Der News Blog zu Business Continuity Management und IT Service Continuity Management
Im Rahmen der ISO 27000er-Familie ist aktuell der Standard zur Information security governance neu erschienen:
“ISO/IEC 27014:2013 provides guidance on concepts and principles for the governance of information security, by which organizations can evaluate, direct, monitor and communicate the information security related activities within the organization.”
Der Standard kann bei der ISO bezogen werden.
Auch modernste und teuerste Militärtechnik ist verwundbar. Penetrationstests des Netzwerks der USS Freedom haben nun Schwächen in der Netzwerksicherheit der Kampfmaschine aufgezeigt. Diese waren jedoch nicht so groß, um den geplanten 8-monatigen Aufenthalt in Singapur zu verhindern. Die Penetrationstests werden von der Navy regelmäßig für die ganze Flotte und einzelne Schiffe durchgeführt.
Die von Lockheed hergestellte USS Freedom ist das erste Schiff einer neuen hochmodernen Flotte der US Navy.
Quelle: huffingtonpost
Hacker haben heute den Twitter-Account der Nachrichten-Agentur AP gehackt und die Nachricht von zwei Explosionen im Weißen Haus verbreitet. Präsident Obama sei dabei verletzt worden, so die Tweets. Innerhalb von drei Minuten verlor der S&P 500 Index über 136 Milliarden Dollar an Wert. Der Dow Jones verlor 143 Punkt im freien Fall. Die Märkte erholten sich innerhalb weniger Minuten wieder.
Der Vorfall zeigt, welche Bedeutung die sozialen Medien mittlerweile auch als Informationslieferanten für die Finanzmärkte haben.
Auch bei dem Bombenanschlag auf den Marathonlauf in Boston kamen die ersten Nachrichten über Twitter. Doch auch in diesem Fall gab es zahlreiche Falschmeldungen.
Vorsicht ist also geboten, zumal Twitter-Accounts regelmäßig gehackt werden und Falschmeldungen oder Links zu Webseiten mit Malware über die gekaperten Accounts versandt werden. Dadurch dass die Meldungen vermeintlich von Bekannten oder Freunden kommen, ist das Risiko hoch darauf hereinzufallen.
Quelle: Guardian
Bei einer Hackerattacke von Anonymous sollen 4.000 Kontaktdaten eines geheimen Notfallplans der US-Notenbank Fed veröffentlicht worden sein. Die 4.000 Banker sollten in einem Notfall von der Fed kontaktiert werden, um die Geldversorgung aufrecht zu erhalten. Die Zentralbank räumt einen Zugriff von Hackern auf eine interne Seite ein, ohne dass jedoch kritische Daten eingesehen oder entwendet worden wären.
Quelle: sueddeutsche
Wie der Nachrichtendienst twitter im eigenen Blog mitgeteilt hat, sind rund 250.000 Konten von twitter-Nutzern gehackt worden. twitter informiert die betroffenen Nutzer per email.
“This week, we detected unusual access patterns that led to us identifying unauthorized access attempts to Twitter user data. We discovered one live attack and were able to shut it down in process moments later. However, our investigation has thus far indicated that the attackers may have had access to limited user information – usernames, email addresses, session tokens and encrypted/salted versions of passwords – for approximately 250,000 users.
As a precautionary security measure, we have reset passwords and revoked session tokens for these accounts. If your account was one of them, you will have recently received (or will shortly) an email from us at the address associated with your Twitter account notifying you that you will need to create a new password. Your old password will not work when you try to log in to Twitter.”
Am vergangenen Mittwoch gab die Zeitung The New York Times bekannt, dass Hacker über vier Wochen in ihre Systeme eingedrungen waren, nachdem Journalisten der NYT über Geschäfte des chinesischen Premierministers Wen Jiabao recherchiert hatten. Dieser Beitrag in csoonline gibt interessante Hintergründe über den Ablauf der Attacke und die Maßnahmen zur Bekämpfung. Interessant ist zum Beispiel, dass die Hacker 45 Malwareprogramme in die Systeme der NYT einschleusen konnten, ohne dass die eingesetzte Antivirenlösung auch nur eine dieser Malware erkannt hätte. Erst eine Analyse des Datenverkehrs auf Auffälligkeiten führten zur Detektion der Attacke. Der für die Analyse beauftragte Dienstleister Mandiant rechnet diese Attacke einer Gruppe namens “A.P.T. Number 12” zu, einer chinesischen Gruppe, die Unternehmen auf der ganzen Welt mit modernsten Methoden ausspioniert. Der Autor kommt zum Schluß, dass es keine Technologien gibt, um einen derartigen Angriff abzuwehen: “In general, there is no one technology to combat a sophisticated attack like the one against The Times.”
Wie Bank Info Security berichtet, hat ein Datenleck im April 2012 dem amerikanischen Zahlungsverkehrsdienstleister Global Payments Inc. 2012 Kosten von rund 94 Millionen Dollar verursacht. 1,5 Millionen Karten waren von dem Einbruch in das Zahlungsverkehrssystem betroffen. Zwei Drittel der Kosten entfielen auf Beraterhonorare und Ausgleichszahlungen an Geschäftspartner. 35,9 Millionen Dollar entfielen auf Verluste durch Betrug und Strafzahlungen. Mit diesen Kosten liegt der Zahlungsverkehrsdienstleister noch unter den erwarteten Kosten, da Vereinbarungen über geringere Zahlungen mit einigen Netzwerkprovidern erreicht werden konnten. Für 2013 werden von Global Payments Inc. jedoch noch weitere Kosten in Höhe von 25 bis 35 Millionen Dollar erwartet. Die Höhe und der Zeitpunkt von Versicherungsleistungen ist hingegen noch ungewiss. Das Datenleck hat demzufolge Kosten von deutlich über 100 Millionen Dollar verursacht.
Paypal beziffert den Schaden durch eine Distributed Denial of Service-Attacke auf die eigene Webseite im Dezember 2011 auf rund 3,5 Millionen Pfund (4,3 Millionen Euro). Die DDoS-Attacke auf PayPal, Visa und Master Card wurde von Anonymous nach der Einstellung der Zahlungsfunktionen der Dienstleister für WikiLeaks initiiert. PayPal musste Mitarbeiter vom Mutterunternehmen Ebay einsetzen, sowie zusätzliche Hardware zur Abwehr der Attacke installieren. Hinzu kommen Geschäftsverluste durch den Ausfall von Zahlungen sowie ein Reputationsschaden. Die Schadenshöhe wurde von PayPal im Rahmen eines Gerichtsverfahrens gegen den 22-jährigen Studenten Weatherhaed genannt. Weatherhaed soll eine zentrale Figur in der DDoS-Attacke sein.
Laut einer aktuellen Meldung des Handelsblatts plant Innenminister Friedrich ein Gesetz, das die Betreiber Kritischer Infrastrukturen KRITIS dazu verpflichtet, “erhebliche IT-Sicherheitsvorfälle” zu melden. Daneben soll die Pflicht zur Erfüllung von IT-Sicherheit der Betreiber kritischer Infrastrukturen gesetzlich geregelt werden.
Der Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen nimmt damit konkrete Gestalt an. Es war bereits abzusehen, dass Betreiber kritischer Infrastrukturen stärker in die Pflicht genommen werden. Ein Gesetz zur Meldepflicht würde diesen Prozess deutlich beschleunigen und die Kritis-Betreiber konkret in die Pflicht nehmen. BCM-News hatte hierüber im Oktober 2011 bereits berichtet.
Dies ist eines der Ergebnisse der IT-Manager Studie 2012, die von Quantum in Auftrag gegeben wurde. Befragt wurden 500 IT-Entscheider aus USA, Europa und Asien. Nur 10 Prozent der Studienteilnehmer halten ihre Daten für katastrophensicher. 27 Prozent der Teilnehmer hatten einen Zwischenfall bei der Datensicherheit. Die Datensicherheit ist dabei weniger durch Naturkatastrophen bedroht, sondern durch Virenattacken und Betriebssysteme. Auf der positiven Seite vermerkt die Studie, dass Business Continuity und Disaster Recovery zu den wichtigsten Prioritäten in den IT-Budgets für 2012 zählen.
Quelle: IT-Business
Dropbox erfreut sich als Cloud-Speicherdienst in Verbindung mit Smartphones wachsender Beliebtheit. Mit der zunehmenden und einfachen Nutzung wandern auch immer mehr vertrauliche Daten der Nutzer in der Dropbox.
Wie der Anbieter jetzt in seinem Corporate Blog selbst erklärte, wurden in jüngster Zeit Passworte und Email-Adressen für den Zugang zu Dropbox gestohlen. Eines der entwendeten Passworte wurde dazu genutzt, in den Dropbox-Account eines Mitarbeiters einzudringen. Dabei wurden Email-Adressen von Nutzern entwendet. Die Email-Adressen wurden für Spam verwendet. Dropbox hat die betroffenen Kunden kontaktiert. Wer auf den Komfort von Dropbox nicht verzichten möchte, sollte die Daten innerhalb der Dropbox verschlüsseln. Dies lässt sich über die Anlage verschlüsselter Verzeichnisse realisieren oder über Zusatzsoftware wie boxcryptor, die die Ver- und Entschlüsselung automatisch erledigt.
ibi research hat diese Studie zum Status der Informationssicherheit und Notfallmanagement nach 2010 bereits zum zweiten Mal gemeinsam mit dem SecuMedia-Verlag und dem Bundesamt für Sicherheit in der Informationstechnik BSI durchgeführt. Die Befragung umfasst 260 Datensätze.
Die Studienteilnehmer messen dem Notfallmanagement im Vergleich zur Informationssicherheit einen wesentlich geringeren Stellenwert zu. Die Qualität des Notfallmanagements wird demgegenüber überwiegend schlecht eingeschätzt.
Eine Management Summary der Studie mit drei zentralen Ergebnissen wird auf der Webseite von ibi zur Verfügung gestellt. Die Studie mit über 100 Seiten kann dort im ibi-Shop zu einem Preis von 295 Euro zzgl. Versandkosten bestellt werden.