Home      Themenübersicht / Sitemap      Webmaster      
Newsletter Abo

 

162. Newsletter - sicherheitskultur.at - 31.7.2020

von Philipp Schaumann


Hier die aktuellen Meldungen:

1. Mal wieder ein interessantes Tutorial zu Kryptographie
---------------------------------------------------------
Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren
   [https://www.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen-zu-Verschluesselung-und-Verfahren-3221002.html]


2. Cloud-Probleme (Ergänzungen zum 156. Newsletter - 31.1.2020)
--------------------------------------------------------------
  https://sicherheitskultur.at/Newsletter/Newsletter_156.htm

Neu: Studie zu Cloud-Problemen: State of Cloud Security 2020 -
im Auftrag von Sophos von Vanson Bourne 
Knapp Dreiviertel der Unternehmen waren im vergangenen Jahr von einem Sicherheitsvorfall 
im Zusammenhang mit einer Public Cloud betroffen. Als Vorfall erfasst der Report Malware, Ransomware, 
Datendiebstahl, Cryptojacking oder den versuchten Einsatz kompromittierter Zugänge. Häufig sind 
gestohlene Zugangsdaten (vor allem Phishing, ein Riesenproblem wenn für Cloud-Zugriffe 
(ganz speziell der Admins) nicht 2-Faktor-Login konfiguriert wird - dabei zählt für mich 
ein ausschließlicher Zugang aus dem Firmennetz bereits als 2. Faktor).
  [https://secure2.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-the-state-of-cloud-security-2020-wp.pdf]
Zusammenfassender Bericht in heise.de: 
 https://www.heise.de/-4840723

Noch eine Studie: Public Cloud als Einfallstor in Unternehmen 
 https://www.heise.de/-4856561
Zwar sind Anbieter wie Amazon, Microsoft und Google für die Sicherheit der von ihnen zur 
Verfügung gestellten Plattformen zuständig, der Schutz der Workloads, Daten und Prozesse 
ist jedoch Sache des Kundenunternehmens. Mehr als 80 Prozent der Unternehmen, die 
Cloud-Plattformen wie Amazon Web Services (AWS), Microsoft Azure oder Google Cloud 
Platform (GCP) nutzen, haben dort mindestens eine schlecht gewartete Workload berichtet 
die Studie "Orca Security 2020 State of Public Cloud Security" des Unternehmens Orca 
Security. Das bedeutet, diese Workload läuft auf einem vom Hersteller nicht mehr mit 
Sicherheitsupdates versorgten Betriebssystem oder ist seit mindestens 180 Tagen ungepatcht. 
Hinzu kommt, dass ein Viertel der Unternehmen keine Mehrfaktorauthentifizierung einsetzt, 
um den Super-Administrator ihrer Cloud-Accounts zu schützen - dann ist der Zugang reif um 
mit Phishing übernommen zu werden.

Gleiches Thema: Microsoft warnt Unternehmen vor Angriffen via  OAuth (der Bericht in
 heise: https://www.heise.de/-4840823 )
  
Und so sieht das dann in der Presse aus: "Rechnungen und Nacktfotos: 
845 GB Daten von Dating-Apps ungeschützt im  Netz"
  https://www.derstandard.at/story/2000118144523/rechnungen-und-nacktfotos-845-gb-daten-von-dating-apps-offen
Da hatten die Entwickler einen klassischen Fehler begangen der offenbar vielen 
Admins passiert: Die S3-Buckets bei AWS falsch konfiguriert, dazu gibt es 
Hunderte von Fällen.

Noch ein Beispiel: Youtube-Tutorials leaken Cloud-Zugangsdaten
  https://glm.io/149702


3. Fast in eigener Sache: 
Call for Participation bei der PrivacyWeek 2020 des Chaos Computer Clubs Wien
-----------------------------------------------------------------------------
Ich höre jetzt endlich bei der Bank auf, 70 Jahre ist alt genug. :-)
Dafür bringe ich mich etwas stärker beim Chaos Computer Club in Wien ein und ganz 
konkret bei der PrivacyWeek 2020. 
Termin der 1-wöchigen Veranstaltung ist 26.10. - 01.11.2020.
Es werden noch Beiträge gesucht, der CfP ist noch bis Ende August geöffnet:
 https://cfp.privacyweek.at/
Das Motto ist in diesem Jahr: SYSTEM = ! + relevant?
Beispielthemen sind zum Beispiel:
- Auswirkungen von Technik auf die Gesellschaft
- Privatsphäre
- Digitalisierung
- Netzpolitik
- Datenschutz
(Wer darüber nachdenkt, ob sein Thema passt kann mich gern direkt kontaktieren).

Im Gegensatz zu den letzten 4 Jahren planen wir diesmal einen reinen Online-Event. 
Wir denken, dass wir dadurch ein noch größeres Publikum erreichen können - auch für 
Vortragende ist es einfacher wenn diese nicht nach Wien kommen müssen.

Dabei versuchen wir, ein möglichst intensives Programm mit viel Interaktivität, 
Podiumsdiskussionen und auch Publikumsbeteiligung zu implementieren. Wir haben bereits 
eine ganze Reihe von Beiträgen, sind aber weiter auf der Suche nach interessanten Vorträgen. 
Frühere Vorträge finden sich auf
 https://media.ccc.de/search/?q=privacyweek


4. Überaschendes zum Privacy Shield Urteil (zumindest für mich)
--------------------------------------------------------------
https://logbuch-netzpolitik.de/lnp354-schrems-ii
Linus Neumann lässt sich von Max Schrems das Urteil erklären, und das ist eigentlich 
ziemlich anders als man das überall von den 'Experten' erklärt bekommt. In der ersten 
Hälfte des Interviews wird besprochen, warum Safe Harbour nicht OK war, und das sind 
eben die US-Überwachungsgesetze die grundsätzlich mit der DSGVO nicht kompatibel sind. 

In der zweiten Hälfte wird es überraschend, nämlich dass vor dem EU-GH sowohl Facebook wie 
Max Schrems als Beklagte saßen, weil die irische Behörde beide Parteien verklagt hat. 
Und es ging bei dem Verfahren eigentlich um die Gültigkeit der Standard Vertragsklauseln 
auf deren Grundlage nämlich FB die Daten nach USA überträgt. Nur durch eine Bemerkung des 
FB-Anwalts wurde dann das Privacy Shield zum Inhalt des Verfahrens. Sehr bizarr. 

Außerdem behandelt Max auch die europäischen Überwachungsgesetze und warum die außerhalb 
der DSGVO stehen, aber solche Gesetze von Drittstaaten wie die USA eben nicht.


Schon fast wieder lustig
------------------------
Aus dem Newsletter des Techno-Skeptic Mark Hurst: Coronahumor, für alle, die das noch 
ertragen können (die 2. Hälfte ist m.E. besser als die 1.):
 http://creativegood.com/blog/20/humor-for-the-fourth.html



 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.