Viele Fertigungs- oder Logistikbetriebe verwenden mittlerweile vernetzte Technologie, um Prozesse zu beschleunigen und flexibler zu gestalten. Dabei befinden sich ganze Lieferketten im Netzwerk, die zur Zielscheibe von Cyberkriminellen werden. Einige Systeme und Prozesse unterliegen enormen Abhängigkeiten und müssen perfekt funktionieren, wie beispielsweise in der Automobilindustrie. Störungen und Ausfälle der Supply Chain, die durch Cyberkriminelle verursacht werden, können aufgrund dessen verheerende Auswirkungen haben.

Ross Brewer, Vice President & Managing Director EMEA bei LogRhythm äußert sich folgendermaßen:

„Cyberkriminelle sind immer auf eine Sache aus – Daten. Die umfangreichsten und lukrativsten Datenbestände befinden sich in den größten Unternehmen. Aufgrund der Komplexität der Führung eines großen Unternehmens verfügen diese Unternehmen über die umfassendsten und komplexesten Lieferketten.

Von Drittanbietern bis zu White-Label-Kunden ist jede Verbindung mit einem anderen Unternehmen ein potenzieller Schwachpunkt, und Cyberkriminelle sind mehr als gewillt sie auszunutzen. Die Verstöße gegen Best Buy, Sears, Kmart und Delta des vergangenen Jahres wurden beispielsweise durch Schwachstellen in einer Chat-App eines Drittanbieters konstruiert.

Es gibt kein Allheilmittel, um Ihr Netzwerk zu sichern. Die Netzwerke Ihrer Lieferanten bleiben auf unbestimmte Zeit sicher. Es ist eine Frage ständiger Sorgfalt und sorgfältiger Prozesse. Unternehmen müssen sicherstellen, dass sie ihren Lieferanten vertrauen und die von ihnen verwendeten Anwendungen überprüfen. Organisationen können Anwendungs-Whitelists erstellen, die sicherstellen, dass Systeme neuer Lieferanten während des Beschaffungsprozesses in begründeten Zweifeln als sicher betrachtet werden können.

Dies sind Vorsichtsmaßnahmen, aber in der heutigen Bedrohungslandschaft ist es fast unvermeidlich, dass ein Verstoß auftritt. Es ist ein schwieriger Brocken, der zu schlucken ist, aber wenn Unternehmen sich damit abfinden können, können sie dennoch den Schaden durch einen Verstoß mindern. Der Fokus auf die Mean time to detect (MTTD) und die Mean time to respond (MTTR) als wichtige Sicherheitsmetriken ist ein guter erster Schritt. Das heißt, eine Bedrohung erkennen und anschließend früher im Cyberattack-Lebenszyklus herunterfahren. Technologien wie Security Information and Event Management (SIEM) oder User and Entity Behavior Analytics (UEBA) automatisieren diese Prozesse zunehmend.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.09.2018
Schutz vor psychologischen Tricks von Cyberkriminellen

datensicherheit.de, 24.06.2018
Überlebensfrage: Abwehr von Cyber-Attacken auf kritische Infrastruktur

The post Logistik: Vorsichtsmaßnahmen zur Sicherung der digitalisierten Supply Chain appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Demonstrationen in über über 100 Städten angekündigt

[datensicherheit.de, 22.03.2019] Laut einer aktuellen Ankündigung des Digitalcourage e.V. soll am 23. März 2019 „europaweit in über 100 Städten für ein freies Internet demonstriert“ werden.

Auch deutschlandweit Demonstrationen am 23. März 2019

In Deutschland werden demnach engagierte Menschen von Berlin bis Köln, von Flensburg bis Freiburg auf die Straße gehen.
Auf der Webseite „https://savetheinternet.info/demos“ seien alle Städte, Treffpunkte und Uhrzeiten zu finden.

Streit um Artikel 13

Im Streit um Artikel 13 der Europäischen Urheberrechtsreform geht es um die Frage, ob Online-Plattformen alle Inhalte, die Nutzer hochladen möchten, automatisch filtern müssen, um urheberrechtlich geschützte Inhalte zu blockieren.
Technisch umgesetzt wird das mit sogenannten Upload-Filtern.

Screenshot: „savetheinternet.info/demos“

Demonstrationen am 23.03.2019: Alle Städte, Treffpunkte und Uhrzeiten

Weitere Informationen zum Thema:

Save the Internet
The Internet is in danger and you can save it!

#SaveYourInternet
Raise Your Voice and Act Against Article 17 [ex Art. 13]: Contact Your MEPs & Government / What You Can Do To #SaveYourInternet – And Why You Should!

digitalcourage, 07.03.2019
Uploadfilter: Artikel 13 ist nicht das einzige Problem

datensicherheit.de, 21.03.2019
Upload-Filter: Einer pluralistischen Demokratie unwürdig

datensicherheit.de, 08.03.2019
Urheberrechtsreform: Protestabschaltung bei Wikipedia Deutschland

datensicherheit.de, 17.02.2019
Upload-Filter: Faires europäisches Urheberrecht wird verspielt

datensicherheit.de, 21.01.2019
eco: Chance für ein faires europäisches Urheberrecht nutzen

datensicherheit.de, 11.09.2018
EU-Urheberrechtsrichtlinie: eco nimmt Stellung zur erneuten Abstimmung

datensicherheit.de, 05.07.2018
Urheberrechtsreform: Europäisches Parlament stimmt im September 2018 ab / Upload-Filterpflicht zunächst abgewiesen – Bitkom und Digitalcourage beziehen Stellung zur aktuellen Entscheidung

datensicherheit.de, 29.06.2018
2% der MEPs könnten das Internet zerstören

datensicherheit.de, 24.06.2018
Bitkom-Kritik an Entwurf zur neuen EU-Urheberrechtsrichtlinie

The post Für ein freies Internet: Europaweite Proteste am 23. März 2019 appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 21.03.2019] Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat zu dem jüngsten Datenschutz-Vorfall bei facebook Stellung genommen: Der „aktuelle Skandal“ belege, dass facebook das Thema Datenschutz immer noch „stiefmütterlich“ behandele. Gerade weil die facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden könnten, sollten Nutzer dieses Sozialen Netzwerks unbedingt ihre Passwörter ändern.

Kunden unnötigem Risiko ausgesetzt

Bei dem BfDI hat der erneute Skandal nach eigenen Angaben „vor allem Kopfschütteln“ ausgelöst: „Es ist zwar traurig, aber ein Datenschutzvorfall bei facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.“
Damit setze facebook seine Kunden einem „unnötigen Risiko“ aus. Kelber: „Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Stand der Technik: Passwörter regelmäßig nur in verschlüsselter Form speichern

Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssten, ob Zugangskennung und Passwort zueinander passen, sei es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert.
Bei einem ähnlich gelagerten Fall habe der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.

Problem bereits seit Januar 2019 bekannt

Der BfDI sei sich daher sicher, „dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird“: Zum einen müsse geklärt werden, „ob facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat“.
Das Problem scheine ja bereits seit Januar 2019 bekannt gewesen zu sein. Unabhängig davon werde die in Europa zuständige Irische Datenschutzbeauftragte „sicherlich die Einleitung eines Bußgeldverfahrens prüfen“. Kelber kündigt zudem an: „Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Zugriff auf weitere gegebenenfalls sehr sensible Daten möglich

facebook habe am 21. März 2019 bekanntgegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern gelegen hätten und so für mehr als 20.000 Mitarbeiter zugänglich gewesen seien.
Besonders kritisch sei der Fall, weil diese Daten nicht nur für den Zugang zum Sozialen Netzwerk selbst, sondern auch als „Single Sign-On“ genutzt werden könnten – viele weitere Apps oder Online-Dienste ermöglichten es, sich mit den facebook-Zugangsdaten bei ihnen anzumelden. So gewährten die Daten potenziell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. „facebook-Nutzer sollten daher dringend ihr Passwort ändern“, rät der BfDI abschließend.

Aktualisierung vom 22.03.2019, 13.15 Uhr:

Im Nachgang der Veröffentlichung seiner Pressemitteilung vom 21. März 2019 hat der BfDI nach eigenen Angaben erfahren, dass facebook die Kundenpasswörter in seiner Passwort-Datenbank doch verschlüsselt speichert – „stattdessen waren die in Rede stehenden Passwörter offenbar in Log-Files im Klartext gespeichert“.
Ulrich Kelber unterstreicht: „An der grundsätzlichen Bewertung des Vorfalls ändern die neuen Erkenntnisse nichts. Wenn überhaupt macht es die ganze Sache noch schlimmer, da Passwörter – egal ob verschlüsselt oder im Klartext – generell nichts in Log-Files zu suchen haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2019
Bundeskartellamt geht gegen facebook vor

datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke

datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook

The post facebook: Erneut erhebliche Datenschutzdefizite appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

ALDE Group im Europäischen Parlament erhält Brief von Nicola Beer, Jimmy Schulz und Manuel Höferlin

[datensicherheit.de, 21.03.2019] Mit Datum vom 21. März 2019 haben die drei FDP-Bundestagsabegeordneten Nicola Beer, Spitzenkandidatin bei der Europawahl 2019 und FDP-Generalsekretärin, Manuel Höferlin als der digitalpolitische Sprecher im Deutschen Bundestag und Jimmy Schulz, der Vorsitzende des Ausschusses „Digitale Agenda“ im Deutschen Bundestag einen Brief an die Mitglieder der ALDE Group im Europäischen Parlament gerichtet: Man möchte durchaus „ein modernes europäisches Urheberrecht, eine starke und unabhängige Presse sowie eine freie Netzkultur“ – allerdings gefährde Artikel 13 des Kompromisses der EU-Urheberrechtsreform das Grundrecht auf freie Meinungsäußerung.

Konsequent „nein“ zu Upload-Filtern in der EU!

Die Debatte um Upload-Filter sei „zunehmend verstrickter“ geworden und habe „abstruse Züge“ angenommen, so Jimmy Schulz. Dabei sei es so einfach: „Sagt konsequent nein zu Upload-Filtern in der EU!“
Die Richtlinie sei in dieser Form „Mumpitz“. Schulz: „Wir wollen ein freies, offenes Netz, keine Zensurinfrastruktur und die Meinungsfreiheit schützen.“

Automatisierte Zensur im Digitalen Raum befürchtet

Der vorliegende Kompromiss der EU-Urheberrechtsreform werde zwangsläufig eine Infrastruktur schaffen, die Inhalte bereits vor Veröffentlichung auf Online-Plattformen einer Prüfung unterziehen würde.
Die drei MdB‘ teilen nach eigenen Angaben die Befürchtung vieler Kollegen im Europäischen Parlament sowie aus Wirtschaft und Gesellschaft, dass diese Upload-Filter einer „automatisierten Zensur“ im Digitalen Raum gleichkämen, und verweisen auf die „fast fünf Millionen Unterzeichnerinnen und Unterzeichnern der Petition ,#savetheinternet‘“.

Upload-Filter kein verhältnismäßiges Mittel

In Deutschland würden am 23. März 2019 Zehntausende Bürger auf die Straße gehen, um gegen Upload-Filter und Zensur zu demonstrieren. Die FDP unterstütze diese Demonstrationen aktiv.
Bereits jetzt gebe es Forderungen, diese Filter auf andere Rechtsbereiche auszuweiten. Upload-Filter seien allerdings „kein verhältnismäßiges Mittel, um Urheberrechtsverletzungen und sonstige illegale Inhalte im Netz wirksam zu verhindern“. Sie seien zudem nicht in der Lage, Satire, Zitate oder Parodien zu erkennen.

Recht auf freie Meinungsäußerung im Netz schrittweise eingeschränkt

Es sei technisch nicht möglich, legale und illegale Inhalte im Internet automatisiert zu unterscheiden, somit komme es zur Blockierung legaler Inhalte. So werde das Recht der Bürger auf freie Meinungsäußerung im Netz „schrittweise eingeschränkt“.
Europa müsse aber „Vorbild in Sachen Bürgerrechte und Rechtsstaatlichkeit“ sein, so der Appell der drei Bundestagsabgeordneten an das Europäische Parlament.

Screenshot: MdB-Schreiben Nicola Beer, Jimmy Schulz und Manuel Höferlin an ALDE Group im EU-Parlament

schreiben-nicola-beer-jimmy-schulz-manuel-haeferlin-alde-group-eu-parlament

Weitere Informationen zum Thema:

datensicherheit.de, 21.03.2019
Upload-Filter: Einer pluralistischen Demokratie unwürdig

datensicherheit.de, 08.03.2019
Urheberrechtsreform: Protestabschaltung bei Wikipedia Deutschland

datensicherheit.de, 17.02.2019
Upload-Filter: Faires europäisches Urheberrecht wird verspielt

datensicherheit.de, 21.01.2019
eco: Chance für ein faires europäisches Urheberrecht nutzen

datensicherheit.de, 11.09.2018
EU-Urheberrechtsrichtlinie: eco nimmt Stellung zur erneuten Abstimmung

datensicherheit.de, 05.07.2018
Urheberrechtsreform: Europäisches Parlament stimmt im September 2018 ab / Upload-Filterpflicht zunächst abgewiesen – Bitkom und Digitalcourage beziehen Stellung zur aktuellen Entscheidung

datensicherheit.de, 29.06.2018
2% der MEPs könnten das Internet zerstören

datensicherheit.de, 24.06.2018
Bitkom-Kritik an Entwurf zur neuen EU-Urheberrechtsrichtlinie

The post Artikel 13: FDP-Bundestagsabgeordnete schreiben Protestbrief appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Dr. Bernhard Rohleder warnt vor „Meinungsfreiheit nur auf Antrag“

[datensicherheit.de, 21.03.2019] Die sogenannte EU-Urheberrechtsrechtsreform steht kurz vor dem Abschluss: So soll am 26. März 2019 hierzu die finale Debatte im EU-Parlament stattfinden. Um die in diesem Zusammenhang geplanten Upload-Filter findet eine engagierte Diskussion statt – ein breites Bündnis aus den Reihen der Zivilgesellschaft und Digitalwirtschaft, aber auch Netzpolitiker stellen sich gegen den Artikel 13 des Richtlinienentwurfs.

Zensurgefahr hat viele Menschen in Deutschland und Europa aufgeschreckt

Aus Protest gegen die fehlgeleitete Urheberrechtsreform ging Wikipedia am 21. März 2019 für einen ganzen Tag offline – sie sei nicht nur das wichtigste Online-Lexikon, sondern auch ein Symbol für die Meinungsfreiheit im Netz, so Dr. Bernhard Rohleder, der Bitkom-Hauptgeschäftsführer.
Die Zensurgefahr durch geplante Upload-Filter habe viele Menschen in Deutschland und Europa aufgeschreckt.

Alle Inhalte vor Veröffentlichung automatisch filtern

„Der Protest geht durch alle gesellschaftlichen Schichten und Gruppen“, so Dr. Rohleder. Nach aktuellem Stand hätte Artikel 13 zur Folge, dass zahlreiche Plattformen alle Inhalte vor ihrer Veröffentlichung automatisch filtern und im Zweifel einen Upload blocken müssten.
Erst bei berechtigten Beschwerden von Nutzern würden zuvor blockierte Inhalte hochgeladen werden. „Meinungsfreiheit nur auf Antrag – das ist einer pluralistischen Demokratie unwürdig“, betont der Bitkom-Hauptgeschäftsführer.

Screenshot: https://wikipedia.de 21.03.2019

WIKIPEDIA: „Die geplante Reform könnte dazu führen, dass das freie Internet erheblich eingeschränkt wird… Wir bitten Sie deshalb darum, die Abgeordneten des Europäischen Parlaments zu kontaktieren und sie über Ihre Haltung zur geplanten Reform zu informieren.“

Weitere Informationen zum Thema:

Abgeordnete Europäisches Parlament
Mitglieder des Europäischen Parlaments

datensicherheit.de, 08.03.2019
Urheberrechtsreform: Protestabschaltung bei Wikipedia Deutschland

datensicherheit.de, 17.02.2019
Upload-Filter: Faires europäisches Urheberrecht wird verspielt

datensicherheit.de, 21.01.2019
eco: Chance für ein faires europäisches Urheberrecht nutzen

datensicherheit.de, 11.09.2018
EU-Urheberrechtsrichtlinie: eco nimmt Stellung zur erneuten Abstimmung

datensicherheit.de, 05.07.2018
Urheberrechtsreform: Europäisches Parlament stimmt im September 2018 ab / Upload-Filterpflicht zunächst abgewiesen – Bitkom und Digitalcourage beziehen Stellung zur aktuellen Entscheidung

datensicherheit.de, 29.06.2018
2% der MEPs könnten das Internet zerstören

datensicherheit.de, 24.06.2018
Bitkom-Kritik an Entwurf zur neuen EU-Urheberrechtsrichtlinie

The post Upload-Filter: Einer pluralistischen Demokratie unwürdig appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Höchste Vorsicht beim Öffnen von E-Mails geboten

[datensicherheit.de, 18.03.2018] Die Gefahr, die von dem Trojaner „Emotet“ ausgeht, ist nach aktuellen Erkenntnissen der PSW GROUP „noch nicht vorüber“. Ganz im Gegenteil: „Die Risiken, die durch den Trojaner entstehen können, werden immer größer, und ,Emotet‘ gilt schon jetzt als eines der gefährlichsten Schadprogramme der Welt“, warnt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW GROUP nachdrücklich.

Virenscanner erkennen „Emotet“ oft noch nicht

Erstmal sei „Emotet“ im Dezember 2018 auf den Plan getreten. „Nachdem der Trojaner eine kleine Weihnachtspause eingelegt hat, finden sich jetzt wieder massenhaft Spam-E-Mails mit dem Schädling anbei in zahlreichen Postfächern. Hinzu kommt: Virenscanner erkennen den Trojaner oft noch nicht“, berichtet Heutger.
Auch das Bundesamtes für Sicherheit in der Informationstechnik (BSI) warne erneut vor Spear-Phishing-Attacken mit diesem Trojaner.

„Emotet“ lädt unterschiedliche Schadsoftware nach

„,Emotet‘ ist so gefährlich, weil er unterschiedliche Schadsoftware nachlädt. Bisher handelte es sich ,nur‘ um Banking-Trojaner wie ,Trickbot‘. Der habe es auf Online-Banking-Zugangsdaten abgesehen. Jetzt lädt ,Emotet‘ immer häufiger auch den Verschlüsselungstrojaner ,Ryuk‘ auf befallene Rechner“, so Heutger.
„Ryuk“ verschlüssele Dateien des Rechners. „Findet der Trojaner Backups, fallen auch die ihm zum Opfer“, warnt Heutger: „Ryuk“ lösche diese Dateien dann einfach. Das sei ganz besonders perfide, denn diese Methode diene dazu, die Zahlungsbereitschaft der erpressten Opfer deutlich zu erhöhen.

Opfer erhalten gefälschte Nachrichten von ihnen vertrauten Absendern

„Emotet“ komme gut getarnt in täuschend echt aussehenden Spam-Mails. Die Angreifer achteten dabei sehr genau darauf, E-Mails zu senden, die auf die Zielperson zugeschnitten seien: „Die Opfer erhalten Nachrichten von Absendern, mit denen sie wirklich zuletzt in Kontakt standen. So nutzten die Angreifer bekannte Absender wie die der DHL-Sendungsverfolgung, der Telekom oder Microsoft, um ihre täuschend echt aussehenden Mails zu versenden“, führt Heutger aus.
Die ahnungslosen Nutzer erhielten gefälschte E-Mails, die dem Original zum Verwechseln ähnlich sähen. Meist seien Links und Anhänge enthalten, die dafür sorgten, dass „Emotet“ auf dem Rechner landet. Manchmal, wie bei den falschen Microsoft-Mails, nutzten die Angreifer sogar das Microsoft-Logo. Heutger: „Wer die in den Mails enthaltenen Anhänge öffnet oder auf Links klickt, lädt den Trojaner ,Emotet‘ samt ,Trickbot‘ oder ,Ryuk‘ erfolgreich auf seinen Rechner.“

Schutzmaßnahmen auf organisatorischer und technischer Ebene

Mit einigen Schutzmaßnahmen auf organisatorischer und technischer Ebene reduzierten sowohl Privat- als auch Geschäftsanwender das Infektionsrisiko deutlich: „Sehr wichtig ist, vor allem auf das Nachladen externer Inhalte zu verzichten und stets, auch bei vermeintlich bekannten Absendern, skeptisch gegenüber Anhängen zu sein. Dies gilt insbesondere für ,Office‘-Dokumente. Wird bei diesen das Zulassen von Makros gefordert, sollte keinesfalls eingewilligt werden, denn diese enthalten dann den Trojaner und das Unglück nimmt seinen Lauf“, rät Heutger.
Ebenso sollten die in der E-Mail enthaltenen Links vor deren Anklicken geprüft werden. Wem eine E-Mail verdächtig vorkommt, sollte sich nicht scheuen, den Absender anzurufen und sich nach der Echtheit der E-Mail zu erkundigen.

Updates, Antiviren-Software, Backup und gesondertes Nutzerkonto…

Wer zudem Sicherheitsupdates regelmäßig und zeitnah einspielt, eine gute und stets aktuelle Antiviren-Software nutzt, seine Daten regelmäßig und idealerweise auf externen Speichermedien sichert, hat laut Heutger „gute Chancen, einem Angriff zu entgehen“.
Er empfiehlt abschließend außerdem, ein gesondertes Nutzerkonto auf dem Rechner einzurichten, mit dem online gesurft oder E-Mails abgefragt und geschrieben werden.

© PSW Group

Christian Heutger: Auch bei vermeintlich bekannten Absendern, skeptisch gegenüber Anhängen sein!

Weitere Informationen zum Thema:

PSW GROUP, 05.03.2019
Verschlüsselung / Update zu Emotet: Trojaner in Spam-E-Mails gefährlicher denn je

datensicherheit.de, 10.02.2019
Emotet: Erneute Verbreitung über gefälschte E-Mails

datensicherheit.de, 15.0^.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv

The post PSW GROUP warnt: Trojaner Emotet gefährlicher denn je appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Vectra kommentiert „Internet of Things Cybersecurity Improvement Act of 2019“

[datensicherheit.de, 18.03.2018] Die Pläne der US-Regierung zur Verbesserung der IoT-Sicherheit mittels des „Internet of Things Cybersecurity Improvement Act of 2019“ stoßen in Europa auf Interesse. „Nicht zuletzt durch Themen wie 5G und Industrie 4.0 bzw. IIoT steht die Sicherheit im Internet der Dinge auch hier hoch auf der Agenda“, kommentiert Gérard Bauer, „VP EMEA“ bei Vectra.

Sicherheitsrahmenwerk zur Bewertung potenzieller IoT-Anbieter

„Der Gesetzentwurf, der sich mit den Sicherheitsrisiken in Zusammenhang mit IoT-Risiken befasst, ist als positiver Schritt der US-Regierung zu werten“, so Bauer. Das angesehene National Institute of Standards and Technology (NIST) habe den Auftrag erhalten, ein Sicherheitsrahmenwerk zu definieren, anhand dessen potenzielle IoT-Anbieter für die US-Regierung bewertet werden könnten.
Es sei davon auszugehen, dass sich derartige staatlichen Rahmenwerke oder Standards, „wenn sie gut formuliert sind, mit der Zeit auf breiter Ebene durchsetzen werden“. Gleiches sei mit dem bestehenden NIST-Framework zur Verbesserung der Cyber-Sicherheit für Kritische Infrastrukturen (KRITIS) gelungen.

Kein Gerät oder Unternehmen tatsächlich unverletzlich

Der Fokus auf die Verbesserung der IoT-Sicherheit werde dazu beitragen, Risiken zu reduzieren. „Dennoch ist kein Gerät oder kein Unternehmen tatsächlich unverletzlich“, betont Bauer.
Verbesserte defensive Kontrollen müssten mit der Fähigkeit kombiniert werden, Angreifer zu erkennen und darauf zu reagieren. Diese Angreifer würden weiterhin versuchen, IoT-Geräte als Brückenköpfe innerhalb von Unternehmen zu nutzen, um Angriffe zu orchestrieren und Daten zu exfiltrieren.

Vermeidung design- und fertigungsbedingter IoT-Cyber-Sicherheitsrisiken

„Viele Erkennungs- und Reaktionstools erfordern Endpunkt-Software-Clients. Für die Überwachung und Erkennung versteckter Angreifer, die heimlich IoT-Geräte kapern, bietet sich jedoch das geräteunabhängige Netzwerk an“, berichtet Bauer. Die Verabschiedung eines solchen Gesetzes sei definitiv ein Schritt nach vorne, um design- und fertigungsbedingte IoT-Cyber-Sicherheitsrisiken zu vermeiden.
Bauer ergänzt abschließend: „Seitens der Eigentümer und Betreiber der IoT-Umgebungen ist jedoch zusätzliches Engagement erforderlich. Dies betrifft die Verwaltung, den Betrieb und die Überwachung von IoT-Geräten als umfassendes Maßnahmenpaket für effektive IoT-Sicherheit.“

Bild: Vectra

Gérard Bauer, „VP EMEA“ bei Vectra: Seitens der Eigentümer und Betreiber der IoT-Umgebungen zusätzliches Engagement erforderlich!

Weitere Informationen zum Thema:

SCRIBD
Internet of Things (IoT) Cybersecurity Improvement Act of 2019

datensicherheit.de, 25.02.2019
Vectra: Cyberkriminelle setzen vermehrt auf Formjacking

datensicherheit.de, 18.10.2018
(ISC)²: Globaler Mangel an 3 Millionen Experten für Cybersicherheit

The post US-Regierung schafft Rechtsrahmen zur Verbesserung der IoT-Sicherheit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

UL sieht Chancen für Hersteller und Nutzer

Ein Gastbeitrag von Alexander Köhler, Cybersecurity BD Manager weltweit bei UL für Industrie 4.0, ICS und Energie

datensicherheit.de, 17.03.2019] Mit der zunehmenden Verbreitung von Smart-Home-Geräten und professionellen vernetzten Systemen hat sich das Thema Cybersicherheit zu einer ernsten Herausforderung für Privatanwender und Unternehmen entwickelt. Hersteller stehen in der Pflicht, für die Security ihrer Produkte Rechnung zu tragen. Der Cybersecurity Act birgt Chancen, das Thema EU-weit anzugehen. Das könnte auch die Wettbewerbsposition heimischer Hersteller verbessern.

Vernetzte Produkte für Smart Living sind inzwischen fester Bestandteil des Alltags. Allerdings wachsen mit der Verbreitung solcher Geräte die Risiken für Privatanwender, wie jüngste Nachrichten zeigen. Auch Unternehmen und Behörden sind einer Vielzahl unterschiedlicher Risiken ausgesetzt. Sie sind Ziel von Hacking-Attacken, bei denen Betriebsgeheimnisse erbeutet werden, oder von Überlastungsangriffen, mit denen der Geschäftsablauf gezielt gestört wird.

Maßnahmen der EU stärken Cybersicherheit

Die Hersteller von Produkten sind aufgefordert, entsprechende Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern. Bisher fehlende transnationale Richtlinien und Zertifizierungen erschweren diese Aufgabe, zumal die Cyberkriminellen längst in internationalen Netzwerken arbeiten. Diese Situation hat die EU-Kommission auf den Plan gerufen: Der Cybersecurity Act soll die digitale Sicherheit in Europa stärken. Er umfasst im Kern zwei wichtige politische Entscheidungen:

Eine EU-Agentur für Cybersicherheit soll die Mitgliedstaaten dabei unterstützen, Cyberangriffen wirksam vorzubeugen und zu begegnen. Dafür wird das Mandat der bestehenden EU-Agentur für Netz- und Informationssicherheit (ENISA) erweitert und die Agentur mit zusätzlichen finanziellen und personellen Mitteln ausgestattet. Zu den Aufgaben der ENISA gehören bisher jährliche europaweite Cybersicherheitsübungen und eine Verbesserung des europaweiten Informationsaustauschs.
EU-weit einheitliche Cybersecurity-Zertifizierungen sollen die Sicherheit von Onlineservices und vernetzten Geräten verbessern. Die EU legt Zertifizierungsschemata für Produkte, Prozesse und Dienste fest. Existiert ein solches für z. B. ein Produkt, dann dürfen nationale Programme für dieses Produkt nicht mehr verwendet werden.
Die Zertifizierungen sind in allen Mitgliedstaaten der EU gültig, um den Verwaltungsaufwand und die Kosten für die Unternehmen zu senken. Grundsätzlich ist die Zertifizierung freiwillig, aber ein Zertifizierungsschema kann verbindlich werden, wenn das EU-Recht dies erfordert. Die Europäische Kommission wird bis 2023 eine Liste verbindlicher Zertifizierungsschemata vorlegen.

Die wichtigste Maßnahme ist der Aufbau des einheitlichen EU-Zertifizierungssystems, das so bisher nicht existiert. Zur Zertifizierung von Prozessen, Produkten und Diensten im Bereich der Informationssicherheit werden heute in den Ländern der EU bei der Mehrzahl der Zertifizierungen unterschiedliche Normen oder Zertifizierungsprogramme verlangt. Dies hat zur Konsequenz, dass zum Beispiel Hersteller von Computerhardware für jedes Land, in dem sie eine Zertifizierung benötigen, jeweils einmal den Zertifizierungsprozess durchlaufen müssen. Der Hersteller muss die Kosten auf das Produkt umlegen, was bedeutet, dass der Käufer die Mehrkosten trägt. Die Zeit, ein Produkt in einem Land in den Markt bringen zu können, wird größer, oder es wird auf eine Produkteinführung überhaupt verzichtet, weil die technische Entwicklung weiter vorangeschritten ist. Die EU möchte diese Situation ändern und einen gemeinsamen, digitalen Binnenmarkt (Digital Single Market) schaffen, indem einheitliche Kriterien für Cybersicherheit und Anerkennung von Produkten, Prozessen und Diensten gelten.

Drei Vertrauensgrade ermöglichen eine differenzierte Bewertung von Sicherheit

Für Produkte, Prozesse und Dienste werden drei Vertrauensgrade festgelegt. Diese drücken aus, inwieweit zum Beispiel der Hersteller gegenüber dem Käufer oder Anwender Sicherheit versprechen kann.

Der Vertrauensgrad „grundlegend“ bedeutet, dass man der in dem Zertifikat oder der Selbsterklärung (z. B. der Konformität) beschriebenen Sicherheit eingeschränkt vertrauen kann und dass Maßnahmen mit dem Ziel getroffen wurden, das Risiko von Zwischenfällen zu senken.

Beim Vertrauensgrad „werthaltig“ spricht man von einem wesentlichen Maß an Vertrauen und wesentlich gesenkten Risiken.

Der Vertrauensgrad „hoch“ soll den höchsten Grad von Vertrauen darstellen, wobei Maßnahmen zu dem Zweck getroffen wurden, dass Zwischenfälle überhaupt vermieden werden. Um einen Vertrauensgrad zu erreichen, müssen entsprechende Maßnahmen getroffen werden, zu deren Auswahl ein Risikomanagement eingesetzt wird, um die Anwendung, die Umgebung und mögliche Auswirkungen zu betrachten.

Verbraucher und Anwender profitieren von zertifizierter Sicherheit

„Der Vertrauensgrad ‚grundlegend‘ wird gelegentlich mit dem CE-Kennzeichen verglichen. Es stimmt zwar, dass beide auf einer Selbsteinschätzung des Herstellers aufbauen. Allerdings ist bei Cybersecurity zu beachten, dass der Hersteller die getroffenen Maßnahmen belegen muss, mit denen er das Risiko eines erfolgreichen Angriffs auf Werte des Anwenders oder Werte Dritter gemindert hat. Das ist in der Praxis nicht trivial. Um dieses zu bewerten, benötigen die Hersteller die notwendige Kompetenz, die in der Praxis meistens durch die Nutzung der Cybersecurity-Expertise von Vertragspartnern erreicht wird. Allein dieser Umstand stellt schon einen wesentlichen Unterschied zum CE-Zeichen dar“, erläutert Alexander Köhler, Cybersecurity BD Manager weltweit bei UL für Industrie 4.0, ICS und Energie.

Zertifizierungsprogramme gründen sich auf Normen, bevorzugt auf internationalen oder harmonisierten. Im Bereich der Industrieautomation ist zum Beispiel die Normenfamilie IEC 62443 führend. Für Internet-verbundene Produkte jeglicher Art besteht etwa die Norm ANSI/CAN/UL 2900-1. Welche Normen im Rahmen des Cybersecurity Acts zum Einsatz kommen werden, wird sich in der weiteren Entwicklung zeigen.

Die Umsetzung ist geregelt. Zertifizierungen zu den Vertrauensgraden „grundlegend” und „werthaltig” dürfen nur von akkreditierten, privatwirtschaftlichen Zertifizierungsstellen durchgeführt und nur von ihnen Zertifikate ausgestellt werden – nur in besonders zu begründenden Fällen von anderen. In jedem Land muss eine Behörde für die Überwachung der Zertifizierung vorhanden sein. In Deutschland werden diese Aufgaben von der Deutsche Akkreditierungsstelle (DAkkS) für die Kompetenzprüfung mittels Akkreditierung und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Überwachung der Zertifizierung übernommen. Zertifikate zu dem Vertrauensgrad „hoch“ werden grundsätzlich vom BSI ausgestellt.

„Dadurch bekommen die Verbraucher und Anwender die notwendigen Informationen, die sie bei einer Kaufentscheidung in Bezug auf Cybersicherheit unterstützen”, kommentiert Köhler. „Unternehmen und Behörden profitieren sogar noch stärker, da sie beim Kauf von Produkten mit dem höchsten Vertrauensgrad davon ausgehen können, dass die Security-Maßnahmen so ausgelegt sind, dass mit hoher Wahrscheinlichkeit ein Angriff nicht erfolgreich sein wird.“

Die Hersteller sind gefordert, entsprechende Maßnahmen zu treffen. Da diese an vielen verschiedenen Stellen beginnen können, bietet UL alle Dienstleistungen an, die dazu notwendig sind, beginnend bei der Sicherheitsarchitektur eines Produktes bis hin zu der Entsorgung. UL deckt nach eigenen Angaben den gesamten „Secure Product Development & Lifecycle“ ab. Der Kunde kann genau das Sicherheitsniveau auswählen, das er benötigt und erreicht damit effektive, also tatsächlich wirksame, und effiziente, also kostengünstige Sicherheit.

Bild: UL

Dipl. Math. Alexander W. Köhler, Business Development Manager Cybersecurity, UL

„Im Sinne des Lebenszyklusmodells sollte noch vor‚Security-by-Design‘ das Konzept ‚Security-by-Decision‘ gesetzt werden: Ein Produktmanager sollte bereits bei der Konzeption eines Produkts entscheiden, ob er genügend Mittel in seiner Kalkulation zur Sicherstellung der Cybersecurity über den gesamten Lebenszyklus hinweg eingeplant hat, und ob anschließend noch der angestrebte Gewinn erwirtschaftet werden kann. Ist die Antwort ‚nein‘, so riskiert das Unternehmen viel Geld, die Reputation und gegebenenfalls sogar die Existenz, wenn er es trotzdem auf den Markt bringt“, führt Köhler weiter aus.

Ziel müsse es sein, Produkte ohne jede zertifizierte oder erklärte Sicherheit im Handel nicht mehr zu vertreiben. Kunden sollten ihre Kaufentscheidung vom Grad der Sicherheit abhängig machen. Ein Kraftfahrzeug ohne Sicherheitsgurt, Airbag oder ESP (Elektronisches Stabilitätsprogramm) wird in Europa als minderwertig angesehen und bekommt keine Zulassung. Vernetzte Produkte ohne relevante und geprüfte Sicherheit sind gleichermaßen problematisch und können Schäden in der direkten Umgebung oder sogar über große Entfernungen verursachen. Hersteller von minderwertigen Produkten wälzen das Risiko auf den Kunden oder die Allgemeinheit ab. Damit entsteht ein Marktvorteil gegenüber den Anbietern, die Aufwand treiben. Der Cybersecurity Act definiert die Spielregeln: Hersteller, die auf billige und minderwertige Produkte setzen, werden vom Markt verdrängt. Somit bekommen beispielsweise heimischen Hersteller, die den genannten Aufwand treiben, durch den Cybersecurity Act jetzt einen Marktvorteil.

Allerdings bildet der Cybersecurity Act zunächst nur das rechtliche Rahmenwerk, das es in der Praxis mit Leben zu füllen gilt. Diese Aufgabe kann nun in gemeinschaftlicher Arbeit vorangetrieben werden. UL arbeitet aktiv an der Entwicklung entsprechender Inhalte mit und stellt Unternehmen die notwendige Kompetenz bereit, um von der Einführung des Cybersecurity Acts zu profitieren.

Weitere Informationen zum Thema:

datensicherheit.de, 02.03.2019
Rapid7 veröffentlicht Cybersecurity-Bericht für das vierte Quartal 2018

datensicherheit.de, 30.09.2018
„Cybersecurity Tech Accord“: Zusammenarbeit für Sicherheit und Stabilität im digitalen Raum

The post Cybersecurity Act beseitigt Hemmnisse auf dem Weg zu höherer Sicherheit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 16.03.2019] Zscaler hat nach eigenen Angaben aktuelle Scamming-Kampagnen aufgedeckt. Rainer Rehm, „CISO EMEA Central“ bei Zscaler: „Betrugskampagnen mit billigen Domains und Endungen, wie .tk,.ga,.gq,.ml,.cf sind seit einigen Jahren auf dem Vormarsch“ – unter dem Begriff „Scamming“ bekannte Angriffe basierten auf der Massenregistrierung günstiger Domains und würden von Cyber-Kriminellen durchgeführt, um über gefälschte Webseiten Umsatz zu generieren.

Webseiten zunehmend anspruchsvoll gestaltet und den nachgeahmten täuschend ähnlich

„Während einige dieser nachgeahmten Webseiten schlecht gemacht sind und der Betrug leicht erkennbar ist, werden andere Seiten anspruchsvoll gestaltet und sehen der nachgeahmten Webseite täuschend ähnlich“, warnt Rehm.
Da die Sicherheitsforscher des „Zscaler ThreatLabZ“-Teams aktuell einen Anstieg von Scamming-Kampagnen hätten beobachten können, unter anderem mit gefälschten Online-Bezahlseiten, Fluggesellschaften, Online-Services aller Art und sogar Nachrichtenseiten, sei die Vorgehensweise der Hacker genauer unter die Lupe genommen worden.

2019 vor allem Einsatz vergleichbarer URL-Muster für Scams

2018 habe der Support-Betrug die Scamming-Szene dominiert: „Dabei erhielten Anwender eine Benachrichtigung über eine Malware-Infektion ihres Computersystems verbunden mit dem Hinweis, dass unter einer Support-Hotline Nummer für Abhilfe gesorgt werden könne. Die bei Anruf gegen eine Gebühr bereitgestellte Nummer war ihr Geld nicht wert“, berichtet Rehm.
Dieses Jahr kämen vergleichbare URL-Muster für die Scams zum Einsatz, wobei die angebotenen Services auf die gleiche Infrastruktur zurückgriffen. Unabhängig davon, ob die gefälschten Webseiten medizinischen Angebote enthalten, Reparaturservices, Steuer-Dienstleistungen oder Fluggesellschaften, würden das identische Webseiten-Template und die gleichen Kontakt-Nummern verwendet. Rehm: „Die Verwendung der nahezu identischen Templates weist darauf hin, dass ein Scam-Kit verwendet wird, der die Seiteninhalte automatisch generiert.“

Nutzer sollten sich URL einer Website sehr genau ansehen

„Für den Anwender wird immer schwieriger erkennbar, ob er sich noch auf der korrekten Seite oder auf einer nachgemachten Kopie befindet. Umso wichtiger ist es für Nutzer zu beachten, dass besonders wichtige und kritische Webseiten – also mit Verlust von Geld oder Reputation verbunden – besser nicht aufgrund von dringend klingenden E-Mails durch Klicken auf in den Mails eingebunden Links besucht werden sollten“, unterstreicht Rehm.
Die sichere Alternative zum Ansurfen einer wirklich gewünschten Webseite sei mit der Mühe der Direkteingabe oder der Auswahl aus den eigenen Favoriten verbunden, zahle sich aber aus. Durch Schutzmechanismen innerhalb geeigneter Security-Plattformen wie der von Zscaler angebotenen könne dieser eigene Schutz wirkungsvoll ergänzt werden. „Nutzer sollten sich die aufgerufene URL einer Website also ganz genau ansehen um sicherzustellen, dass es sich um eine echte Website handelt, bevor eine Verbindung aufgebaut oder irgendeine Art von Transaktion durchgeführt wird“, rät Rehm.

Weitere Informationen zum Thema:

zscaler, 06.03.2019
Scammers Use Cheap and Squatted Domains to Create Fake Sites

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 12.021.2019
Valentinstag am 14. Februar: Wieder droht Love Scam

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019

The post Zscaler meldet Aufdeckung aktueller Scamming-Kampagnen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 16.03.2019] Proofpoint ist es nach eigenen Angaben nun als Erstem gelungen, die Config-Datei der Schadsoftware „Nymaim“ zu decodieren. Dies sei ein wichtiger Schritt, um die Malware unschädlich zu machen, mit deren Hilfe Cyber-Kriminelle auch Anwender in Deutschland attackierten.

Einfallstor für Ransomware und Ausforschung

„Nymaim“ ist demnach eine Schadsoftware, die sowohl als Downloader als auch als Malware eingestuft wird und schon seit einigen Jahren in verschiedenen Versionen ihr Unwesen treibt.
Manche Angreifer nutzten diese Software, um PCs langfristig auszuspionieren und beispielsweise Kreditkarteninformationen oder Login-Daten fürs Online-Banking abzugreifen. Andere Cyber-Kriminelle verschlüsselten mit Hilfe von „Nymaim“ infizierte PCs mit sogenannter Ransomware, bei der die Anwender das zur Entschlüsselung des PCs benötigte Passwort erst nach einer Lösegeldzahlung erhielten – oder eben auch nicht.

Gezielte Angriffe in Deutschland, Italien, Polen und Nordamerika

In jüngster Zeit habe sich „Nymaim“ zu einem noch gefährlicheren Downloader entwickelt. Diese neue Version sei sowohl in weltweiten Kampagnen als auch bei gezielten Angriffen in Deutschland, Italien, Polen und Nordamerika zum Einsatz gekommen.
Durch die Decodierung der Config-Datei und deren Veröffentlichung hätten Security-Anbieter nun die Gelegenheit, entsprechende Filter in ihre Lösungen einzubauen. Damit möchte Proofpoint auch andere Security-Anbieter in die Lage versetzen, Anwender vor dieser Malware zu schützen.

Weitere Informationen zum Thema:

proofpoint, 12.03.2019
Nymaim config decoded

datensicherheit.de, 13.03.2019
Check Point: SimBad betrifft 150 Millionen Nutzer

datensicherheit.de, 11.03.2019
Cyberangriffe: Sicherheitsteams brauchen besseren Ansatz zur Erkennung und Abwehr

datensicherheit.de, 09.03.2019
Sicherheitslücken: Ultraschallgeräte als Einfallstore in Krankenhäusern

The post Nymaim: Config-Datei der Schadsoftware decodiert appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.