HiS-Cybersecurity Digest Februar 2019 veröffentlicht

Top Thema

3... 2...1... Meins! Breaches werden immer schneller
Zielgerichtete Cyberangriffe werden nicht nur häufiger, sondern geschehen auch in auffälligem Maße immer schneller. Brauchten gut ausgestattete und geschulte Angreifer vor einer Weile noch viele Stunden bis Tage, um in eine Organisation einzudringen, sich einzunisten und auszubreiten, schaffen die Besten der Besten unter den „Adversaries“ dies nun in weniger als einer Stunde. Die Firma Crowdstrike hat in ihrem neusten Global Threat Report die wichtigsten bekannten APT-Kampagnen des Jahres 2018 untersucht. Sie ist zu dem Schluss gekommen, dass die gefährlichsten Akteure – etwa die diversen „Bear“-Gruppen (z. B. Fancy Bear, Cozy Bear) – in unter 20 Minuten einen „breakout“ erzielen konnten, also eine „laterale“ Bewegung von Einstiegspunkt weiter ins Netz des Opfers hinein, wo der Angriff wesentlich schwerer zu kontrollieren und zu beseitigen wird. Lässt man die hoch umstrittene Zuschreibung zu bestimmten Ländern und Geheimdiensten einmal beiseite, zeigt sich trotzdem, dass es verschiedene „Ligen“ von Angreifern gibt: von staatlich geförderten Akteuren, die zwischen 20 Minuten und 5 Stunden benötigen, bis hin zu Cyberkriminellen, die in der Regel mehr als 9 Stunden brauchen. 
Die daraus abgeleitete Empfehlung zum Wappnen gegen ausgefeilte Angriffe und Gegner „1-10-60: Erkennung in einer Minute, Investigation in weniger als 10 und Containment des Angriffs in weniger als 60 Minuten“ ist sicherlich ein hehres Ziel, das heute für viele Organisationen noch nicht erreichbar ist – und keinesfalls als „Hauptsache Hau-Ruck“ missverstanden werden sollte! Die Realität ist häufiger die, dass Angreifer schon weiter in die Eingeweide einer Organisation vorgedrungen sind, wenn sie bemerkt werden und die Kavallerie aka Incident Response anrückt. Dann kommt es auf professionellstes Vorgehen an, um die Eindringlinge gründlich wieder loszuwerden und draußen zu halten.
https://www.csoonline.com/article/3341799/security/north-korean-hackers-target-russian-based-companies.html 

Neuigkeiten:

CEO plant seinen Tod nicht ein, nimmt 120 Mio. € mit ins Grab
Dass der Kanadier Gerald Cotten am 9. Dezember 2018 in Indien mit nur 30 Jahren plötzlich an Komplikationen einer Vorerkrankung verstarb, war nicht nur eine Tragödie für seine Familie, sondern auch eine Katastrophe für 100.000 Kunden seiner Krypto-Börse QuadrigaCX, der größten in Kanada. Denn scheinbar hatte nur er allein Zugriff auf die privaten Schlüssel der sogenannten „Cold Wallets“, wo nun umgerechnet ca. 120 Mio. € in Kryptowährungen vermutlich unwiederbringlich feststecken. Auch wenn sich im von Mysterien und Spekulationen umgebenen Fall von QuadrigaCX herausstellen sollte, dass es sich um einen großangelegten Betrugs- anstelle eines tragischen Todesfalls handelt: Der Fall zeigt, wie wichtig ein Risikomanagement ist, welches auch unwahrscheinliche, schwerwiegende Ereignisse mit einbezieht.
https://www.reddit.com/r/QuadrigaCX/ 

HISOLUTIONS
Schulung „Zertifizierter IT-Notfallmanager“ 4.-7.03.2019 in Berlin. Am 4. Tag findet die Prüfung durch die unabhängige Personenzertifizierungsstelle von TÜV Rheinland statt.
https://www.hisolutions.com/infocenter/detail/detail/News/zertifizierter-it-notfallmanager-mit-tuev-rheinland-gepruefter-qualifikation/

Schulung „Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“ 16.-17.4.2019 in Berlin. Die zweitägige Schulung bereitet auf zukünftige Prüfungen im Rahmen der Umsetzung des § 8a (3) des BSI-Gesetzes vor. Nach bestandener Abschlussprüfung erhalten die Teilnehmer die Zusatzqualifikation „Spezielle Prüfverfahrenskompetenz für § 8a BSIG“, mit der sie Prüfungen nach § 8a BSIG durchführen können.
https://www.hisolutions.com/infocenter/detail/detail/News/schulung-zusaetzliche-pruefverfahrenskompetenz-fuer-8a-bsig-in-berlin/

Ist das noch dezentral? Zcash-Entwickler fixen heimlich kritischen Bug
Die Entwickler der Kryptowährung Zcash haben zugegeben, über Monate heimlich an der Behebung eines Bugs gearbeitet zu haben, der Angreifern das Fälschen von Kryptomünzen erlaubt hätte. Ungewöhnlich ist nicht, dass es solch einen Fehler gab, über den über längere Zeit nur wenige Mitarbeiter informiert waren. Aber die „Krypto“-Gemeinde und insbesondere Gruppen wie die Zcash-Nutzer und -Verfechter plädieren immer wieder öffentlich für mehr Transparenz und – vor allem – Dezentralisierung. Wie sich aber ein System dezentral nennen kann, in welchem es am Ende doch gelingt (und nötig ist), Fehler in einem geschlossenen Kreis zu beheben, der seinen Informationsvorsprung theoretisch auch hätte ausnutzen können, ist noch nicht geklärt.
http://fortune.com/2019/02/05/zcash-vulnerability-cryptocurrency/

Bäumchen wechsel‘ nicht – Passwörter nicht ständig ändern!
Die Empfehlung, Passwörter in regelmäßigen Abständen zu ändern, gilt heutzutage als überholt. Denn sie führt nicht zu mehr Sicherheit, sondern nur dazu, dass Nutzer diese im Klartext notieren, zu einfache Passwörter oder triviale Regeln zur Änderung wählen. Nur wenn es Anzeichen dafür gibt, dass Passwörter oder Passwort-Hashes in fremde Hände gelangt sein könnten, sollten Nutzer diese ändern bzw. zu einer Änderung aufgefordert werden. Inzwischen schließen sich immer mehr Behörden mit ihren Vorgaben dieser Meinung an:
https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/ 
https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry
https://pages.nist.gov/800-63-3/sp800-63b.html (Kapitel 5.1.1.2 „Memorized Secret Verifiers“ der Digital Identity Guidelines des NIST)

Auch privat besser Bcc: Mann zu DSGVO-Bußgeld verurteilt
Ein Mann aus Merseburg hat wiederholt hunderte von E-Mails mit personenbezogenen E-Mailadressen im offenen Verteiler verschickt und dafür einen Bußgeldbescheid des Landesdatenschutzbeauftragten von Sachsen-Anhalt kassiert. Die DSGVO findet gemäß Artikel 2 Abs. 2c keine Anwendung auf die Verarbeitung von Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Im rein privaten Bereich ist ein offener E-Mailverteiler also durchaus erlaubt. In diesem Fall kann man jedoch nicht mehr von einem privaten Bereich sprechen, da die wütenden E-Mails an bis zu 16.000 Personen verschickt wurden.
https://www.mz-web.de/merseburg/hunderte-adressen-im-verteiler-merseburger-muss-fuer-wut-mails-ueber-2-000-euro-zahlen-32033308

Land der aufgehenden DSGVO: Japans vorbildlicher Datenschutz
Das Datenschutzniveau Japans ist nach einem Beschluss der EU-Kommission mit dem der EU vergleichbar. Daten zwischen der EU und Japan können daher ab sofort ungehindert hin und her fließen.
https://t3n.de/news/eu-erklaert-japans-datenschutz-zu-dsgvo-niveau-1139865/

Smoke in the Datacenter: Großbank nicht redundant genug
Bei der amerikanischen Großbank Wells Fargo führte Rauchentwicklung in einem Rechenzentrum zu einem Ausfall diverser Services über fast einen Tag. Zwar waren diverse Redundanzen vorhanden, die Wechselwirkungen zwischen den Standorten und Komponenten waren jedoch so komplex, dass das Failover nicht funktionierte. Der Vorfall zeigt, dass Notfallkonzepte nicht nur auf dem Papier geplant und solide umgesetzt, sondern auch realistisch getestet werden müssen.
https://news.ycombinator.com/item?id=19108115

Zeit für ein bisschen Gesichtsverlust: Apples FaceTime als Wanze
Durch einen Bug in der FaceTime-Videotelefonie konnten Apple-Geräte in bestimmten Situationen als Abhörwanze missbraucht werden. Auch Video wurde in bestimmten Konstellationen ungewollt und unbemerkt übertragen. Apple hat den Fehler kurzfristig behoben. Grundsätzlich stellen aber Schwachstellen in der zunehmenden Anzahl von Sensoren in unserem Umfeld und Privatleben ein wachsendes Risiko dar, für dessen Begrenzung es noch keine einfachen Rezepte gibt.
https://www.heise.de/mac-and-i/meldung/FaceTime-als-Wanze-Apple-schaltet-Gruppenfunktion-des-VoIP-Dienstes-ab-4290587.html

Zeit für ein bisschen mehr Gesichtsverlust: Googles geheimes Mikrofon
Google wiederum hat die Existenz eines Mikrofons in einem seiner Smart-Home-Produkte verheimlicht. Dass „Nest Guard“ lauschen kann, kam erst heraus, als Google ein Update veröffentlichte, mit dem die Funktion Google Assistant nachgerüstet werden kann. Laut Google war das Verschweigen in der Dokumentation vorher ein „Fehler“ und das Mikrofon nie aktiviert. Trotzdem stellt sich nun die Frage, in welchen weiteren Devices von Google und anderen IoT-Produzenten undokumentierte Sensoren vorhanden sind, die aktiv sind oder per Over-the-Air-Update aktiviert und ggf. zum Abhören missbraucht werden können – durch den Hersteller oder durch Dritte.
https://www.cnet.com/news/google-calls-nests-hidden-microphone-an-error/ 

Zeit für den ultimativen Gesichtsverlust: Facebook kauft Teenager als Datenquellen
Bei Facebook stellt sich in letzter Zeit eher die Frage, ob die Reputation in Bezug auf informationelle Selbstbestimmung überhaupt noch weiter zu ramponieren wäre. Aber der Anbieter der größten sozialen Netzwerke enttäuscht uns auch in diesem Monat (nicht): Nun kam heraus, dass die Firma Teenagern 20 US-Dollar im Monat zahlte, wenn diese eine sogenannte „Research App“ installierten. Die App, die Facebook wohlweislich nicht über den App Store verteilte – Apple hatte hier in der Vergangenheit mehrfach Anwendungen von Facebook gesperrt, die die AGBs zu eklatant brachen –, sammelt nicht nur die üblichen Nutzerdaten in großem Umfang, sondern installiert auch ein eigenes Root-Zertifikat, mit dem der Zugriff auf private Nachrichten in allen möglichen Apps, E-Mails, Suchanfragen, Browserhistorie und Standortdaten möglich ist.
https://thehackernews.com/2019/01/facebook-research-app.html

Zeit für ein bisschen Gesichtsgewinn: Amazon lässt Mikrofon physisch „muten“
Einzig gegen den Trend glänzt der ansonsten in Datenschutzfragen auch nicht immer zimperliche Cloud-Riese Amazon: Nach Auskunft der Firma wird das Mikrofon in seinem Echo-Gerät bei Drücken des „Mute“-Buttons nicht nur in Software deaktiviert, sondern stromlos gestellt. Dies ist zwar nicht die Standardeinstellung und wird zudem durch ein penetrantes rotes Leuchten – in analogen Zeiten eher ein Signal für „Achtung, Aufnahme läuft!“ – begleitet. Aber immerhin hält Amazon auch alle Partner, die einen „Alexa approved“-Stempel haben möchten, dazu an, diese Handhabung zu respektieren.
https://www.forbes.com/sites/charlesradclyffe/2018/08/29/the-deliberate-design-flaw-in-every-amazon-echo/

LESETIPPS

ICS: Der Drache spricht
Das erfolgreiche ICS-Security-Startup Dragos hat für 2018 nicht nur einen, sondern gleich vier Jahresrückblicke veröffentlicht: „ICS Vulnerabilities“, „ICS Activity Groups and Threat Landscapes“, „Lessons Learned from Hunting & Responding to Industrial Intrusions“, „Insights to Build an Effective Cybersecurity Strategy for Your Organization“. Jeder einzelne davon ist eine Schatztruhe an Einsichten in ICS-Security und die entsprechenden Bedrohungen, Kampagnen und Strategien.
https://dragos.com/year-in-review/ (keine Registrierung notwendig)

The QUIC & The SPDY
In die Welt der Kommunikationsprotokolle im Internet oberhalb der OSI-Schichten 2 (IP) und 3 (TCP) ist Bewegung gekommen. Dieser Blogeintrag von Cloudflare gibt einen spannenden und guten Überblick über QUIC, SPDY, die Zukunft von HTTP und insbesondere darüber, an welchen Stellen zukünftig die Security ins Spiel kommt.
https://blog.cloudflare.com/http-3-from-root-to-tip/

Data Breaches Are Beautiful
Zumindest visuell, wenn ansprechend dargestellt: https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

This Person Does Not Exist (Yet)
Auch nicht zum Lesen – aber zum Anschauen und wahlweise Gruseln oder fasziniert Sein, in jedem Fall aber zum Nachdenken: Auf der Seite thispersondoesnotexist.com wird alle zwei Sekunden von einer KI (genauer gesagt einem GAN – Generative Adversarial Network) ein menschliches Gesicht „erfunden“. Einige Beispiele sehen noch merkwürdig aus, andere lassen uns erahnen, was mit AI, Deep Learning und Deep Fakes die nächsten Jahre auf uns zukommen wird.
https://thispersondoesnotexist.com (probieren Sie ein paarmal „Refresh“ – F5 oder Strg/Apfel-R)
--------------------------------------------------------------- 
Der nächste HiS-Cybersecurity Digest erscheint Mitte März 2019  – jetzt abonnieren!

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: