Was das neue IT-Sicherheitsgesetz für das Business Continuity Management bedeutet

Abgelegt in:

Internet

26. August 2014Matthias Hämmerle 2 Antworten

Das Bundesministerium des Innern hat vor kurzem den Referentenentwurf zum IT-Sicherheitsgesetz („Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“) vorgelegt. Ziel des Gesetzes ist „eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland“. Besondere Bedeutung misst der Entwurf des IT-Sicherheitsgesetzes dem Schutz der IT-Systeme Kritischer Infrastrukturen zu. Weiterlesen…

Beipiele von Datenpannen zur Sensibilisierung für Informationssicherheit

Abgelegt in:

Datenschutz
- Informationssicherheit

25. August 2014Matthias Hämmerle Antworten

Die Sensibilisierung für Informationssicherheit und Datenschutz lebt immer von praktischen Beispielen, an gezeigt werden kann, wie einfach und vielfältig die Ursachen und medienwirksam oftmals die Folgen von Datenpannen sind. Auf der Seite www.projekt-datenschutz.de gibt es eine ganze Historie mit Sicherheitsvorfällen. Die Vorfälle sind einzeln beschrieben und mit Links zu Presseberichten versehen.

Wurde die Verschlüsselungssoftware truecrypt von den Entwicklern eingestellt?

Abgelegt in: IT-Security 29. Mai 2014Matthias Hämmerle Antworten

Die Verschlüsselungssoftware für Laufwerke und Dateien “truecrypt” wurde bislang 28 Millionen Mal heruntergeladen und ist weltweit in einer breiten Basis im Einsatz. Auch ich nutze dieses praktische Werkzeug einer anonymen Gruppe von Entwicklern. Auf der Homepage der truecrypt-Seite erscheint aktuell die Meldung, dass die Entwicklung der Software wegen des Windows XP-Ende im Mai 2014 eingestellt wird und Sicherheitslücken enthalten soll. Es folgt eine Anleitung zum Wechsel auf das Microsoft Produkt Bitlocker. Zunächst wurde ein Hack der truecrypt-Seite vermutet. Doch verdichten sich die Hinweise, dass die Entwickler das Projekt tatsächlich eingestellt haben. Alle Softwareversionen wurden aus SourceForge entfernt. Die aktuelle Version 7.2 erlaubt nur die Entschlüsselung des Laufwerks für eine Migration.

Quelle: Security Affairs

Wenn die Hacker über die Heizung einsteigen

Abgelegt in:

Informationssicherheit
- IT-Security

12. Februar 2014Matthias Hämmerle Antworten

“Steuern Sie Ihre Beleuchtung und Heizung in Zukunft ganz bequem mit nur einem Klick.”, so der Werbespruch eines schwäbischen Energieversorgers. Die Fernsteuerung von Licht und Heizung per App ist voll im Trend. Bequem von unterwegs die Heizung auf Wohlfühltemperatur regeln, bevor man zu Hause ankommt und das Licht bereits vor der Einfahrt in den Hof anmachen. Hierzu werden einfach die Heizungsregler ausgetauscht und eine zentrale Steuerungseinheit an den Router gehängt. Die möglichen Energieeinsparungen sollen die Investitionen in neue Regler für die Heizungen und die Steuerungseinheit wett machen. Ein schönes Zusatzgeschäft für die Anbieter, ein Stück Komfort für die Nutzer und Kundenbindung in wettbewerbsintensiven Zeiten. Doch was, wenn Hacker in das System eindringen, die Wohnung auf arktische Temperaturen kühlen während die Beleuchtung Disko spielt? Unwahrscheinlich oder gar unmöglich? Gerade erst wurde eine Sicherheitslücke in den Fritzbox-Routern geschlossen, über die Hacker von fremden Anschlüssen für tausende Euro ins Ausland telefonierten. Schlimmer hat es die amerikanische Handelskette Target erwischt. Rund 40 Millionen Kundendaten von Kredit- und Debitkarteninhabern wurden von Hackern gestohlen. Eingedrungen sind die Hacker in das Netzwerk über die Zugangsdaten des Dienstleisters für Heizung und Klima. Dieser hatte einen Netzwerkzugang für die Wartung und Steuerung der Klimaanlage. Viele Netzwerkzugänge für die Heizung- und Klimasteuerung sind offensichtlich ungenügend gesichert. In Sotschi soll es nicht einmal ein Passwort für den Zugang geben. Nicht nur Unternehmen, auch bei den modernen Heizungsanlagen mit Fernzugang für Privathaushalte gab es bereits Sicherheitslücken. Die Kunden mussten erst einmal den Netzwerkstecker der Heizung ziehen, bis ein Techniker vorbeikam, um das Modul für eine sichere Übertragung einzubauen.

Die Beispiele zeigen, dass die Gefährdungen in der vernetzten Welt an ganz unerwarteten Stellen auftreten können. Über die vernetzte Heizung, den vernetzten Drucker, die IP-Telefonanlage oder das vernetzte Auto. Gewiefte Hacker machen das scheinbar Unmögliche möglich. Manchmal hilft bei der Abwägung zwischen Bequemlichkeit und Sicherheit zu hinterfragen, ob jedes Feature auch wirklich notwendig ist – wie die App zur Fernsteuerung von Heizung und Licht.

BSI warnt vor Risiken auf Grund des Supportendes von Windows XP

Abgelegt in: IT-Security 10. Februar 2014Matthias Hämmerle Antworten

Das Bundesamt für Sicherheit in der Informationstechnik führt hierzu im aktuellen BSI-Newsletter aus:

“Microsoft beendet zum 8. April dieses Jahres den Support für das Betriebssystem Windows XP und die
Bürosoftware Office 2003.
Das BSI befürchtet, dass neue in Windows XP gefundene Schwachstellen von Online-Kriminellen bewusst
zurückgehalten und erst nach Ende des Supports aktiv eingesetzt werden, um Gegenmaßnahmen zu
erschweren. Darüber hinaus ist anzunehmen, dass mancher zukünftig entdeckte Angriffsweg für moderne
Windows-Versionen auch bei Windows XP funktioniert und von Angreifern nutzbar gemacht wird.
Zusammen führt dies zu einer erhöhten Bedrohungslage für Systeme mit veralteten Betriebssystemen.
Zudem sind Sie bei zukünftigen Problem auf sich gestellt.
Das BSI rät deshalb dazu, bestehende Systeme zu migrieren.”

Das BSI hat zwei Artikel für Privatanwender und Systemadministratoren zur Verfügung gestellt:
Privatanwender:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/Support
-Ende-WinXP_04022014.html
Systemadministratoren:
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/anwender/software/BSI-CS_085.html

Evernote sorgt sich um die Sicherheit seiner Kunden nach dem Adobe-Hack

Abgelegt in: Informationssicherheit 3. Dezember 2013Matthias Hämmerle Antworten

Evernote, Anbieter elektronischer Notizen, kümmert sich um die Sicherheit seiner Kunden. Vor Kurzem wurden durch den Adobe-Hack Millionen von Kundendaten, bestehend aus E-Mails und verschlüsselten Paßwörtern, abgegriffen. Evernote hat nun die nicht verschlüsselten E-Mail-Adressen aus den veröffentlichten Daten des Hacker-Angriffs mit den E-Mail-Adressen der eigenen Kunden verglichen. Nutzer, die die identische E-Mail-Adresse für ihren Evernote-Account verwenden wie für Adobe, haben folgenden Sicherheits-Hinweis erhalten. Eine positive Aktion zum Schutz der eigenen Kunden, wie ich finde.

Hier der Wortlaut der E-Mail, die ich als Evernote-Kunde erhalten habe:

“Vor Kurzem erschienen Berichte (En), laut denen es bei Adobe ein Sicherheitsproblem gegeben hat, bei dem private Daten wie Adobe-Passwörter, E-Mail-Adressen und Passworthinweise gehackt wurden. Die Liste der betroffenen Adobe-Konten wurde ins Internet hochgeladen. Wir haben diese Liste mit den E-Mail-Adressen unserer Benutzer verglichen und festgestellt, dass die E-Mail-Adresse, mit der du ein Evernote-Konto angelegt hast, auf der Liste der gehackten Adobe-Konten erscheint.

Evernote wurde nicht gehackt und ist von diesem Vorfall nicht betroffen, aber falls du dasselbe Passwort für Adobe und für Evernote benutzt, solltest du dein Evernote-Passwort jetzt ändern.”

Top Ten Daten-Desaster 2013

Abgelegt in:

Beispiele
- Informationssicherheit

29. November 2013Matthias Hämmerle Antworten

Alle Jahre wieder stellt Kroll Ontrack die Hitliste der Daten-Desaster zusammen, die weltweit in den Laboren des Wiederherstellungsspezialisten landen. Die Schicksale, die Laptops, Server und Mobiltelefone erleiden müssen, sind so vielseitig wie das Leben eben so spielt. Dies reicht vom Beschuss eines Smartphones bis zu Festplatten, die wahlweise in Wasser oder Alkohol ertränkt werden. Auch Hurrican Sandy hat einen Platz unter den Top Ten erzielt.

Die Top Ten Daten-Desaster von Kroll Ontrack

Meldepflicht für Cyber-Angriffe soll kommen

Abgelegt in:

Cyber Kriminalität
- Informationssicherheit
- Kritische Infrastrukturen

14. November 2013Matthias Hämmerle Antworten

Laut einer Meldung in der FAZ in der heutigen Print-Ausgabe sollen sich Union und SPD in den laufenden Koalitionsverhandlungen auf eine Meldepflicht für Cyber-Angriffe durch Unternehmen der kritischen Infrastrukturen verständigt haben.

Diese Meldepflicht ist seit einiger Zeit in der Diskussion. Unternehmensverbände haben sich bisher erfolgreich gegen diese Verpflichtung gewehrt. Insbesondere das Innenministerium hat sich für diese Meldepflicht eingesetzt.

Die Meldestrukturen für die KRITIS-Unternehmen sind etabliert und werden in den zweijährigen KRITIS-Übungen auch getestet. Bislang erfolgen Meldungen über Cyber-Attacken an das Bundesamt für Sicherheit in der Informationstechnik BSI noch auf freiwilliger Basis, doch wird dies offensichtlich nicht intensiv genutzt. Im BSI wurde im Februar 2011 das Nationale Cyber-Abwehrzentrum eingerichtet, um Abwehrmaßnahmen durch Cyber-Angriffe zentral erkennen und Maßnahmen koordinieren zu können.

In den USA und Großbritannien gab es große Übungen im Finanzdienstleistungsbereich, um sich auf einen solchen Anschlag vorzubereiten.

Die Top 100 Passwörter von Adobe-Kunden

Abgelegt in: IT-Security 6. November 2013Matthias Hämmerle Antworten

Bekanntlich sind bei dem Adobe-Hack 38 Millionen Kundendaten von Hackern erbeutet worden. Darunter auch mein Account bei Adobe, wie ich mittlerweile hier recherchieren konnte (auf eigene Gefahr!).

Jetzt sind die meistgenutzten 100 Passworte veröffentlicht worden. Die Passwörter zeigen dass die Bezeichnungen “Fahrlässigkeit” und “Einfallslosigkeit” bei der Wahl des Passworts noch deutlich untertrieben sind.

Hier die Liste des Schreckens:

Quelle: http://stricture-group.com/files/adobe-top100.txt

[table id=2 /]

ISO 27001:2013 veröffentlicht

Abgelegt in:

IT-Security
- Standards

27. September 2013Matthias Hämmerle Antworten

Die lange erwartete Überarbeitung der beiden Standards ISO 27001 und ISO 27002 ist abgeschlossen. Die Standards stehen bei der ISO im Shop zum Kauf und Download zur Verfügung.

Die neuen Standards reflektieren die aktuellen Anforderungen an die Informationssicherheit und entsprechen in ihrem Aufbau der neuen Struktur der ISO-Standards.

Mehr als 1.000 Banken in den USA üben eine Cyber-Attacke auf den Zahlungsverkehr

Abgelegt in:

Cyber Kriminalität

24. September 2013Matthias Hämmerle Antworten

Im Rahmen einer zweitägigen Übung werden am 16. und 17. Oktober sowie am 23. und 24. Oktober 2013 über 1.000 Banken den Cyber-Angriff auf Zahlungsverkehrssysteme üben. Bereits in 2012 war eine vergleichbare Übung durchgeführt worden. Die Übung in den USA ist offen für alle Banken, die am Zahlungsverkehr teilnehmen. Die teilnehmenden Banken erhalten an den beiden Übungstagen morgens jeweils ein Szenario, das bis Mitternacht des gleichen Tages online per Fragebogen beantwortet werden muß. Für die Teilnehmer steht nach Abschluß der Übung ein anonymer Vergleich mit Peer-Daten zur Verfügung (Industrie, Lokation, Größe etc.). Die Teilnahme ist kostenfrei.

Quelle: BankInfoSecurity

Wo können Geheimdienste Daten abfragen?

Abgelegt in: Informationssicherheit 6. Juli 2013Matthias Hämmerle 1 Antwort

Diese Visualisierung von OpenDataCity zeigt exemplarisch, wie bei der Nutzung populärer Dienste von Deutschland aus, Datenpakete durch die Leitungen wandern – und auf diesem Weg von verschiedenen Geheimdiensten abgegriffen werden könnten. Bitte einen Dienst wählen: