HiS-Cybersecurity Digest Oktober 2017 veröffentlicht

HiS-Cybersecurity Digest Oktober 2017

Die Top Themen des letzten Monats: Aufräumsoftware CCleaner infiziert über 2 Mio. Nutzer, Browser-Security-Whitepapers sponsored by Google, neue Meldepflicht für Zahlungsdienstleister, Standardvertragsklauseln zum Datenschutz möglicherweise ungültig, 3 Milliarden Yahoo-Konten gehackt, Filterblasen und digitale Stämme.


Top Thema

Im Zweifel löscht den Angeklagten – Kaspersky unter Beschuss
Dem russischen Antivirenhersteller Kaspersky weht weiterhin rauer Wind entgegen. Bereits im September hatte das Heimatschutzministerium der USA verfügt, dass US-Bundesbehörden dessen Software innerhalb von 90 Tagen entfernen müssen. Nun machen Anschuldigungen die Runde, dass russische Hacker 2015 eine Kaspersky-Installation auf dem privaten Rechner eines NSA-Mitarbeiters missbraucht haben sollen, um Informationen über Cyberangriffsfähigkeiten und entsprechenden Code der NSA zu stehlen. Der Bestohlene hatte die streng geheimen Daten illegal auf sein Privatgerät kopiert. Kaspersky bestreitet jede Beteiligung. Technisch wäre es möglich, dass ein Softwarehersteller hier wissentlich oder unwissentlich geholfen hat. Virenschutzprogrammen verschiedener Hersteller waren in der Vergangenheit immer wieder eklatante Schwachstellen nachgewiesen worden. Andererseits ist der Antivirusmarkt in den USA ein Multi-Millionen-Geschäft, und Donald Trump ist unter Druck, eine harte Hand Russland gegenüber zu beweisen.
http://www.zdnet.com/article/wsj-kaspersky-software-likely-used-in-russian-backed-nsa-breach/ 


Neuigkeiten im September:

Dreckig geputzt – Aufräumsoftware CCleaner infiziert über 2 Mio. Nutzer
Angriffe auf die Supply Chain, also die Lieferkette für legitime Güter, hier Software, entwickeln sich immer mehr zu einer effektiven Methode, Schadsoftware großflächig zu verbreiten. So geschehen beim CCleaner. Bestimmte 32-Bit-Versionen der beliebten Systemoptimierungssoftware enthielten einen Trojaner, der kurzfristig über zwei Millionen Nutzer infizierte. Darunter befanden sich viele "Power-User", welche als Admins in Unternehmen und Behörden tätig sind. Nach Entdeckung durch Cisco Talos konnte der Command&Control-Server sehr schnell offline genommen werden, sodass der direkte Schaden geringer ausfiel als zunächst befürchtet wurde. Einem entscheidenden System des Herstellers fehlte allerdings ausreichend Speicher für die Protokollierung. Deshalb konnten nicht alle Infektionen nachvollzogen werden. Auf Maschinen, welche CCleaner 32Bit 5.33 installiert hatten, könnten somit weiterhin Backdoors aktiv sein.
https://blog.malwarebytes.com/security-world/2017/09/infected-ccleaner-downloads-from-official-servers/ 

--------------------------------------------------------------

HiSolutions:
Beratung und Schulung zu KRITIS

Die Umsetzung des IT-Sicherheitsgesetzes und der begleitenden Regulierungsvorschriften schreitet weiter voran. Ende Januar 2018 müssen die KRITIS-Betreiber aus dem Sektor Energie die Einhaltung des IT-Sicherheitskatalogs der Bundesnetzagentur (ISO 27001 + ISO 27019 Zertifizierung) vorweisen können. Bereits im Dezember 2017 muss das Meldewesen für „erhebliche Sicherheitsvorfälle“ nach §8b BSI-Gesetz von den KRITIS-Betreibern aus Korb II der BSI-Kritisverordnung (Sektoren Finanz- & Versicherungswesen, Transport & Verkehr, Gesundheit) eingerichtet und etabliert sein. HiSolutions begleitet Sie gerne in allen Schritten der Melde- und Prüfprozesse mit Beratung, Auditierung, Workshops und Schulungen: 
Nächster Schulungstermin Prüfverfahrenskompetenz nach § 8a BSI-Gesetz 06.-07.12.2017 in Berlin: Termin hat bereits stattgefunden
Weitere Informationen: Produktblatt 
Produktblatt zur Beratung & Prüfung nach §8a BSIG: Produktblatt

--------------------------------------------------------------
Surf schau wem – Browser-Security-Whitepapers sponsored by Google
Im September erschienen zwei umfangreiche, jeweils sehr tiefgehende Vergleiche der Security von drei der wichtigsten Browser: Internet Explorer 11, Edge (beide Microsoft) und Chrome (Google). Da Google Sponsor der Untersuchungen war, sind die Ergebnisse jedoch mit Vorsicht zu genießen. Die Autoren der Studien sind allerdings Koryphäen auf dem Gebiet der Browsersicherheit und die Methodik ist sauber beschrieben. Folgende Schlussfolgerungen dürften daher Gültigkeit haben: Moderne Browser (Edge, Chrome) haben die Nase gegenüber Älteren vorn, die nicht von Anfang an sicher konstruiert wurden (IE). Insbesondere Sandboxing ist ein Schlüssel für mehr Sicherheit, wobei Chrome und Edge unterschiedliche Strategien verfolgen. Das Unterstützen sehr vieler neuer Techniken (Chrome) kann zunächst ein leichtes Minus für die Security bedeuten, dem eine begrenztere Funktionalität bei weniger Neuerungen gegenübersteht (Edge).
https://cure53.de/#browser-security-whitepaper/ 
https://www.x41-dsec.de/security/report/whitepaper/2017/09/18/whitepaper-x41-browser-security/ 
https://www.blog.google/topics/connected-workspaces/2-new-white-papers-examine-enterprise-web-browser-security/ 

-------------------------------------------------------------- 
Still NotPetya – Auch FedEx verliert 300 Mio. USD
Der US-Logistikkonzern Fedex hat gemeldet, dass das Unternehmen der Angriff durch die Malware NotPetya genauso teuer zu stehen kam wie die Reederei Maersk. Die Kosten bei der niederländischen Fedex-Tochter TNT Express belaufen sich demnach ebenfalls auf 300 Mio. US-Dollar.
http://about.van.fedex.com/newsroom/fedex-corp-reports-first-quarter-earnings-2/ 

-------------------------------------------------------------- 
Schwer auf ZAG – Neue Meldepflicht für Zahlungsdienstleister
Zahlungsdienstleister müssen der BaFin schwerwiegende Sicherheitsvorfälle künftig unverzüglich melden. Hintergrund ist die Neufassung des Zahlungsdiensteaufsichtsgesetzes (ZAG), die am 13.01.2018 in Kraft tritt. Die BaFin wird ein elektronisches Meldeverfahren implementieren, das die bisherigen Meldepflichten nach den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) ablöst. Die Meldungen werden an die Europäische Zentralbank, die Europäische Bankenaufsicht EBA, die Deutsche Bundesbank und, bei Zuständigkeit, an weitere deutsche Behörden weitergeleitet.
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2017/meldung_170914_zahlungsdienstleister_meldepflicht_bei_sicherheitsvorfaellen.html 


ICS

Kein Einheitsbrei – Entwurf des VDMA-Einheitsblatts "Industrial Security" erschienen
Der Verband Deutscher Maschinen- und Anlagenbau hat den Entwurf des VDMA-Einheitsblatts 66418 zur Industrial Security veröffentlicht. Auf 17 Seiten beschreibt der designierte Branchenstandard die grundlegenden Anforderungen an die Security von Maschinen, Anlagen und deren Komponenten. Der VDMA bittet um Stellungnahmen und Kommentare bis Endes des Jahres.
https://www.vdma.org/documents/105628/20461684/Entwurf%20VDMA%2066418_2017-11_1505306354286.pdf/97d21c4a-4d02-40c3-8c65-522409dab225/ 


CLOUD & DATENSCHUTZ

Max Schrems vs. USA 2:0 – Standardvertragsklauseln zum Datenschutz möglicherweise ungültig
Beim Datenaustausch mit Unternehmen in den USA wird es möglicherweise eng. Der österreichische Jurist Max Schrems ist unter anderem dadurch bekannt, dass er von Facebook einen Ausdruck aller seiner Daten anforderte. Nach einer Klage durch ihn wurde das Safe-Harbour-Abkommen annulliert. Nun hat er irische Richter davon überzeugt, dass eine Weitergabe personenbezogener Daten auf Basis der sogenannten Standardvertragsklauseln in die USA gegen das europäische Datenschutzrecht verstoßen könnte. Jetzt ist der EuGH am Zug, in der Sache zu entscheiden.
https://www.heise.de/newsticker/meldung/Europaeischer-Gerichtshof-muss-erneut-ueber-Datenweitergabe-in-die-USA-entscheiden-3849184.html 

-------------------------------------------------------------- 
Gröbste Fahrlässigkeit – 143 Mio. Sozialversicherungsnummern gestohlen
Der Wirtschaftsauskunftei Equifax sind persönliche Daten der Hälfte aller US-Amerikaner entwendet worden, darunter 143 Mio. Sozialversicherungs- und über 200.000 Kreditkartennummern. Dabei bietet das Unternehmen eigentlich selbst Schutz vor Cyberangriffen an. Nicht nur hatte das Management einen früheren Hack verschwiegen, sondern vor Bekanntwerden des großen Leaks auch Aktien für 1,8 Mio. USD verkauft. Schuld waren angeblich ungepatchte Systeme.
https://www.wired.de/collection/business/hack-equifax-sozialversicherungsnummern-143-millionen/ 
https://www.heise.de/newsticker/meldung/Equifax-soll-frueheren-Hack-verheimlicht-haben-3835052.html 

-------------------------------------------------------------- 
Yahoo bricht eigenen Rekord – 3 Milliarden Konten gehackt
Wie sich herausstellte, waren 2013 nicht nur 1 Milliarde, sondern alle 3 Milliarden Yahoo-Konten gehackt worden. Zwar kamen wohl keine Klartext-Passwörter oder Zahlungsdaten abhanden, und viele Konten waren nicht aktiv genutzt, den Rekord für den zahlenmäßig größten Breach aller Zeiten konnte Yahoo damit jedoch für sich gewinnen.
http://www.oe24.at/digital/Yahoo-Hackerangriff-traf-alle-drei-Milliarden-Nutzer/302405563/ 


KRYPTO

What’s The Signal, Moxie? Auf dem Weg zur Private Discovery
Moxie Marlinspike, der Kopf hinter dem Krypto-Messenger Signal (und damit auch hinter der Ende-zu-Ende-Verschlüsselung von WhatsApp) beschreibt in einem neuen Blogeintrag, wie bei Signal das Problem der sogenannten „Private Discovery“ gelöst werden soll. Verschlüsselung von Inhalten ist heutzutage technisch gut lösbar. Wenn der Signal-Dienst aber alle Metadaten der Kommunikation bekommt (wer kennt wen = hat wen im Adressbuch), ist es mit der Privacy nicht weit her, auch wenn Signal natürlich verspricht, nichts bewusst zu protokollieren. Andere Nutzer zu finden, die denselben Messenger nutzen, ohne dem Messengerdienst die eigenen Kontakte zu verraten, ist alles andere als einfach. Signal will nun Intels SGX-Verschlüsselungstechnik nutzen, damit der Client (App auf dem Smartphone) den Signal-Server zwingen kann, nur verschlüsselt mit den Kontaktdaten zu rechnen und diese danach wieder zu vergessen. Das neuartige Konzept ist technisch sehr spannend, vor allem, da SGX ursprünglich für DRM (digitaler Kopierschutz) entwickelt wurde.
https://signal.org/blog/private-contact-discovery/ 

-------------------------------------------------------------- 
Do The Maths, Do The Conga – Forschung an Angriffen auf moderne Ciphern
Es wurden erste erfolgreiche Ansätze einer Komplexitätsreduktion für Angriffe auf die Verschlüsselungsverfahren ChaCha und Salsa auf Basis einer bislang impraktikabel erschienenen Multibit-Differentialanalyse entdeckt. Dies stellt die Sicherheit dieser modernen Ciphern noch nicht in Frage, sondern ist zunächst als gutes Zeichen zu werten, dass sich die Kryptoanalyse-Community aktiv mit den Algorithmen beschäftigt.
https://tosc.iacr.org/index.php/ToSC/article/view/574/ 

-------------------------------------------------------------- 
Hash mich, wenn du kannst – Erste Angriffe von Quantenalgorithmen auf Hashfunktionen
Allgemein bekannt ist, dass Quantencomputer die Sicherheit von herkömmlicher asymmetrischer Public-Key-Kryptographie wie z. B. RSA bedrohen. Bezüglich symmetrischer Algorithmen, wie sie etwa auch für Hashverfahren verwendet werden, ging man bisher davon aus, dass eine Verdopplung der Schlüssellänge ausreicht, um die Vorteile von Quantencomputern wieder zunichte zu machen. Neue Forschung zeigt nun, dass weitere Beschleunigungen des Brechens von Hashfunktionen möglich sein könnten. Dies würde bedeuten, dass auch Parameter wie etwa die Blockgröße überdacht werden müssen, um in einer Welt mit Quantencomputern ausreichend Sicherheit zu bieten.
https://eprint.iacr.org/2017/847/ 

-------------------------------------------------------------- 
Locky Is Coming – Kryptotrojaner im Game of Thrones-Stil
Auch Schadcode-Autoren sind Menschen. Und manchmal können Forscher einen Blick in ihre Seelen erhaschen, auch wenn dies eher selten zu Verhaftungen führt. Eine neue Verteilkampagne des Kryptotrojaners Locky nutzte ein Visual-Basic-Script, welches mit Anspielungen an und Namen aus der Serie Game of Thrones gespickt war. A Lannister always pays his debts – vielleicht erhoffen sich die Autoren, dass das für ihre Opfer auch gilt.
https://phishme.com/song-ice-ransomware-game-thrones-references-locky-phishing/ 


LESETIPPS
In dieser Rubrik stellen wir interessante Beiträge zum Weiterlesen vor.

Von Filterblasen und digitalen Stämmen
Die Problemstellung von "Fake News" ist zwar nicht im engeren Sinne ein Cybersicherheits-Thema, jedoch ist sie eng mit dieser verbunden. Immerhin geht es darum, wie „sicher“ das Netz noch als Quelle von Objektivität und Ort des offenen Austauschs genutzt werden kann. Die Theorie der Filterblasen wird oft zitiert, um zu erklären, warum bestimmte Gruppen gegen bestimmte Fakten immun zu sein scheinen – nämlich weil sie sie gar nicht zu sehen bzw. lesen bekommen.
Der Beitrag „Digitaler Tribalismus und Fake News“ von Michael Seemann (Text) und Michael Kreil (Datenauswertung) von „DataScience&Stories“ beim Tagesspiegel weist auf höchst spannende Weise nach, dass das Gegenteil der Fall ist. Fake-News-Verbreiter sind in der Regel weniger hermetisch gegen die Wahrheit abgegrenzt als ihre Widersacher - die "Richtigsteller" - gegen andere Meinungen isoliert sind. Es ist eine andere Eigenschaft, die die Faker verbindet. Diese lässt sich am besten mit dem soziologischen Begriff „Tribe“ beschreiben. Was das ist, wie Tribes funktionieren und was dies wiederum für die Arbeit gegen Fake News bedeutet, steht hier (Vorsicht, lang. Und: lohnt sich):
http://www.ctrl-verlust.net/digitaler-tribalismus-und-fake-news/ 

Der nächste HiS-Cybersecurity Digest erscheint Anfang November 2017.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: