< Zurück
News

HiS-Cybersecurity Digest Februar 2016 veröffentlicht

Security Consulting , Cybersecurity Newsletter

HiS-Cybersecurity Digest Februar 2016

Die Top Themen des letzten Monats: Erpressung durch DDoS, Quantum Computing und Verschlüsselung, Kundendienst als Sicherheitslücke, Erneuter Fall von CEO-Fraud, Erneute Sicherheitslücken bei Android, iOS erlaubt Nachladen von Malware, NASA gehackt, Cyberwar gegen Israel.


Top Thema

Privacy Shield: Safe Harbor 2.0 
Der langjährige Bundesdatenschutzbeauftragte Peter Schaar hat sich kritisch über den neuen Ansatz geäußert, die Datenübertragung auf Dienste in den USA rechtlich abzusichern. Noch sind allerdings die Texte nicht finalisiert. Wie sich dieses Thema durch das in Verhandlung befindliche TiSA (Nachfolger des GATS) noch bewegen wird, ist ebenfalls nicht abzusehen.

Grundsätzlich wurde von allen Kommentatoren darauf hingewiesen, dass der Europäische Gerichtshof für Menschenrechte seine Entscheidung auf einem Grundrecht basierte und der Schutz der Daten deshalb mit diesem Grundrecht konform gehen muss. Ob ein Abkommen dies erreichen kann, wird von vielen Angezweifelt. So sehr die Rechtssicherheit für die Wirtschaft wünschenswert ist, erscheint es derzeit fraglich, ob dieser Ansatz dieses Ziel erreicht oder erreichen kann. Positiv ist zumindest, dass eine Prüfung nicht nur durch das Wirtschaftsministerium der USA angedacht ist, sondern auch die Europäischen Datenschutzbehörden in diese involviert sein könnten. Wie bei allen Aussagen wird auch hier erst die Endfassung des Textes Klarheit bringen.
http://www.heise.de/newsticker/meldung/Peter-Schaar-Ist-das-Privacy-Shield-endlich-ein-sicherer-Hafen-3091735.html


Neuigkeiten im Januar:

Cybersecurity von der FDA
Kaum ein Jahrzehnt nachdem etwa Herzschrittmacher oder Insulinpumpen elektronische und oft auch berührungsfreie Schnittstellen bekamen, sollen medizinische Geräte nun gegen Gefahren aus dem Cyberraum abgesichert werden. Ein erster Entwurf einer Vorgabe ist bereits in Arbeit. Ein wichtiger Schritt, auch wenn dieser vergleichsweise spät kommt.
https://nakedsecurity.sophos.com/2016/01/29/fda-releases-draft-guidelines-to-improve-cybersecurity-in-medical-devices/

--------------------------------------------------------------
Erpressung durch DDoS
Die Welle der oft erfolgreichen Erpressungsversuche mit Distributed-Denial-of-Service-Angriffen reißt nicht ab. Diesmal hat es eine große Bank getroffen. Auch wenn in der öffentlichen Kommunikation keine Erpressung erwähnt wird, scheint dieser Vorfall in das Muster zu passen. Da keine Bekennerschreiben aufgetaucht sind, ist ein politischer Hintergrund unwahrscheinlich.
http://arstechnica.com/security/2016/01/hsbc-online-banking-suffers-major-outage-blames-ddos-attack/

--------------------------------------------------------------
Quantum Computing und Verschlüsselung
Die NSA hat eine Veröffentlichung zu potentiellen Quantum-sicheren Verschlüsselungsalgorithmen herausgegeben, in der sie wenige Fragen konkret beantwortet, immerhin aber insofern Stellung bezieht, als das auf die NIST verwiesen wird, die dann neue Algorithmen standardisieren wird. Zu beachten sind in diesem Dokument auch die Vorgaben für Schlüssellängen bei der Verarbeitung von vertraulichen Informationen.
https://www.schneier.com/blog/archives/2016/02/more_details_on_2.html

--------------------------------------------------------------
Kundendienst als Sicherheitslücke
Der Kundendienst ist bemüht, allen Kunden schnell und reibungslos zu helfen. Dies wurde erneut ausgenutzt, um an das Passwort eines Benutzers oder seine privaten Daten zu gelangen. Beim Chef des CIA und dem bekannte Blogger Krebs (siehe letzter Digest) konnten die Passwörter zurückgesetzt werden. In dem hier beschriebenen Fall war es nur die Adresse, welche gestohlen wurde. Dennoch hat dies bereits ausgereicht, weitere Angriffe zu ermöglichen. Es ist zu empfehlen, Mitarbeiter von Kundendiensten über die Gefahren zu informieren und sie ausreichend zu schulen.
https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4#.t066gitw1

--------------------------------------------------------------
Erneuter Fall von CEO-Fraud
BEC (Business-Email-Compromise) oder auch CEO-Fraud war im Digest schon mehrfach Thema. Mit einem Schaden in Höhe von ca. 70 Millionen Euro ist der hier beschriebene Fall besonders bemerkenswert. Auch überrascht es, dass es eine Bank war, deren Mitarbeiter den Angreifern davon überzeugt wurden, diese Summen zu überweisen.
http://www.net-security.org/secworld.php?id=19370

--------------------------------------------------------------
Erneute Sicherheitslücken bei Android
Android kommt nicht aus den Schlagzeilen heraus. Erneut wurde eine Sicherheitslücke gefunden, die auf sehr vielen Geräten zu finden ist. Das Problem liegt diesmal im Treiber eines Chipsatzes, der hauptsächlich in preiswerten Geräten eingebaut ist. Die Flaggschiffe der bekannten Hersteller sind daher nicht betroffen.
http://thehackernews.com/2016/02/mediatek-hacking-mobile.html

--------------------------------------------------------------
iOS erlaubt Nachladen von Malware
Beim Updaten seiner Geräte ist Apple auf dem Smartphone Markt vorbildlich. Allerdings ist diese Vereinfachung des Patch-Prozesses für App-Entwickler eher ein Problem als eine Verbesserung. Jeder Entwickler kann mit dieser Methode neue Versionen seiner Software ausrollen, ohne dass diese erneut von Apple kontrolliert würden. Aus einem harmlosen Spiel wird so schnell eine Spionage-Software.
http://thehackernews.com/2016/01/ios-apps-jspatch-hack.html?m=1

--------------------------------------------------------------
NASA gehackt und 276 GB Daten erbeutet
Ein jetzt bekannt gewordener Angriff auf die NASA hat nicht nur zur Erbeutung einer Unmenge an Daten geführt, sondern auch die Steuerung einer zur Forschung eingesetzten Drohne ermöglicht. In den veröffentlichten Daten waren allerdings keine Beweise auf außerirdische Besucher enthalten, wie in der Netzgemeinde etwas enttäuscht zur Kenntnis genommen wurde.
http://www.infowars.com/hackers-allegedly-hijack-drone-after-massive-breach-at-nasa/

--------------------------------------------------------------
Aus der Abteilung "nicht unter Freunden"
Die NSA und ihr englisches Pendant, das GCHQ, haben ihre Kollegen bei der israelischen Armee gehackt. Dies wurde aus Dokumenten von Edward Snowden bekannt. 
http://thehackernews.com/2016/01/drones-hacking.html

--------------------------------------------------------------
Cyberwar gegen Israel
Unbekannte konnten erfolgreich die Rechner des israelischen Energieministeriums infizieren. Nach Angaben des Ministeriums führte der Angriff jedoch nicht zu Ausfällen. Teile der Stromverteilernetze mussten allerdings abgeschaltet werden. Die Darstellung, dass dies nur die Antwort auf den Angriff und nicht die Angreifer selbst war, erscheint allerdings nicht vollständig glaubhaft.
http://arstechnica.com/security/2016/01/israels-electric-grid-hit-by-severe-hack-attack/

--------------------------------------------------------------
Fraunhofer ESK zu Skype
Die Experten des Fraunhofer-Instituts für Eingebettete Systeme und Kommunikationstechnik (ESK) betrachten Skype weiterhin sehr kritisch. Sie raten davon ab, Skype zur Übertragung geschäftskritischer Daten zu verwenden.
http://www.zdnet.de/88257573/fraunhofer-esk-raet-von-skype-zum-austausch-geschaeftskritischer-daten-ab/

--------------------------------------------------------------
Ergebnisse der BKA-Untersuchung zu Hacktivismus veröffentlicht
364 der 971 antwortenden Unternehmen gaben an, bereits einmal oder mehrfach Opfer von Angriffen gewesen zu sein. Der Anteil Betroffener eines politisch motivierten Form des Cyberangriffs, dem Hacktivismus, ist allerdings gering.
https://netzpolitik.org/2016/projekt-hacktivismus-bka-befragt-unternehmen-nach-shitstorms-und-digitalen-angriffen/

Der nächste HiS-Cybersecurity Digest erscheint Anfang März 2016.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: