Home      Themenübersicht / Sitemap      Webmaster      

 

162. Newsletter - sicherheitskultur.at - 31.7.2020

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Mal wieder ein interessantes Tutorial zu Kryptographie

Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren.

 

2. Cloud-Probleme (Ergänzungen zum 156. Newsletter - 31.1.2020)

Neu: Studie zu Cloud-Problemen: State of Cloud Security 2020 - im Auftrag von Sophos von Vanson Bourne. Knapp dreiviertel der Unternehmen waren im vergangenen Jahr von einem Sicherheitsvorfall im Zusammenhang mit einer Public Cloud betroffen. Als Vorfall erfasst der Report Malware, Ransomware, Datendiebstahl, Cryptojacking oder den versuchten Einsatz kompromittierter Zugänge. Häufig sind gestohlene Zugangsdaten (vor allem Phishing, ein Riesenproblem wenn für Cloud-Zugriffe (ganz speziell der Admins) nicht 2-Faktor-Login konfiguriert wird - dabei zählt für mich ein ausschließlicher Zugang aus dem Firmennetz bereits als 2. Faktor). Zusammenfassender Bericht in heise.de.

Noch eine Studie: Public Cloud als Einfallstor in Unternehmen. Zwar sind Anbieter wie Amazon, Microsoft und Google für die Sicherheit der von ihnen zur Verfügung gestellten Plattformen zuständig, der Schutz der Workloads, Daten und Prozesse ist jedoch Sache des Kundenunternehmens. Mehr als 80 Prozent der Unternehmen, die Cloud-Plattformen wie Amazon Web Services (AWS), Microsoft Azure oder Google Cloud Platform (GCP) nutzen, haben dort mindestens eine schlecht gewartete Workload berichtet die Studie "Orca Security 2020 State of Public Cloud Security" des Unternehmens Orca Security. Das bedeutet, diese Workload läuft auf einem vom Hersteller nicht mehr mit Sicherheitsupdates versorgten Betriebssystem oder ist seit mindestens 180 Tagen ungepatcht. Hinzu kommt, dass ein Viertel der Unternehmen keine Mehrfaktorauthentifizierung einsetzt, um den Super-Administrator ihrer Cloud-Accounts zu schützen - dann ist der Zugang reif um mit Phishing übernommen zu werden.

Gleiches Thema: Microsoft warnt Unternehmen vor Angriffen via OAuth (der Bericht in heise.de)

Und so sieht das dann in der Presse aus: "Rechnungen und Nacktfotos: 845 GB Daten von Dating-Apps ungeschützt im Netz". Da hatten die Entwickler einen klassischen Fehler begangen der offenbar vielen Admins passiert: Die S3-Buckets bei AWS falsch konfiguriert, dazu gibt es Hunderte von Fällen.

Noch ein Beispiel: Youtube-Tutorials leaken Cloud-Zugangsdaten.

 

3. Call for Participation bei der PrivacyWeek 2020 des Chaos Computer Clubs Wien

Ich höre jetzt endlich bei der Bank auf, 70 Jahre ist alt genug. :-) Dafür bringe ich mich etwas stärker beim Chaos Computer Club in Wien ein und ganz konkret bei der PrivacyWeek 2020. Termin der 1-wöchigen Veranstaltung ist 26.10. - 01.11.2020.

Es werden noch Beiträge gesucht, der CfP ist noch bis Ende August geöffnet:

Das Motto ist in diesem Jahr: SYSTEM = ! + relevant?
Beispielthemen sind zum Beispiel:

Im Gegensatz zu den letzten 4 Jahren planen wir diesmal einen reinen Online-Event. Wir denken, dass wir dadurch ein noch größeres Publikum erreichen können - auch für Vortragende ist es einfacher wenn diese nicht nach Wien kommen müssen.

Dabei versuchen wir, ein möglichst intensives Programm mit viel Interaktivität, Podiumsdiskussionen und auch Publikumsbeteiligung zu implementieren. Wir haben bereits eine ganze Reihe von Beiträgen, sind aber weiter auf der Suche nach interessanten Vorträgen. Hier finden sich Vorträge von früheren Privacyweeks.

 

4. Überaschendes zum Privacy Shield Urteil (zumindest für mich)

Linus Neumann lässt sich von Max Schrems das Privacy Shield Urteil (aka Schrems II) erklären, und das ist eigentlich ziemlich anders als man das überall von den 'Experten' erklärt bekommt. In der ersten Hälfte des Interviews wird besprochen, warum Safe Harbour nicht OK war, und das sind eben die US-Überwachungsgesetze die grundsätzlich mit der DSGVO nicht kompatibel sind.

In der zweiten Hälfte wird es überraschend, nämlich dass vor dem EU-GH sowohl Facebook wie Max Schrems als Beklagte saßen, weil die irische Behörde beide Parteien verklagt hat. Und es ging bei dem Verfahren eigentlich um die Gültigkeit der Standard Vertragsklauseln auf deren Grundlage nämlich FB die Daten nach USA überträgt. Nur durch eine Bemerkung des FB-Anwalts wurde dann das Privacy Shield zum Inhalt des Verfahrens. Sehr bizarr.

Außerdem behandelt Max auch die europäischen Überwachungsgesetze und warum die außerhalb der DSGVO stehen, aber solche Gesetze von Drittstaaten wie die USA eben nicht.

 

Schon fast wieder lustig

Aus dem Newsletter des Techno-Skeptic Mark Hurst: Coronahumor, für alle, die das noch ertragen können (die 2. Hälfte ist m.E. besser als die 1.):

Im Nachhinein (Ende 2021) fällt mir auf, dass die Idee, dass das Covid-19-Problem länger als 1 Jahr dauern würde, damals für die meisten noch so absurd war, dass es sich als Stoff für einen Witz eignet.