Kategorien
Cybersecurity & IT-Sicherheit

Hackerangriff auf USB-Ladestation

Ein immer noch unterschätztes Problem sind Hackerangriff auf (öffentliche) USB-Ladestationen. Dabei ist das Vorgehen recht simpel: Eine USB-Ladestation ist so präpariert, dass der sich arglos anstöpselnde Nutzer unbemerkt nicht nur Strom sondern auch eine Schadsoftware mitgeliefert bekommt. Dies kann gerade bei reisenden Geschäftsleuten für breit gestreute Angriffe genutzt werden; im Übrigen ist es ein recht gut planbares Vorgehen, um auch zielgerichtet Führungspotential anzugehen das mit öffentlichen Verkehrsmitteln reist – nicht ohne Grund warten bereits das Manager Magazin vor zu viel Arglosigkeit.

Kategorien
Cybersecurity & IT-Sicherheit

Kritische Infrastrukturen: Wie Mitgliedstaaten Betreiber wesentlicher Dienste ermittelt haben

Die EU-Kommission hat einen Bericht veröffentlicht, in dem sie bewertet, wie die EU-Mitgliedstaaten öffentliche und private Organisationen identifiziert haben, die Cybersicherheitsmaßnahmen ergreifen und größere Cyberunfälle melden müssen. Diese Organisationen, die oft als “Betreiber wesentlicher Dienste” bezeichnet werden, sind in entscheidenden Bereichen der Wirtschaft und Gesellschaft tätig, wie Gesundheitsversorgung, Verkehr, Energie, Finanzinfrastruktur, Wasserversorgung und mehr, und müssen besonders widerstandsfähig gegen Cyberangriffe sein.

Der Bericht – den ich hier der Vollständigkeit halber aufgenommen habe – gibt somit einen (ersten) Überblick darüber, wie die Mitgliedstaaten die Betreiber wesentlicher Dienste ermittelt haben. Auf seiner Grundlage wird geprüft, ob die Methoden zur Identifizierung derartiger Betreiber in den Mitgliedstaaten einheitlich sind.

Kategorien
Cybersecurity & IT-Sicherheit Statistik

Cybersecurity: Lage der IT-Sicherheit 2019

Lage der Cybersecurity 2019: Gegen Ende des Jahres mehren sich üblicherweise die Berichte zum Thema Cybersicherheit (und Cybercrime), beginnend mit dem Bericht des BSI, der dieses Jahr am 17. Oktober vorgestellt wurde. Ich habe bewusst einige Wochen gewartet, um nun an dieser Stelle einen kurzen und weiterführenden Überblick zu geben.

Es lässt sich wenig überraschend festhalten, dass gerade mit zunehmender und beschleunigter Digitalisierung die IT-Sicherheit an Bedeutung gewinnt. Dabei mehrt sich jedenfalls bei mir der Eindruck, dass der Staat ebenso blindwütig wie mit erheblichen finanziellen Mitteln auf der einen Seite die Digitalisierung vorantreibt – auf der anderen Seite gleichwohl aber die Förderung der IT-Sicherheit im (praktischen) Alltag vernachlässigt. Die so entstehende Schere gefährdet Unternehmen genauso wi Behörden.

Kategorien
Cybersecurity & IT-Sicherheit

Strukturübersicht der deutschen Cybersecurity-Architektur

Die “Stiftung neue Verantwortung” hat eine Grafik zur Architektur der staatlich regulierten Cybersicherheit (aus Behördensicht) in Deutschland erstellt, mit der ein ebenso umfassender wie diffus-verstörender Überblick geboten wird – immerhin steht das BSI im Zentrum:

Kategorien
Cybersecurity & IT-Sicherheit

Ransomware bleibt beherrschendes Thema 2019

Einiges tut sich auf dem Markt der Ransomware, allerdings ist eine Entspannung nicht in Sicht – dafür sind die Aussichten, mit Ransomware gutes Geld “zu verdienen” schlicht zu hoch. Und es zeigt sich schon länger, dass Cyberkriminelle verstanden haben, auf dem Weg am besten zu verdienen.

Während die Welle um Emotet zu Ende zu sein scheint, mehren sich die Gerüchte, dass GandCrab seinen Nachfolger in “REvil” (auch “Sodinokibi”) gefunden hat und weiter wütet (zusammenfassender Bericht zu all dem bei Heise und ZDNET). Das Interessante dabei wäre die theatralische Verabschiedung von GandCrab und die Frage, was die Show soll – ob man hier einfach Zäsuren schaffen möchte, um im Fall des Auffliegens nur einzelne Tatabschnitte sich selbst zuordnen zu lassen klingt kriminologisch schlau, ich bezweifle aber, dass man ersthaft derart strategisch denkt. Ein Auflösen und teilweise Neugründen der bisherigen Hacker-Formation erscheint da eher vorstellbar.

Kategorien
Cybersecurity & IT-Sicherheit

Zukunft Anmeldung ohne Passwort: W3C macht WebAuthn zum Standard

Es ist soweit, WebAuthn ist nun ein W3C Standard und soll es zukünftig ermöglichen, dass man sich nicht mehr mit einem Benutzernamen und einem Passwort, sondern einem Authentikator anmeldet – sei es ein Dongle wie ein USB-Stick oder auch ein öffentlicher Schlüssel wie ein Zertifikat. Damit kann auf der einen Seite mehr Sicherheit existieren, weil nun das schlichte kopieren von Passwörtern nicht mehr Angriffspunkt ist – andererseits sind damit zentrale Angriffe beim Benutzer um so attraktiver wie zwingender. Erfahrungsgemäß wird es dauern, bis es in der Praxis ankommt.

Links dazu:

Kategorien
Cybersecurity & IT-Sicherheit

Das Netzwerk mit Pi-Hole schützen

Ich habe zwischenzeitlich einen Raspberry mit Pi-Hole aufgesetzt und seit einigen Wochen im Test. Dabei geht es mir in erster Linie darum, Schrott vor allem in Sinne von Schadsoftware, aus meinen Netzwerken raus zu halten. Die bisherige Testphase ist dabei durchaus bemerkenswert, insgesamt – bei zahlreichen Endgeräten und einem Google-WLAN – lässt sich ein stabiler Betrieb feststellen.

Kategorien
Cybersecurity & IT-Sicherheit

Was ist ein sicheres Passwort?

Aus meiner Sicht ist es sinnvoller, zu fragen, wie ein unsicheres Passwort aussieht, da ansonsten etwas utopisches avisiert wird: Absolute Sicherheit. Tatsächlich gibt es einige Faktoren, die unsichere Passwörter ausmachen bzw. Unsicherheitsfaktoren darstellen:

  • Passwortlänge: Je kürzer ein Passwort ist, umso unsicherer ist es schon alleine, weil Brute-Force-Angriffe umso leichter werden. Das BSI rät zu jedenfalls 8 Zeichen bei Internet-Passwörtern, während bei Geräten wie WLAN-Routern zu jedenfalls 20 Zeichen geraten wird.
  • Zeichen: Nutzen Sie jedenfalls Buchstaben sowohl gross- wie kleingeschrieben, wenigstens ein Sonderzeichen (Ausrufezeichen, Fragezeichen, Klammeraffe) und wenigstens eine Ziffer.
  • Keine allgemeinen Bezeichnungen: Verwenden Sie keine allgemeinen Begriffe die man in einem Duden findet, keine Zeichen- oder Zahlenketten die eingängig sind und auch keines der bekannten unsicheren Passwörter. Verwenden Sie all dies auch nicht “nur” als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Keine persönlichen Bezeichnungen: Vermeiden Sie persönliche Daten wie Geburtsdaten von Familienmitgliedern, Hochzeitsdatum, Vornamen, Nachnamen, Hausnummern, Postleitzahlen etc. Verwenden Sie all auch hier all dies nicht “nur” als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Passwort-Manager verwenden: Mit einer allgemeinen Empfehlung diesbezüglich tue ich mich schwer. Zentral in einem Passwortmanager alle Passwörter zu sichern ermöglicht hochkomplexe Passwörter, schafft aber eine zentrale Angriffsstelle. Hier kann man Kritik üben, man muss es aber nicht. Dabei sollte man auch wissen, dass die Stiftung Warentest im Jahr 2017 bei einem Test von Passwort-Managern ebenfalls teilweise Kritikpunkte gefunden hatte.
  • Kein unverschlüsseltes Speichern: Wenn Sie sich Passwörter notieren, tun Sie dies nicht unverschlüsselt. Also nicht am Schreibtisch unter der Auflage “versteckt”, nicht im Notizbuch, nicht in einer unverschlüsselten Text-Datei oder Cloud-Notiz.
  • Passwort regelmäßig ändern: Aus meiner Sicht vollkommen überholt ist der Ratschlag, das Passwort regelmäßig zwingend zu ändern. Berechtigt ist hier die Kritik dahin gehend, dass gerade der Zwang regelmässig ggfs. kurzfristig zu wechseln dazu führt, erst recht einfache Passwörter zu verwenden.

Dazu auch von mir: Vorsorge zur Vermeidung eines Hacker-Angriffs

Kategorien
Cybersecurity & IT-Sicherheit

Bitkom zum Thema Cybersicherheit 2018

Bei Bitkom finden sich einige Pressemeldungen zum Thema Cybersicherheit – und der Tatsache, dass gerade KMU dieses hochbrisante Thema (ebenso wie die Politik) verschlafen. So weist der Bitkom in einer Pressemitteilung auf die Häufigkeit von Angriffen hin:

Deutsche Industrieunternehmen sind beliebte Ziele für Sabotage, Datendiebstahl oder Wirtschaftsspionage. Vor allem die Chemie- und Pharmabranche trifft solche Attacken hart: Drei von vier Chemie- und Pharmaunternehmen (74 Prozent) wurden in den vergangenen zwei Jahren Opfer, weitere 22 Prozent waren vermutlich betroffen. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom (…) Aber auch der Maschinen- und Anlagenbau (67 Prozent) sowie die Hersteller von Kommunikations- und Elektrotechnik (63 Prozent) sahen sich in den Jahren 2016 und 2017 einer Vielzahl an Attacken ausgesetzt. (…) Insgesamt ist der Industrie durch Sabotage, Datendiebstahl oder Spionage in den vergangenen zwei Jahren ein Gesamtschaden von 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies zudem.

Bitkom Pressemitteilung vom 30.11.2018

Dabei wurde im Oktober 2018 die “Wirtschaftsschutzstudie 2018” vom Bitkom veröffentlicht, die frei zum Download steht. Zwar ist es für mich so, dass diese aus meiner Sicht einerseits Fortschritte zeigt, aber insgesamt doch nahe legt, dass gerade im breiten Bereich der KMU die Thematik untergeht. Während Großunternehmen sich zunehmend um die Problematik kümmern werden kleinere Unternehmen hier – so mein Eindruck – durchaus abgehängt.

Kategorien
Cybersecurity & IT-Sicherheit

LDI NRW: Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand

Die Landesdatenschutzbeauftragte NRW hat sich zur Frage geäußert, wie aus dortiger Sicht die Datenschutz-Grundverordnung (DS-GVO) in Bezug auf den unverschlüsselten Versand von E-Mails zu interpretieren ist.