HiS-Cybersecurity Digest Dezember 2016 veröffentlicht

HiS-Cybersecurity Digest Dezember 2016

Die Top Themen des letzten Monats: Cybersecurity-Empfehlungen der US-Regierung, künstliche Intelligenz in der IT-Sicherheit, BSI-Jahresbericht 2016, die größten Hacks 2016, Datenaustausch zur Strafverfolgung in den USA und Europa, Erpressung im Internet, Avalanche Botnet ausgehoben.


Top Thema


Das Internet der Dinge in Ihrem Körper
Eine Denial-of-Life-Attacke gegen Herzschrittmacher ist bei vielen Modellen möglich. Einer Gruppe von Forschern ist es gelungen, bei 10 aktuellen Modellen Verwundbarkeiten zu finden. Sie konnten die Einstellungen beliebig ändern und auch den Defibrillator auslösen. Die Angriffe erfolgen über Funk. Die Antenne muss also in wenigen Metern Abstand vom Opfer sein.

Schon 2013 hatte die US-Regierung die Funkschnittstelle des Herzschrittmachers des Vizepräsidenten Dick Cheney abschalten lassen, weil sie Attentate darüber befürchtete. Dass aktuelle Modelle weiterhin auf unsichere Protokolle setzen und kein Trend zu einer nachhaltigen Verbesserung der Situation in Sicht ist, zeigt, dass die Industrie allein mit dem Thema überfordert ist. In Europa und auch den USA werden Stimmen lauter, die nach einer Regulierung des Marktes rufen und z.B. eine Sicherheitseinstufung aller IoT-Geräte fordern. Auch eine Haftung der Hersteller wird öfter erwähnt.
http://www.theregister.co.uk/2016/12/01/denial_of_life_attacks_on_pacemakers/ 


Neuigkeiten im November:

Cybersecurity: Empfehlungen einer Kommission der US-Regierung 
Präsident Obama gab eine Studie zu Maßnahmen in Auftrag, welche die USA ergreifen können, um die Sicherheit der Bevölkerung vor Angriffen aus dem Cyberraum zu verbessern. Der Bericht fordert eine stärkere Zusammenarbeit zwischen der Industrie und der Regierung und einen gemeinsamen Plan zur Verbesserung der Lage. Einige der Punkte, wie etwa gemeinsam beschlossene Standards, ein gemeinsames Lagebild und gewisse Berichtspflichten, hat die Bundesregierung in Deutschland schon im IT-Sicherheitsgesetz umgesetzt. Auch soll sich der Staat bei der Authentifizierung von Personen beteiligen, was in Europa über den Personalausweis mit Identitätsfunktion (nPA) ja schon möglich ist. Nur wenige nutzen dies allerdings. Die Bundesregierung verkündete kurz nach dem Erscheinen des Berichts, dass der nPA stärker als bisher zum Einsatz kommen soll. Eine weitere Forderung der Studie ist die Verpflichtung der Bundesbehörden, Sicherheitsstandards anzuwenden. In Deutschland ist dies durch die IT-Grundschutzstandards des BSI für die Bundesverwaltung bereits seit vielen Jahren verbindlich.
https://www.whitehouse.gov/sites/default/files/docs/cybersecurity_report.pdf 

--------------------------------------------------------------
Künstliche Intelligenz in der IT-Sicherheit
IBM ist mit dem Supercomputer Watson stark in der Big Data Security aufgestellt. Der aktuelle Feldversuch soll nicht nur Cyberangriffe, sondern auch andere Arten von Betrug erkennen. Der Ansatz von IBM ist insofern interessant, als dass es hier nicht nur um die Auswertung von Logfiles geht, sondern Watson die Daten auch mit gelerntem Wissen aus 15.000 Dokumenten pro Monat verknüpft.
https://www.wired.com/2016/12/ibm-watson-for-cybersecurity-beta/ 

--------------------------------------------------------------
BSI-Jahresbericht 2016
Der Lagebericht des BSI gibt einen Überblick über die IT-Sicherheit in Deutschland. Von Cloud bis CEO-Fraud sind alle wichtigen Themen des Jahres umfassend aufgearbeitet. Der Bericht gibt auch einen Ausblick auf die nächsten Jahre.
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html 

--------------------------------------------------------------
Die größten Hacks 2016 (bis jetzt)
Der folgende Beitrag fasst die größten Hacks, Lecks und Datenschutzverstöße 2016 zusammen. Insgesamt wurden im laufenden Jahr bisher 2.200.000.000 Datensätze von Personen gestohlen.
http://www.zdnet.com/pictures/biggest-hacks-security-data-breaches-2016/ 

--------------------------------------------------------------
Datenaustausch zur Strafverfolgung in den USA und Europa abgesegnet
Der Austausch personenbezogener Daten für die Strafverfolgung zwischen den USA und der EU ist Thema des sogenannten Umbrella-Abkommens. Die vom EU-Parlament am 1.12.2016 mit großer Mehrheit angenommene Vereinbarung regelt den Schutz der Daten nach der Übermittlung durch die Partner. Immerhin gibt es nun eine für beide Seiten verbindliche Regelung, die vorher so nicht existierte. Kritikern sind die Formulierungen jedoch zu ungenau und es fehlen ihnen Möglichkeiten um die Einhaltung zu überwachen. 
https://netzpolitik.org/2016/europaeisches-parlament-segnet-eu-usa-datenschutzabkommen-fuer-polizei-und-justiz-ab/ 

--------------------------------------------------------------
Erpressung im Internet bleibt ein Risiko für Personen und Organisationen
Männer und Jungen begehen 95% aller Erpressungen mit anzüglichen Videos über gehackte Webcams oder aus vorgetäuschten Flirts im Internet. Aus UK berichtet die National Crime Agency eine Verdoppelung der Fallzahlen und mindestens vier Selbstmorde stehen mit diesen Taten in Verbindung. Für Unternehmen ist Erpressung ein nicht zu unterschätzendes Risiko, denn auch ihre Mitarbeiter können zu Opfern werden und im Auftrag der Täter Daten entwenden, manipulieren oder das Netzwerk infizieren.
http://arstechnica.com/tech-policy/2016/11/webcam-blackmail-cases-double-uk-suicides/ 

--------------------------------------------------------------
Chips und ihre Herstellung sind eine Frage der nationalen Sicherheit
Die USA haben ein Veto gegen den Verkauf eines Herstellers von Anlagen für die Fertigung von Mikrochips eingelegt und begründen dies mit der nationalen Sicherheit.
http://www.zeit.de/wirtschaft/unternehmen/2016-12/aixtron-barack-obama-uebernahme-blockiert 

--------------------------------------------------------------
Internationale Beschlagnahme von Beweisen
Rule 41 regelt die Distrikte, aus denen ein US-amerikanischer Richter die Beschlagnahme von Beweisen anordnen kann. Seit dem 1.12.2016 gilt eine Formulierung, die es jedem Richter gestattet, Beschlagnahmen überall zu erlauben. Dies umfasst nach Meinung einiger auch Gebiete außerhalb der USA. Damit wäre dann z.B. das Hacken von Computern in Europa oder Asien zum Erlangen von Beweisen in Prozessen vor US-amerikanischen Gerichten abgedeckt.
http://www.zdnet.com/article/fbi-gains-expanded-hacking-powers-after-congress-attempt-to-block-fails/ 

--------------------------------------------------------------
Avalanche Botnet ausgehoben
Europol konnte in Zusammenarbeit mit dem FBI und weiteren Beteiligten das seit 2009 in Betrieb befindliche Botnetz Avalanche ausheben. Fünf Personen wurden verhaftet, 39 Server und 800.000 Domains beschlagnahmt. Ein Erfolg, der auch die Geschwindigkeit zeigt, mit der Behörden die Straftäter verfolgen. 
http://www.zdnet.com/article/avalanche-botnet-network-struck-down-in-global-operation/ 

--------------------------------------------------------------
Wer hat uns gehackt?
Diese Frage beschäftigt Firmen, Staaten, Parteien und Privatpersonen immer öfter mit immer gravierenderen Folgen, sollte die Antwort ausbleiben oder falsch sein. Fast alle digitalen Beweise sind fast immer fast vollständig und fast ohne Spuren fälschbar. Die IT-Forensik bemüht sich, den Urheber und den Ursprung sowie die Motivation hinter Angriffen zu erkennen. Es sind auch Aussagen möglich, deren Beweiskraft jedoch sehr stark schwankt. Um diesen Missstand zu beheben hat die US-amerikanische Forschungsbehörde des Militärs (DARPA) 17 Mio. US-Dollar an eine Universität vergeben. Ziel ist es, ein System zu entwickeln, das die Frage, wer hinter einem Angriff steckt, schnell und zuverlässig beantworten kann.
http://www.darkreading.com/threat-intelligence/georgia-tech-gets-$17-million-defense-deal-for-cyberattack-attribution/d/d-id/1327592 

--------------------------------------------------------------
Tot stellen als Verteidigungsstrategie
Rund 900.000 Router der Telekom wendeten eine Strategie an, für die sonst eher das Opossum bekannt ist: Sich bei einem Angriff tot stellen und so Schlimmeres verhindern. Die Router wurden von einem Botnetz auf Verwundbarkeiten untersucht, indem es die Angriffe in großer Zahl sendete. Daraufhin stürzten die Router ab und verursachten einen der größten Ausfälle des Jahres bei den DSL -Kunden.
https://comsecuris.com/blog/posts/were_900k_deutsche_telekom_routers_compromised_by_mirai/ 

--------------------------------------------------------------
15. Ergänzungslieferung der IT-Grundschutzkataloge ist verbindlich
Wer eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz anstrebt oder aufrecht erhalten möchte, muss ab dem 1. Dezember verbindlich die 15. Ergänzungslieferung der IT-Grundschutzkataloge des BSI anwenden. Die Ergänzung umfasst u. a. einen Baustein für Windows 8, für eingebettete Systeme, für das Identitäts- und Berechtigungsmanagement sowie für die Softwareentwicklung und Service-orientierte Architekturen.
https://www.heise.de/security/artikel/Die-neue-Basis-fuer-Grundschutz-Zertifizierungen-3521703.html 

--------------------------------------------------------------
Hack mit hohem Erpressungspotenzial
300.000.000 Accounts von Dating-Seiten wurden kürzlich erhackt. Wie auch beim Hack von Ashley Madison ist damit zu rechnen, dass die Betroffenen demnächst erpresst werden.
http://thehackernews.com/2016/11/adult-friend-finder-hack.html 

--------------------------------------------------------------
Hack eines Hackers gibt Einblicke
Der Cyberkriminelle, der eine öffentliche Verwaltung in den USA mit einer Ransomware erpresste, wurde selbst gehackt. So gelangten die Inhalte seiner Mails und weitere Daten an die Öffentlichkeit. Die Einblicke in die Arbeitsweise sind sehr interessant.
https://krebsonsecurity.com/2016/11/san-francisco-rail-system-hacker-hacked/ 

--------------------------------------------------------------
Tipps zur Absicherung von Smartphones mit Igel
Wer die Daten auf seinem Super-Handy schützen möchte, der kann zu diesem Trick greifen.
https://www.youtube.com/shared?ci=GhOdkqbRO24 

Der nächste HiS-Cybersecurity Digest erscheint Anfang Januar 2017.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: