[datensicherheit.de, 21.03.2021] Greg Day, „VP“ & „CSO“ für die EMEA-Region bei Palo Alto Networks blickt in seinem aktuellen Kommentar auf die Ursprünge der Computerviren zurück: Mitte März 1971 sei „Creeper“, der erste Computervirus, aufgetaucht. Damals sei die Idee eines Computervirus indes noch nicht erfunden gewesen – „Creeper“ sei als experimentelles, selbstreplizierendes Programm konzipiert worden und habe auf den von ihm befallenen Systemen eigentlich nur wenig Schaden angerichtet. Die wichtigste Auswirkung auf die befallenen Rechner war demnach, dass er die Nachricht anzeigte: „Ich bin Creeper, fangt mich, wenn ihr könnt!“ 50 Jahre später stelle sich nun die Frage, wie sich Cyber-Angriffe entwickelt und die Motivationen der Cyber-Kriminellen verändert haben.

Foto: Palo Alto Networks

Greg Day: Techniken und Trends wiederholen sich, aber mit einem neuen Dreh…

Grundidee eines sich selbst replizierenden Computer-Wurms immer noch lebendig

Day führt aus: „50 Jahre später ist die Grundidee eines sich selbst replizierenden Wurms immer noch lebendig. Mit der Cyber-Kriminalität ist es wie mit der Mode. Es ist sehr selten, dass wir eine völlig neue Methode der Vireninfektion oder -übertragung sehen. Techniken und Trends wiederholen sich, aber mit einem neuen Dreh. Die Herangehensweise von Cyber-Kriminellen ist häufig: ,Ich nehme ein bisschen von hier und ein bisschen von dort, um etwas Neues zu schaffen‘.“
Es stimme, dass es bei der Weiterentwicklung der Technologie, sei es bei Betriebssystemen, Geräten oder Software, schwer zu erkennen sei, wenn ein 15 Jahre altes Konzept wiederauftauche, „da die Methode wie ein neues Konzept erscheinen mag“. In Wirklichkeit handele es sich aber wahrscheinlich um ein altes Konzept, „das an einem neuen Ort angewendet wird“.

Computer schon in der DOS-Ära bedroht: „Casino“-Virus als Vorläufer von Ransomware

Zum Beispiel sei „SolarWinds“ unter jedem anderen Namen eine APT (Advanced Persistent Threat). Es sei nur eine gezielte Bedrohung für bestimmte Angriffsziele gewesen, „die hartnäckig war“. Ein APT-Angriff sei wohl von den frühen facettenreichen, vielschichtigen Angriffen wie „Nimda“ inspiriert worden, habe sich aber nur auf eine bestimmte Untergruppe von Angriffszielen konzentriert.
Ein weiteres Beispiel sei der „Casino“-Virus aus der Zeit vor der Jahrtausendwende, ein DOS-Virus, welcher die Kontrolle über Daten übernommen und den Opfern die Möglichkeit gegeben habe, auf gut Glück zu versuchen, ihre Daten zurückzubekommen, oder anzurufen und zu bezahlen. „Man könnte also sagen, dass dies der Vorläufer von Ransomware war“, so Day.

Führungskräfte sollten für ihre Computer Sicherheit ermöglichen, ohne die Entwicklung zu beeinträchtigen

Unternehmen müssten sich darüber im Klaren sein, dass Cyber-Angriffe immer raffinierter würden. Im Zuge der Digitalen Transformation sollten Unternehmen nicht zwischen dem Entwicklungstempo und dem Schutz ihrer Daten wählen. Day betont: „Sie müssen in einen ganzheitlichen Ansatz für die Cyber-Sicherheit investieren. Dieser sollte integriert sein, um volle Transparenz darüber zu bieten, wo und wie Cyber-Angreifer überall im Netzwerk eindringen könnten.“
Laut Day sollte dieser Ansatz Automatisierung nutzen, damit keine Bedrohung unbemerkt bleibe, und Einfachheit gewährleisten, um es simpler zu machen sicher zu bleiben. „Auf diese Weise können Führungskräfte Sicherheit ermöglichen, ohne die Entwicklung zu beeinträchtigen“, so Days Fazit.

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2021
Microsoft Exchange Server: Gefährdete Server und Patching-Tempo ermittelt

Palo Alto Networks Blog
Cybersecurity Canon Candidate Book Review: The Adolescence of P-1

[datensicherheit.de, 13.10.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Prof. Dieter Kugelmann, erinnert in seiner Stellungnahme vom 13. Oktober 2020 am ein bedeutsames Jubiläum: „Heute vor 50 Jahren, am 13. Oktober 1970, trat in Hessen das weltweit erste Datenschutzgesetz in Kraft. Es folgten Schweden (im Jahr 1973) und als Nummer drei Rheinland-Pfalz (1974).“

Datenschutz als Reaktion auf zunehmende Befürchtungen vor einem Überwachungsstaat

Professor Kugelmann erläutert: „Mit dem hessischen Gesetz brach eine neue Ära der Gesetzgebung zum Schutz personenbezogener Daten an. Zur damaligen Zeit Datenschutzgesetze anzugehen, war mutig und fortschrittlich: Zum einen reagierte man auf die zunehmenden Befürchtungen vor einem ,Überwachungsstaat‘. Zum anderen hatten die Gesetzgeber im Blick, dass sich in verschiedenen Wirtschafts- und Lebensbereichen die elektronische Verarbeitung von Daten immer weiter ausbreitete.“
Der Schutz der Daten der Bürger, „die kopiert, verschickt und gespeichert werden konnten“, sei immer wichtiger geworden. Die damaligen Gesetze hätten – entsprechend der Zeit – zwar noch nicht berücksichtigt, „was heute selbstverständliche Datenschutzgrundsätze sind – etwa die Verarbeitung von personenbezogenen Daten nur mit Rechtsgrundlage, etwa der Einwilligung der betroffenen Personen“. Sie hätten aber den Grundstein für die folgenden Entwicklungen gelegt.

In Hessen von Anfang an eine offiziell ernannte, unabhängige Persönlichkeit für den Datenschutz

Die Gesetze in Hessen und Rheinland-Pfalz hätten ähnliche Regelungen aufgewiesen, aber auch Unterschiede: „In Hessen war von Anfang an vorgesehen, dass sich eine offiziell ernannte und unabhängige Persönlichkeit um den Datenschutz kümmert – ähnlich den heutigen Landesdatenschutzbeauftragten. Rheinland-Pfalz ging zunächst einen anderen Weg: Es wurde ein Landtags-Ausschuss für Datenschutz und später eine Datenschutzkommission mit Vertretern aus Parlament und Landesregierung eingesetzt.“
Ein Landesbeauftragter sei in Rheinland-Pfalz erst 1991 gewählt worden. „Was vor 50 Jahren in Hessen begann, ist eines der zentralen Themen des 21. Jahrhunderts – nämlich der Schutz der Daten der Bürgerinnen und Bürger und das Recht auf informationelle Selbstbestimmung in einer digitalen Welt, in der vielfach Algorithmen die Verarbeitung personenbezogener Daten bestimmen.“ Die digitale und technologische Revolution der vergangenen und künftigen Jahre werde der Datenschutz weiterhin konstruktiv begleiten, betont Professor Kugelmann: „So wie die Datenberge anwachsen und immer mehr Lebensbereiche erfassen, muss sich auch der Datenschutz als notwendiges Korrektiv dabei weiterentwickeln.“

Weitere Informationen zum Thema:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 13.10.2020
50 Jahre Datenschutz in Hessen

datensicherheit.de, 22.05.2020
Prof. Dieter Kugelmann bilanziert 2 Jahre DSGVO