Home      Themenübersicht / Sitemap      Webmaster      

 

166. Newsletter - sicherheitskultur.at - 30.11.2020

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

1. Reports

Microsoft Digital Defense Report 2020: Cyber Threat Sophistication on the Rise

Die Bedrohungen und die Angreifer werden cleverer im Laufe des letzten Jahres, und sie werden auch schwerer zu identifizieren.

Microsoft Digital Defense Report 2020: Cyber Threat Sophistication on the Rise

 

2. Von cert.at: Oh ... Ransomware hat auch meine Backups verschlüsselt ... Was nun?

Das Thema Ransomware verfolgt Unternehmen weltweit nun schon ein bis zwei Jahrzehnte. Es ist auch kein Trend zu erkennen, dass sich das bald ändern sollte. Es muss leider vom Gegenteil ausgegangen werden. Die Anzahl an Vorfällen ist besonders in den letzten Jahren gestiegen. Angreifer setzen inzwischen nicht nur auf Verschlüsselung, sondern drohen mit der Veröffentlichung von Unternehmensdaten, welche dafür vor dem Unbrauchbarmachen exfiltriert wurden.

oh-ransomware-hat-auch-meine-backups-verschlusselt-was-nun?

Weitere Tipps dazu gibt es auch auf der Sicherheitskultur.

 

3. Mögliche Strafen für das Zahlen von Ransomware

Unter der Überschrift "Täteropfer" (oder sollte das eigentlich "Opfertäter" sein?) berichtet der secorvo Newsletter über die Problematik, dass bei Zahlungen an die Täter strafgerichtliche Probleme entstehen können. So würde z.B. eine Zahlung an Täter in Nordkorea oder Iran in D. unter das Außenwirtschaftsgesetz fallen, siehe

https://www.gesetze-im-internet.de/awg_2013/__17.html

Auch auf EU-Ebene sind die EU-Verordnungen Nr. 2580/2001 und Nr. 881/2002 relevant:

https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex%3A32001R2580

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32002R0881

Dabei könnte auch „leichtfertiges Handeln“ bestraft werden: Eine Zahlung an den zunächst vermutlich unbekannten Erpresser könnte dies (lt. secorvo Newsletter) erfüllen.

 

4. Tipps für den Schutz vor Ransomware

bleepingcomputer.com berichtet von einer einzelnen Zahlung in Höhe von 34 Mio US$
How Ryuk Ransomware operators made $34 million from one victi

Die Bedrohung scheint zu steigen, angeblich werden in den USA Krankenhäuser gezielt angegriffen.

Da hilft nur sehr sehr konsequente Prävention, z.B. dokumentiert hier

https://www.cisa.gov/publication/ransomware-guide

mit

Für meinen Geschmack fehlen in dem Guide zwei ganz wichtige Verteidigungen gegen Phishing und andere Remote Attacks: 2-Faktor Authentifizierung (2FA) für ALLE Zugänge aus dem Internet auf interne Resourcen, so es im eigenen RZ oder auch in der Cloud. Fast alle bekannten Angriffe bei denen mittels Phishing Zugangscodes erschlichen werden haben die fehlende 2FA ausgenutzt.

Der nächste Punkt den ich nicht gefunden habe ist, dass das Backup OFFLINE sein muss, Bänder eignen sich wunderbar für Offline-Backups. Auch zu Hause ist es wichtig, die Backup-Platte nach dem Sichern vom Rechner zu trennen.

Ich habe aus diesem Anlass meine eigene Seite zu Ransomware etwas aktualisiert

https://sicherheitskultur.at/spam.htm#schuetzen

 

5. Digitaler Selbstschutz als kostenlose Kurse der TH Lübeck

Dorina Gumm, Professorin für Web Information Systems an der TH Lübeck, hat drei MOOCs (Massive Open Online Course) entworfen und veröffentlicht, die gute Ressourcen für Menschen sind, die sich z.B. zum eigenen Schutz im Intenet weiterbilden wollen. (Der zeitliche Aufwand um alles durchzulesen ist ca. 3 Stunden, wer die Tipps dann umsetzt, der braucht wohl etwas mehr Zeit)

In folgendem Video stellt Dorina Gumm auf der Privacyweek 2020 ihre MOOCs vor:

https://media.ccc.de/v/pw20-376-digitaler-selbstschutz-interaktives-material-zum-lernen-und-lehren

Und hier die Kurse selbst:

  1. "Digitaler Selbstschutz 1: Souveräner Umgang mit Zugangsdaten" https://www.oncampus.de/weiterbildung/moocs/ds1-zugangsdaten
  2. "Digitaler Selbstschutz 2: Souveränes Bewegen im Netz" https://www.oncampus.de/weiterbildung/moocs/ds2-netze
  3. "Digitaler Selbstschutz 3: Souveräner Umgang mit Daten und Geräten" https://www.oncampus.de/weiterbildung/moocs/ds3-geraete

Alle drei Kurse sind kostenlos verfügbar und enthalten Theorieteile, praktische Anwendungen und Quizzes sowie die Möglichkeit, Reports zu erzeugen.

 

6. 2020 Workshop on the Economics of Information Security - Brussels, aber dieses Jahr online

December 14-15, 2020, jeweils 14-18 Uhr, kostenlos

https://weis2020.econinfosec.org/

Viele kurze Vorträge:

https://weis2020.econinfosec.org/program/agenda/

 

7. Cryptowar 3.0 has been startet :-(

Ziemlich verlässlich startet nach den jüngsten Terroranschlägen in Europa der nächste Versuch, endlich die End-to-end-Verschlüsselung so zu schwächen, dass wieder locker mitgelesen werden kann. Die Politik setzt auf eine von Geheimdiensten und dem FBI entwickelte Idee, dass für Sicherheitsbehörden ein "außergewöhnlicher Zugriff" auf verschlüsselte Daten möglich sein sollte und könnte. Grundlegende Sicherheitsmängel für alle anderen Nutzer eines Dienstes oder einer Technologie sollen damit nicht geschaffen werden. Techniker haben eine solche "magische Lösung" immer wieder ins Reich der Märchen verdammt, da es "ein bisschen verschlüsselt" nicht gebe. Die deutsche Datenschutzkonferenz von Bund und Ländern (DSK) hat sich deutliich dagegen ausgesprochen. Die "Aushöhlung von Verschlüsselungslösungen" wäre kontraproduktiv und könnte durch Kriminelle und Terroristen leicht umgangen werden.

https://www.heise.de/tp/features/Cryptowars-EU-draengt-auf-Faehigkeiten-zur-Entschluesselung-3849601.html

und

Crypto Wars: Grünes Licht für umkämpfte EU-Erklärung zu Entschlüsselung

Auch im Newsletter von netzpolitik.org ist dies natürlich ein Thema:

https://netzpolitik.org/?na=v&nk=43905-42d1425bc3&id=276

 

8. US Cyber Command and Microsoft Are Both Disrupting TrickBot - tolle Aktion die aber auch Probleme aufwirft

Wilde Geschichte mit vielen Details wie US Cyber Command, Microsoft und eine Allianz von IT- und Sicherheitsfirmen versuchen, den Betreibern des Botnets möglichst viele Steine in den Weg zu legen. Juristisch eine sehr kreative Argumentation dass die Betreiber dem Unternehmen Microsoft Schaden zufügen und daher Microsoft berechtigt sei, dagegen praktisch vorzugehen.

https://www.schneier.com/blog/archives/2020/10/us-cyber-command-and-microsoft-are-both-disrupting-trickbot.html

Die Aktion ist eine weitere Nutzung von Trademark und copyright law die eigentlich sehr sehr problematisch sind, denn auf diese Weise kann MS letztendlich jegliche Software aus einem Win-System verbannen die ihnen nicht passt. Cory Doctorow hat die ganze Problematik und Absurdität von Copyright bei der Privacyweek 2020 Ende Oktober sehr eloquent ausgedrückt. Mit ähnlichen Argumenten wie MS das Recht bekam, in fremde Computer einzugreifen werden wir daran gehindert, Druckerpatronen zu verwenden die nicht vom Hersteller des Druckers sind, die John Deere-Traktoren und andere Geräte selbst zu reparieren, etc.

https://media.ccc.de/v/pw20-392-we-used-to-have-cake-now-we-ve-barely-got-icing

 

9. PSD2 beginnt sich unschön zu auszuwirken :-(

Die Payment Services Directive 2 beginnt sich mittlerweile unschön auszuwirken. Jede:r hat mittlereweile die offensichtlichen Auswirkungen mitbekommen, z.B. den Versuch, mittels 2-Faktor-Login die Sicherheit zu erhöhen. Im Newsletter 111 hatte ich über andere Aspekte berichtet, nämlich die "Liberalisierung" der Kontenzugriffe. Die Banken sollen ihr Monopol über die detaillierten Finanzdaten ihrer Kunden verlieren. Siehe in den Details auf

sicherheitskultur.at: Newsletter 111

Die deutsche Kreditauskunftei beginnt jetzt mit einem Dienst, der impliziert seit PSD2 immer im Raum stand: Wenn jemand einen Handyvertrag, Ratenkauf oder Kredit beantragt so bittet die Firma ihn freundlich um einen kurzen Blick auf sein Gehaltskonto. Das ist für die meisten Kunden bequemer als das Beischaffen von Verdienstbescheinigungen u.ä. Kleines Problem dabei: es entstehen umfassende Persönlichkeitsprofile wenn nicht nur Gehalt, Ausgaben für Strom, Gas, Versicherungen oder Wellness ausgelesen werden, sondern auch die Wohnsituation (z.B. Miete oder Kreditrückzahlungen), das Beziehen von Arbeitslosengeld, Sozialhilfe, dazu alle Ausgaben die Mittels bargeldloser Zahlung getätigt wurden. Mindestens so interessant sind sog. "Risikofaktoren" wie Zahlungen an Inkassoinstitute, Glückspiel, Unterhaltszahlungen. Die grusligen Details sind auf

https://www.golem.de/news/datenschutz-schufa-wertet-kontoauszuege-in-pilotprojekt-mit-o2-aus-2011-152425.html

Nach Protesten von Datenschützern und Politikern hat Telefónica/O2 das umstrittene Pilotprojekt mit der Auskunftei Schufa wieder eingestellt:

https://www.golem.de/news/check-now-telefonica-beendet-schufa-pilotprojekt-2011-152445.html

Diese Einstellung erinnert mich an einen früheren Vorstoß der Schufa. In 2012 wollte die Schufa die Social Networking Präsenzen der Menschen auswerten (z.B. wer sind denn deine "friends"?). Auch das wurde auf Grund von Protesten zum Glück wieder eingestellt:

sicherheitskultur.at: Kreditwürdigkeit auf Grund des sozialen Umfelds

Die Möglichkeiten sind nicht auf Europa beschränkt. Auch Firmen auf anderen Kontinenten dürfen, sofern sie höflich beim Kunden nachfragen und sich die Erlaubnis holen, auf die Kontobewegungs-Daten zugreifen (eine EU-Banklizenz ist kein unüberwindbares Hinderniss). Ich bin sicher, dass Google, Amazon, Facebook und alle anderen sehr an diesen Persönlichkeitsdetails interessiert sind - die Kontobewegungen erzählen eine sehr detaillierte Geschichte über das Leben eines Menschen. Wenn Kunden eine ausreichende Motivation, z.B. günstige Kredite oder andere Vergünstigungen geboten werden, so steigen bestimmt viele auf diese bequemen Angebote ein.

Aktualisierung Mitte Febr. 2021:
Änliche Probleme könnte sich die EU auch bei dem aktuellen Versuch einhandeln, wieder mal die europäischen Firmen vor der US-Konkurrenz zu schützen, nämlich den "Digital Services Act" (DSA) + "Digital Market Act" (DMA) hier meine Kommentare dazu.

 

In eigener Sache:

Die privacyweek 2020 ist toll gelaufen, 7 Tage virtuelle Vorträge, die Software rein auf open-source Basis. Wir konnten auf Grund unserer konsequenten Internet-Präsenz viel mehr internationale Sprecher gewinnen und mit ausreichend Vorbereitung und Sorgfalt kann so was gut ablaufen.

Alle Talks von der virtuellen Privacyweek 2020:

https://media.ccc.de/c/pw20

Meine Vorträge von diesem Jahr:

Problematische Algorithmen greifen in unser Leben ein - was sind die Probleme und mögliche Ansätze zur Regulierung?

https://media.ccc.de/v/pw20-347-problematische-algorithmen-greifen-in-unser-leben-ein-was-sind-die-probleme-und-mgliche-anstze-zur-regulierung-

Effekte höherer Ordnung bei der Einführung von autonomen Fahrzeugen

https://media.ccc.de/v/pw20-355-effekte-hherer-ordnung-bei-der-einfhrung-von-autonomen-fahrzeugen

Einige meiner früheren Vorträge

Anonymization workshop - Tipps, Tricks und Fallen

https://media.ccc.de/v/pw17-92-anonymization_workshop

Privatsphäre und DNA

https://media.ccc.de/v/pw19-204-privatsphre-und-dna

 

Auch das fand ich bemerkenswert:

Ein Leser weißt mich auf einen Beitrag eines Posters zu der von mir im vorigen Newsletter verlinkten Diskussion zum Ransomware hin:

Michael Martin • 30. September 2020, 07:49 Uhr
Wir müssen Ransomware-Anbieter regulieren, damit wir ihren Ruf überprüfen können, um festzustellen, ob wir ihnen bei der Entschlüsselung vertrauen können.

Die 'Conversation' war auf

https://redtape.substack.com/p/whats-it-really-like-to-negotiate

Das Posting ist auf

https://www.schneier.com/blog/archives/2020/09/negotiating-with-ransomware-gangs.html
 


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.