischen zu dem Schluss gekommen, dass der Tod nicht ursächlich mit dem fehlgeleiteten Angriff zusammenhing, der eigentlich nur die Universität hätte treffen sollen.
Zukünftig müssen wir jedoch damit rechnen, dass Tod und Cyber immer häufiger aufeinandertreffen werden, einfach schon aufgrund der Statistik bei immer stärkerer Abhängigkeit von IT in allen Bereichen. Wie wollen wir als Gesellschaft damit umgehen?
Zwei Sichtweisen sind dabei nicht hilfreich: Zum einen das Verteufeln des Computers. Es ist richtig: Mit zunehmender Abhängigkeit von Rechnern und Netzen handeln wir uns zusätzliche Risiken ein. Sonst würden Sie diesen Digest übrigens gar nicht lesen, ich ihn vermutlich nicht schreiben. Und es ist sicher wichtig, jeden Todesfall zu analysieren und die allgemeine Entwicklung zu beobachten. Die Häufung von Todesfällen im Straßenverkehr seit den 50er Jahren hat zu Recht zu immer weiter verschärften Regeln beim Fahren geführt. Das ist jedoch nicht dasselbe, wie sensationslüstern auf die ersten Totgecyberten zu warten.
Auf der anderen Seite sollten wir der Versuchung widerstehen, das Thema kleinreden zu wollen. Das Beispiel Corona lehrt uns, dass es genug Menschen gibt, die ihre Ängste durch „Wegerklären“ zu verdrängen versuchen. Wenn innerhalb weniger Monate 150.000 US-Amerikanerinnen und Amerikaner zufälligerweise alle „mit“ Corona, aber „an“ Lungenentzündung sterben, dann ist dieses Ding möglicherweise doch nicht so „harmlos“ wie die im Übrigen auch nicht selten tödlich endende echte Grippe. Genauso muss uns eine Zunahme von Todes- und Unfällen und übrigens auch schon von near misses, bei denen der Computer zwar nicht „schuld“, aber beteiligt war, aufhorchen und die Risiken überdenken lassen.
Haben wir also, sobald wir Corona überwunden haben, in den nächsten Jahren ein ruhiges, waches Auge auf das Sterben (an und) mit Cyber. Bitte bleiben Sie gesund!
https://research.hisolutions.com/
Neuigkeiten
IT-SiG 2.0 v0.3
Das IT-Sicherheitsgesetz 2.0 ist immer noch nicht fertig – und wird es auch in diesem Jahr nicht mehr. Immerhin wurde am 19.11. der dritte Referentenentwurf bekannt.
Viele Punkte sind aus den vorigen Entwürfen bekannt, es gibt aber auch Neuerungen. So sollen Bußgelder nicht mehr analog zur DSGVO bis zu 4 % des weltweiten Jahresumsatzes umfassen, sondern bei 2 Mio. Euro gedeckelt werden. Sicherheitsanforderungen sind nun auch für „Unternehmen im besonderen öffentlichen Interesse“ vorgesehen, für wirtschaftlich systemrelevante Unternehmen und für Gefahrstoffbetriebe (Chemie). Das BSI soll weiterhin die Befugnis bekommen, öffentlich zugängliche Internetdienste und Geräte zu hacken, um Sicherheitslücken aufzudecken. Letzteres ist problematisch aufgrund der fehlenden Unabhängigkeit des Bundesamts vom Innenministerium, das auch Strafermittlungsbehörden und Verfassungsschutz beherbergt. Es besteht damit die Gefahr, dass gefundene Sicherheitslücken für diese Zwecke geheim gehalten werden, anstelle bei den Softwareherstellern und anwendern für die Beseitigung zu sorgen.
Der dritte Referentenentwurf soll nun in die sogenannte Ressortabstimmung gehen. Eine Verabschiedung des Gesetzes im Frühjahr 2021 wäre möglich, einige Beobachter rechnen aber eher mit einer Punktlandung vor dem Ende der Legislaturperiode im Sommer. Unklar ist aktuell aber auch noch, ob es bereits einen Konsens in der Bundesregierung für diesen Entwurf gibt – oder ob demnächst ein weiterer folgt.
Eine detaillierte Analyse der Änderungen:
Kein Ryukzug: US-Krankenhäuser im Visier
Der bekannte Security-Journalist Brian Krebs berichtet auf seiner Webseite KrebsOnSecurity.com, dass das amerikanische Gesundheitswesen aktuell im Visier der Ransomware-Kampagne Ryuk ist. Dabei beschreibt er auch, wie einzelne Gruppen mit Ryuk-Bezug erkannt werden können, und erklärt die aktuellen Exploit-Techniken.
ICE, ICE, Baby: Security-Lage der europäischen Eisenbahnen
Die europäische Cybersicherheitsbehörde Enisa hat einen Bericht über die Cyber-Security der europäischen Eisenbahnen veröffentlicht. Auf 50 Seiten werden die Eigenschaften des Sektors, seine Regulierung in den verschiedenen Mitgliedstaaten sowie die heute implementierten Sicherheitsmaßnahmen dargestellt.
https://www.enisa.europa.eu/publications/railway-cybersecurity/at_download/fullReport
PoC, PoC, Who’s There? 12 Exploits für Cisco Security Manager
Auch Sicherheitssoftware ist nicht gefeit vor Schwachstellen – obwohl gerade hier das Schadenspotenzial beträchtlich sein kann. Für den Cisco Security Manager, eine Anwendung für „Enterprise-Class Security Management“, wurde nun gleich eine ganze Reihe von Schwachstellen bekannt – und direkt mit PoCs (Proofs of Concept, also Beispielen für die Ausnutzung der Schwachstelle) veröffentlicht. Das Scrollen durch die Codeschnipsel zeigt vor allem, wie leicht hier zum Teil kritische Angriffe wie Remote Code Execution (RCE) ausgeführt werden konnten.
https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e
Dreh ma‘ durch den Wolf: Threema glänzt im Audit
Die Sicherheit von verschlüsselnden Messengern ist ein heiß diskutiertes Thema, versprechen diese doch Ende-zu-Ende-Security auf einem Niveau, das E-Mail niemals in großem Maßstab erreicht hat. Das in Security-Fachkreisen geschätzte Threema hat nun einen weiteren Meilenstein erreicht: Nachdem 2019 bereits das Labor für IT-Sicherheit der FH Münster ein Audit durchgeführt hatte, wurden jetzt die Kollegen von Cure53 auf die App losgelassen. Der Gesamteindruck der Codequalität und der Struktur des Projekts, das bald auch Open Source werden soll, wurde als „außergewöhnlich solide“ bewertet, schwerwiegende Schwachstellen wurden nicht entdeckt. Die geplante Veröffentlichung des Sourcecodes ist insbesondere vor dem Hintergrund relevant, dass aktuell verschiedene politische Initiativen versuchen, die Sicherheit der Verschlüsselung in Messengern zu untergraben.
https://threema.ch/de/blog/posts/audit-2020
Grüne Checkbox fürs Rote Kreuz: Handbuch zum Datenschutz des IKRK
Das Internationale Komitee des Roten Kreuzes in Genf hat die zweite Ausgabe seines „Handbook on Data Protection in Humanitarian Action“ herausgebracht. Das 312 Seiten starke eBook, das kostenlos erhältlich ist, beleuchtet angewandten Datenschutz zwar vor allem aus Sicht humanitärer Hilfsorganisationen, bietet aber auch für andere Institutionen wertvolle Analysen und Empfehlungen.
https://shop.icrc.org/download/ebook?sku=4305.01/002-ebook
Last-Minute-Diebstahl: Massenhafter Bestellbetrug kurz vor PSD2
Ende des Jahres wird die überarbeitete europäische Zahlungsdiensterichtlinie (Revised Payment Services Directive, PSD 2) nach mehrmaligem Aufschub auch für die letzten säumigen Umsetzer final gültig. Während die meisten Banken die härteren Maßnahmen wie „Strong Customer Authentication“ (SCA) – also im Wesentlichen Zwei-Faktor-Authentifizierung an neuralgischen Stellen – längst umgesetzt haben, sträubten sich Online-Bezahldienste teilweise aus Sorge vor Kundenverlust bis zuletzt. Und so hatte sich die Energie der Cyber-Kriminalität zuletzt auf Dienste wie PayPal und Co. konzentriert, was viele Kunden schmerzhaft erfahren mussten.
Der mit Beratung durch HiSolutions entstandene ZDFzoom-Beitrag „Gestohlene Identität – Auf der Spur der Online-Betrüger“ (02.12.2020 um 23 Uhr) gibt Einblicke in die Szene und ihre Geschäftsmodelle sowie die unrühmliche Rolle der Anbieter.
LESE- UND DENKTIPPS
Deine Neue Verantwortung
Die Stiftung Neue Verantwortung hat ihr Diskussionspapier zur Absicherung von KI…
https://www.stiftung-nv.de/de/publikation/securing-artificial-intelligence
… ergänzt um eines zur Absicherung der KI-Supply-Chain:
Dein erster Freund
Die (nicht nur) bei Kindern beliebte Hip-Hop-Formation Deine Freunde rappt in ihrem neuen „Weihnachtsalbum“ dem C64 eine Hymne – hörenswert, sage selbst ich als Atari-Jünger.
https://www.youtube.com/watch?v=CyY5Zz7ghCI
Dein Cryptowar
Es ist vermutlich ein gutes Zeichen für eine Demokratie, wenn sich verschiedene Ressorts offensichtlich nicht einig sind. Während aus dem Innenministerium neue Vorstöße kommen, Verschlüsselung durch Hintertüren abschwächen zu wollen, stärkt das Forschungsministerium die Kryptographie durch einen Wettbewerb: Beim Knobel-Adventskalender „Krypto im Advent“ für Kinder der 3.-9. Klasse dürfen auch Erwachsene mitmachen – außer Konkurrenz.
https://www.krypto-im-advent.de/
Der nächste HiS-Cybersecurity Digest erscheint zu Weihnachten 2020.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!