Top Thema
Wo bleibt die Excel-ends-Initiative? MS Excel frisst Corona-Daten
Beim britischen Gesundheitssystem sind mehrere tausend Datensätze zu positiven Corona-Tests verloren gegangen, da das alte Excel-Dateiformat .xls nur eine begrenzte Anzahl von Zeilen speichern kann. Der Fehler fiel erst nach mehreren Tagen auf, sodass Betroffene teilweise erst sehr spät benachrichtigt werden konnten.
Das Problem unsicherer "Schatten-Softwareentwicklung" durch Endnutzer in Office-Tools, insbesondere Excel, ist seit vielen Jahren bekannt und nicht leicht in den Griff zu bekommen.
https://t3n.de/news/excel-verursacht-corona-panne-1326375/
Security-Kolumne "Spreadsheets töten" in aktueller iX: https://www.heise.de/select/ix/2020/11/2026109274934915903
Neuigkeiten
Impfforscher ja, Kaninchenquäler nein – Ransomware-Gruppe will selektive Gnade walten lassen
Die Ransomware-Gruppe SunCrypt gibt an, zukünftig Organisationen im Gesundheitsbereich schonen zu wollen und hat auch bereits ein Unternehmen von der Opferliste gestrichen. Zwar haben sich derartige Versprechungen in der Vergangenheit schon als Augenwischerei oder zumindest nicht nachhaltig entpuppt, die ethische Diskussion ist bei SunCrypt jedoch schon weit fortgeschritten. So will man nicht allgemein den Sektor verschonen, sondern etwa an COVID-Impfstoffen Forschende und Krankenhäuser, nicht jedoch Firmen, die Tierversuche für Kosmetika durchführen. Die nächste Kampagne soll übrigens gegen Cybersecurity-Firmen gerichtet sein...
Föderalismuskelspiele: Kein Bundestrojaner – sondern 19 Bundländertrojaner
Nicht der gefürchtete „Bundestrojaner“ wird nach langem Ringen voraussichtlich demnächst zum Abhören zugelassen – sondern neben BND, Bundes-Verfassungsschutz und MAD dürfen bald auch alle 16 Landesämter für Verfassungsschutz Endgeräte hacken, um Kommunikation auszuleiten („Quellen-TKÜ“), wenn der Gesetzentwurf der Koalition im Bundestag verabschiedet wird. Die Methode wird von Experten kritisiert, da sie bei den Ämtern das Interesse erhöht, Schwachstellen nicht an die Hersteller zu melden, sondern eher zu horten, um sie für ihre eigenen Abhörtrojaner einsetzen zu können.
https://netzpolitik.org/2020/bundesregierung-beschliesst-staatstrojaner-fuer-alle-geheimdienste/
Leicht vercloppt: Software AG geransomed
Anfang Oktober wurde der deutsche Software-Riese Software AG durch die Ransomware-Gruppe „Clop“ heimgesucht; angeblich wurden über 20 Millionen US-Dollar an Lösegeld gefordert. Interne Systeme wie E-Mail und Helpdesk mussten für einige Zeit offline genommen werden. Glücklicherweise waren andere Kommunikationsmedien wie Chat und Kundendaten nicht betroffen.
https://www.hackread.com/clop-ransomware-software-ag-20-million-ransom/
Mapp et-Show: Roadmap IEC 62443
An der Industrial-Security-Normenreihe IEC 62443 wird kräftig geschraubt. So wurde in der jährlichen Sitzung des zuständigen Gremiums ISA99 in diesem Monat auch eine Neugliederung der Standardfamilie in Gruppen diskutiert, in Ergänzung zu den bisherigen Schichten: General, Policy & Process, Technical, Guidance und ganz neu Application. Darüber hinaus sind einige neue Standard-Dokumente und Themen angedacht wie Training, physischer Zugangsschutz, Supply Chain sowie ggf. Gebäude und Profile. Die vorgeschlagenen Änderungen sind noch in Diskussion.
https://twitter.com/shipulin_anton/status/1313225244367347718
Selbst ICS-Security-Koryphäe Dale Peterson bescheinigt der Norm inzwischen eine gute Reife – rügt jedoch das mangelnde Marketing. Auch eine VDMA-Umfrage hatte 2019 ergeben, dass deutsche Unternehmen die IEC 62443 noch kaum einsetzen.
https://www.linkedin.com/pulse/iec-62443-standards-ready-close-up-dale-peterson
All You Can Bing(e): AWS Video Catalog
Die großen Clouddienste laufen über vor Funktionalität, die mit immer neuen Buzzwords und wild-kreativen Produktnamen daherkommt. Die Seite „AWS Video Catalog“ bringt nun zumindest in die Amazon-Services (AWS) eine gewisse Übersicht, indem sie alle Videos auflistet, die ein bestimmtes Thema behandeln. Zum Thema „Security Identity und Compliance“ finden sich hier etwa 19 Unterthemen von IAM bis WAF.
Lage-Aware statt Lagerware: BSI-Lagebericht 2020
Mit dem neusten "Bericht zur Lage der IT-Sicherheit in Deutschland" hat das BSI auch 2020 wieder einen umfassenden Überblick über die Bedrohungen und Risiken im Cyber-Raum aus deutscher Sicht vorgelegt. Demnach bleibt die IT-Sicherheitslage angespannt. Insbesondere wurden verstärkt aktuelle Themen wie die COVID-19-Pandemie von Angreifern ausgenutzt.
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/bsi-lageberichte.html
Up to date & verfügbar: Neuer BSI-Podcast
Und noch einmal BSI: Das Bundesamt betreibt jetzt unter dem Titel "Update verfügbar" einen eigenen Podcast. Die Pilotfolge (34 Minuten) hat das Thema "Cyber-Sicherheit und Deep Fakes". Mit den üblichen undiplomatischen Kommentaren etwa auf YouTube geht das Social Media Team des Bundesamts bisher galant um – und immerhin zeigen 52:1 Daumen von knapp 3000 Aufrufern bereits nach oben.
https://www.youtube.com/watch?v=WW7afBCUGow und "überall, wo es Podcasts" gibt
Unbefriedigend: Self-Own Zoom Sex Bombing
Eine denkbar schlechte Idee ist es, wie der bekannte CNN- und New-Yorker-Reporter Jeffrey Toobin jüngst erfahren musste, aus Versehen in einem Zoom-Call während einer Pause die Kamera angeschaltet zu lassen und sich vermeintlich nur in einem anderen Call mit jemand anderem fernzuvergnügen, während die Kolleginnen und Kollegen im ersten Call zuschauen können/dürfen/müssen. Der Vorgang zeigt auf etwas andere Art und Weise, wie risikoreich das Eindringen der (Arbeits-)Technik in unser Privatleben für alle Seiten sein kann.
https://www.vice.com/en/article/epdgm4/new-yorker-suspends-jeffrey-toobin-for-zoom-dick-incident
LESE- UND DENKTIPPS
#FOMO vs. #YOLO
Die Security-Ökonomie-Psychologie-Philosophin Kelly Shortridge hat in einem langen Blogartikel ihr Konzept der #YOLOsec (Black Hat 2017) um das Konzept der #FOMOsec ergänzt. Während You Only Live Once einen zu großen, häufig gar unbewussten Risikoappetit beschreibt, bezeichnet Fear Of Missing Out den Impuls, nur ja nichts falsch machen zu wollen und letztlich alle Controls umzusetzen, die eine Risikominimierung bringen *könnten*, ohne zu hinterfragen, ob so die Geschäftsziele nicht vielleicht sogar behindert werden.
https://swagitda.com/blog/posts/on-yolosec-and-fomosec/
KI nder...
Produktmanager und Filmemacher Eugene Wei analysiert, wie TikTok als erste chinesische App überhaupt den amerikanischen Markt "knacken" konnte - und erzeugt dabei tiefe Einsichten in die Wirkungsweise und Macht von KI.
https://www.eugenewei.com/blog/2020/8/3/tiktok-and-the-sorting-hat
Ältern!
Der witzige Cloud-Sparfuchs Corey Quinn hat seinen bekannten wöchentlichen Newsletter "Last Week In AWS" genutzt, seine Gedanken zur Elternzeit als Mann, Gründer und Manager in der IT-Branche zu teilen. Auch wenn die US-Perspektive hier noch etwas anders ist als die deutsche und europäische: Wertvoll!
https://www.lastweekinaws.com/blog/paternity-leave/
I see ass...toundingly clear
Die Cyber-Edel-Bildungsfabrik SANS beschäftigt sich zunehmend mit dem Thema Industrial Security. Ein wertvolles Nebenprodukt davon ist diese wunderschön anschauliche Zusammenfassung der Geschichte von ICS(-Security).
https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf
Bei S ist Stop
Diese Grafik stellt alle 50(!) bekannten kognitiven Biases dar, die uns in der Security und anderswo am rationalen Denken hindern.
https://storage.googleapis.com/titlemax-media/099372db-50-cognitive-biases-2_80per.png
Der nächste HiS-Cybersecurity Digest erscheint Ende Oktober 2020.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!