HiS-Cybersecurity Digest September 2018 veröffentlicht

HiS-Cybersecurity Digest September 2018

Die Top Themen des letzten Monats: Droht der Cyber-Burnout?, Ende der Microsoft Cloud Deutschland, Endlich da: TLS 1.3, Ransomware legt Kliniken lahm, Datenleak bei British Airways, Die vielen Leben des John McAfee

Top Thema

Viel hilft nicht immer viel – Droht der Cyber-Burnout?

Der dauerhafte Handlungsdruck in Sachen Security entkräftet und erzeugt bei Entscheidern eine fast schon fatalistische Haltung gegenüber den Bedrohungen und Risiken. Das zeigt eine neue Studie von Cisco: „Unternehmen sind einem anhaltend hohen Handlungsdruck in Sachen IT-Sicherheit ausgesetzt – bei gleichzeitig steigendem Vernetzungsgrad in der Infrastruktur und einem Mangel an IT-Fachkräften.“ Fast die Hälfte der befragten Security-Entscheider in Deutschland fühlt sich „erschöpft“ und „cybermüde“. Kein Wunder, setzt doch fast jeder fünfte mehr als einundzwanzig Sicherheitsprodukte verschiedener Hersteller ein.
http://blog.wiwo.de/look-at-it/2018/09/03/it-sicherheit-in-deutschland-40-prozent-der-it-entscheider-leiden-an-cybermuedigkeit/.

Übrigens sieht es auf Arbeitnehmerseite keineswegs besser aus:
https://www.security-insider.de/arbeitnehmer-sind-der-it-sicherheit-ueberdruessig-a-742852/

Diese Meldung stellt für die Security eine weit größere Bedrohung dar als sämtliche weiteren Beiträge über Viren, Angriffe oder sonstige Vorfälle in diesem Newsletter. Denn Müdigkeit ist nicht nur ein Zeichen von „zu viel“, sondern kann auch eine Vorbotin von Burnout sein. Hier sollten sich insbesondere die Anbieter an die Nase fassen, die immer noch ein weiteres Security-(Beratungs-)Produkt an den Mann oder die Frau bringen wollen, ohne das Gesamte im Blick zu haben. Eine Chance hingegen bieten neue Trends wie derjenige hin zu integrierten Managementsystemen oder auch – wenn richtig gemacht – zu Managed Security Services. Denn die Köpfe müssen frei bleiben für strategische Entscheidungen – und die Herzen für den täglichen „Kampf“, im emphatischen, nicht verkrampften Sinn.

Neuigkeiten im August: 

Go Local, Life is Peaceful There: Ende der Microsoft Cloud Deutschland
2015 hatte der Riese aus Redmond die „Microsoft Cloud Deutschland“ angekündigt, um deutschen Kunden mit ihren aus amerikanischer Sicht besonders strengen Compliance-Regeln und Regulierungsvorgaben den Einstieg in die Cloud schmackhaft zu machen. Dabei werden die Kundendaten treuhänderisch von T-Systems in Deutschland verwaltet. Nun wurde das Ende des Modells verkündet: Zu aufwändig scheint es, in diesem Konstrukt aktuelle Features zu realisieren und nachzuziehen. Stattdessen werden neue Cloud-Regionen geschaffen. Besonders anspruchsvolle Länder wie Japan oder Deutschland bekommen dann unter dem Codewort „Go Local“ ihre eigene Region bei einem weltweit übereinstimmenden Angebot von Features.
Die Ankündigung kommt zu einer Zeit, in der Diskussionen über die Stärke der Abschottung der MS Cloud Deutschland – technisch wie auch vor dem amerikanischen Gesetz – wiederaufgelebt sind. Dies scheint aber keine Reaktion darauf zu sein.
https://news.microsoft.com/de-de/microsoft-cloud-2019-rechenzentren-deutschland/

-------------------------------------------------------------- 
HISOLUTIONS
Live-Webinar zum neuen IT-Grundschutz des BSI

Im iX-Live-Webinar "Systematische Sicherheit mit dem neuen IT-Grundschutz des BSI" erhalten Admins, IT-, Sicherheits- und Datenschutzverantwortliche einen umfassenden Überblick über den 2017 erneuerten IT-Grundschutz. Sie erfahren, wie der BSI-Standard 200-2 "IT-Grundschutz-Methodik" als Grundlage für die IT-Sicherheit im eigenen Unternehmen dienen kann und wie Risikomanagement nach dem BSI-Standard 200-3 funktioniert. Zudem lernen Sie die neuen Bausteine zu Cloud, Containern und industriellen Steuerungssystemen kennen.
26.9.2018 14-16 Uhr
https://www.heise.de/ix/meldung/IT-Sicherheit-Live-Webinar-zum-neuen-IT-Grundschutz-des-BSI-4135781.html

--------------------------------------------------------------
Endlich da: TLS 1.3
Schon mehrfach hatten wir vom langen Entstehungsweg berichtet, nun ist TLS 1.3 endlich offiziell als Internetstandard erschienen. Einer der Hauptvorteile der neuen Version von TLS (früher SSL) ist, dass viele problematische, unsichere Modi und Konfigurationen gar nicht mehr enthalten sind, z. B. statische RSA-Ciphern ohne Forward Secrecy, bestimmte CBC-Modi, unsichere Hashfunktionen und eine Reihe alter Algorithmen. Dazu kommen viele weitere neue Vorteile, auch für die Performance, sodass hoffentlich die Verbreitung schnell zunimmt.
https://tools.ietf.org/html/rfc8446/

--------------------------------------------------------------
Ohne Datenschutz kein… Update? AppStore
Apple verpflichtet Entwickler ab dem 3. Oktober 2018, eine Datenschutzerklärung zu hinterlegen. Apps ohne eine solche werden zwar nicht gelöscht, können jedoch keine Updates einspielen. Kurzfristig könnte dies der Security sogar erst einmal schaden, langfristig scheint es jedoch richtig und wichtig, den Datenschutz noch tiefer in der Plattform zu verankern.
https://9to5mac.com/2018/08/31/new-app-store-rules-will-require-all-apps-to-have-a-privacy-policy/

--------------------------------------------------------------
Déjà-vu – Ransomware legt Kliniken lahm
Drei Kliniken in Bremerhaven und Geestland hatten mit erheblichen Computer-Problemen zu kämpfen, nachdem ein Mitarbeiter offenbar eine E-Mail mit Schadsoftware geöffnet hatte. Der Betreiber-Konzern entschied sich daraufhin, die Häuser von der Notfallversorgung abzumelden, wie 2016 bereits im Lukaskrankenhaus in Neuss geschehen. Inzwischen läuft die IT aber bis auf geringe Einschränkungen wieder.
https://www.butenunbinnen.de/nachrichten/gesellschaft/bremerhaven-cyberangriff-krankenhaus-100.html

--------------------------------------------------------------
Liberté, Fraternité, Securité: Deutsch-französisches IT-Sicherheitslagebild
Neustes Zeichen für die auch im Security-Bereich immer wichtiger werdende europäische Kooperation ist das gemeinsam vom BSI und seinem französischen Pendant ANSSI veröffentlichte gemeinsame Cyber-Lagebild.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/Dt_Frz_IT-Sicherheitslagebild_20072018.html

--------------------------------------------------------------
Die Karten gelegt: Datenleak bei British Airways
Ende August bis Anfang September wurden die Bank- und Kreditkartendaten vieler British-Airways-Kunden ausgelesen. Insgesamt sind 380.000 Karten betroffen. Das Unternehmen reagierte offensiv, warnte die Kunden und hat bereits Entschädigungen angekündigt. Allerdings droht noch eine hohe Strafe gemäß DSGVO, welche maximal 4 % des Vorjahresumsatzes betragen kann; hier wären das rund 545 Millionen Euro.
https://www.aerotelegraph.com/british-airways-droht-multimillionenstrafe/

--------------------------------------------------------------
Doch nicht unhackbar: Die vielen Leben des John McAfee
John McAfee ist unbestritten eine der schillerndsten und umstrittensten Persönlichkeiten der Security. In letzter Zeit macht er vor allem in Kryptowährungen – und fiel mit dem Versprechen einer „unhackbaren“ Wallet auf, also eines Hardware-Devices zum Speichern des Schlüsselmaterials, das die digitalen Münzen kontrolliert. Die vage formulierte Bug Bounty des von McAfee unterstützten Herstellers Bitfi führte zusammen mit dem waghalsigen Claim zu großer Aufmerksamkeit in der Hackergemeinde – und dazu, dass das Gerät nach wenigen Wochen bereits mehrfach kompromittiert war. Zwar hat bisher niemand die versprochenen 250.000 US-Dollar ausgezahlt bekommen, aber zumindest soll das Label „unhackable“ nun verschwinden. Von McAfee wiederum wird man sicher schon bald wieder etwas Neues hören.
https://www.heise.de/security/meldung/John-McAfees-unhackbares-Bitcoin-Wallet-Bitfi-gehackt-mehrmals-4152116.html
 

LESETIPPS

NotPetya: Memoiren
Die Geschichte von NotPetya, eines der verheerendsten Cyberangriffe bzw. eines der gefährlichsten Computerviren der (IT-)Geschichte ist nicht nur komplex, sondern auch überaus spannend. Hier ist sie in voller Länge nachzulesen:
https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

Wer fordert den Längsten?
Nicht wirklich eine Bettlektüre, aber wenn man mal wissen möchte, wie die unterschiedlichen Empfehlungen für Schlüssellängen im Vergleich dastehen, kann sich dies auf folgender Website schön darstellen lassen. Spoiler: Das BSI gehört zu den strengeren…
https://www.keylength.com/en/compare/

Dein Radio cybert
Seit Sonntag ist die erste Folge der zweiten Podcast Staffel „Cybercrime“ online. Fünf Wochen lang erforscht das Team des Hessischen Rundfunks den Stand der Security in deutschen Krankenhäusern – und begleitet dabei auch ein Team der HiSolutions bei einem echten Penetrationstest. Neue Staffeln immer sonntags online sowie am Montag um 19:20 im HR Inforadio.
https://www.hr-inforadio.de/podcast/cybercrime/index.html

---------------------------------------------------------------
Der nächste HiS-Cybersecurity Digest erscheint Anfang Oktober 2018.

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: