Home      Themenübersicht / Sitemap      Webmaster      

 

166. Newsletter - sicherheitskultur.at - 30.11.2020

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

1. Reports

Microsoft Digital Defense Report 2020: Cyber Threat Sophistication on the Rise

Die Bedrohungen und die Angreifer werden cleverer im Laufe des letzten Jahres, und sie werden auch schwerer zu identifizieren.

Microsoft Digital Defense Report 2020: Cyber Threat Sophistication on the Rise

 

2. Von cert.at: Oh ... Ransomware hat auch meine Backups verschlüsselt ... Was nun?

Das Thema Ransomware verfolgt Unternehmen weltweit nun schon ein bis zwei Jahrzehnte. Es ist auch kein Trend zu erkennen, dass sich das bald ändern sollte. Es muss leider vom Gegenteil ausgegangen werden. Die Anzahl an Vorfällen ist besonders in den letzten Jahren gestiegen. Angreifer setzen inzwischen nicht nur auf Verschlüsselung, sondern drohen mit der Veröffentlichung von Unternehmensdaten, welche dafür vor dem Unbrauchbarmachen exfiltriert wurden: Oh ... Ransomware hat auch meine Backups verschlüsselt ... Was nun??

Weitere Tipps dazu gibt es auch auf der Sicherheitskultur: Wie können sich Privatleute und Firmen schützen?.

 

3. Mögliche Strafen für das Zahlen von Ransomware

Unter der Überschrift "Täteropfer" (oder sollte das eigentlich "Opfertäter" sein?) berichtet der secorvo Newsletter über die Problematik, dass bei Zahlungen an die Täter strafgerichtliche Probleme entstehen können. So würde z.B. eine Zahlung an Täter in Nordkorea oder Iran in D. unter das Außenwirtschaftsgesetz fallen, siehe Außenwirtschaftsgesetz (AWG) § 17 Strafvorschriften

Auch auf EU-Ebene sind die EU-Verordnungen Nr. 2580/2001 und Nr. 881/2002 relevant:

Verordnung über spezifische, gegen bestimmte Personen und Organisationen gerichtete restriktive Maßnahmen zur Bekämpfung des Terrorismus

Verordnung über die Anwendung bestimmter spezifischer restriktiver Maßnahmen gegen bestimmte Personen und Organisationen, die mit Osama bin Laden, dem Al-Qaida-Netzwerk . . .

Dabei könnte auch „leichtfertiges Handeln“ bestraft werden: Eine Zahlung an den zunächst vermutlich unbekannten Erpresser könnte dies (lt. secorvo Newsletter) erfüllen.

 

4. Tipps für den Schutz vor Ransomware

bleepingcomputer.com berichtet von einer einzelnen Zahlung in Höhe von 34 Mio US$
How Ryuk Ransomware operators made $34 million from one victi

Die Bedrohung scheint zu steigen, angeblich werden in den USA Krankenhäuser gezielt angegriffen.

Da hilft nur sehr sehr konsequente Prävention, z.B. dokumentiert hier: CISA Ransomware Guide

mit

Für meinen Geschmack fehlen in dem Guide zwei ganz wichtige Verteidigungen gegen Phishing und andere Remote Attacks: 2-Faktor Authentifizierung (2FA) für ALLE Zugänge aus dem Internet auf interne Resourcen, so es im eigenen RZ oder auch in der Cloud. Fast alle bekannten Angriffe bei denen mittels Phishing Zugangscodes erschlichen werden haben die fehlende 2FA ausgenutzt.

Der nächste Punkt den ich nicht gefunden habe ist, dass das Backup OFFLINE sein muss, Bänder eignen sich wunderbar für Offline-Backups. Auch zu Hause ist es wichtig, die Backup-Platte nach dem Sichern vom Rechner zu trennen.

Ich habe aus diesem Anlass meine eigene Seite zu Ransomware etwas aktualisiert: Wie kann man sich schützen? (privat oder als Unternehmen)

 

5. Digitaler Selbstschutz als kostenlose Kurse der TH Lübeck

Dorina Gumm, Professorin für Web Information Systems an der TH Lübeck, hat drei MOOCs (Massive Open Online Course) entworfen und veröffentlicht, die gute Ressourcen für Menschen sind, die sich z.B. zum eigenen Schutz im Intenet weiterbilden wollen. (Der zeitliche Aufwand um alles durchzulesen ist ca. 3 Stunden, wer die Tipps dann umsetzt, der braucht wohl etwas mehr Zeit)

In folgendem Video stellt Dorina Gumm auf der Privacyweek 2020 ihre MOOCs vor:

Digitaler Selbstschutz: Interaktives Material zum Lernen und Lehren

Und hier die Kurse selbst:

  1. "Digitaler Selbstschutz 1: Souveräner Umgang mit Zugangsdaten" Digitaler Selbstschutz 1: Souveräner Umgang mit Zugangsdaten
  2. "Digitaler Selbstschutz 2: Souveränes Bewegen im Netz" Digitaler Selbstschutz 2: Souveränes Bewegen im Netz
  3. "Digitaler Selbstschutz 3: Souveräner Umgang mit Daten und Geräten" Digitaler Selbstschutz 3: Souveräner Umgang mit Daten und Geräten

Alle drei Kurse sind kostenlos verfügbar und enthalten Theorieteile, praktische Anwendungen und Quizzes sowie die Möglichkeit, Reports zu erzeugen.

 

6. 2020 Workshop on the Economics of Information Security - Brussels, aber dieses Jahr online

Leider schon deutlich vorbei.

 

7. Cryptowar 3.0 has been startet :-(

Ziemlich verlässlich startet nach den jüngsten Terroranschlägen in Europa der nächste Versuch, endlich die End-to-end-Verschlüsselung so zu schwächen, dass wieder locker mitgelesen werden kann. Die Politik setzt auf eine von Geheimdiensten und dem FBI entwickelte Idee, dass für Sicherheitsbehörden ein "außergewöhnlicher Zugriff" auf verschlüsselte Daten möglich sein sollte und könnte. Grundlegende Sicherheitsmängel für alle anderen Nutzer eines Dienstes oder einer Technologie sollen damit nicht geschaffen werden. Techniker haben eine solche "magische Lösung" immer wieder ins Reich der Märchen verdammt, da es "ein bisschen verschlüsselt" nicht gebe. Die deutsche Datenschutzkonferenz von Bund und Ländern (DSK) hat sich deutliich dagegen ausgesprochen. Die "Aushöhlung von Verschlüsselungslösungen" wäre kontraproduktiv und könnte durch Kriminelle und Terroristen leicht umgangen werden.

2 Artikel dazu: Cryptowars: EU drängt auf Fähigkeiten zur Entschlüsselung und Crypto Wars: Grünes Licht für umkämpfte EU-Erklärung zu Entschlüsselung

Auch im Newsletter von netzpolitik.org ist dies natürlich ein Thema: Von jahrelangen Debatten über Hintertüren unbeeindruckt

 

8. US Cyber Command and Microsoft Are Both Disrupting TrickBot - tolle Aktion die aber auch Probleme aufwirft

Wilde Geschichte mit vielen Details wie US Cyber Command, Microsoft und eine Allianz von IT- und Sicherheitsfirmen versuchen, den Betreibern des Botnets möglichst viele Steine in den Weg zu legen. Juristisch eine sehr kreative Argumentation dass die Betreiber dem Unternehmen Microsoft Schaden zufügen und daher Microsoft berechtigt sei, dagegen praktisch vorzugehen: US Cyber Command and Microsoft Are Both Disrupting TrickBot

Die Aktion ist eine weitere Nutzung von Trademark und copyright law die eigentlich sehr sehr problematisch sind, denn auf diese Weise kann MS letztendlich jegliche Software aus einem Win-System verbannen die ihnen nicht passt. Cory Doctorow hat die ganze Problematik und Absurdität von Copyright bei der Privacyweek 2020 Ende Oktober sehr eloquent ausgedrückt. Mit ähnlichen Argumenten wie MS das Recht bekam, in fremde Computer einzugreifen werden wir daran gehindert, Druckerpatronen zu verwenden die nicht vom Hersteller des Druckers sind, die John Deere-Traktoren und andere Geräte selbst zu reparieren, etc.: Cory Doctorow: WE USED TO HAVE CAKE, NOW WE'VE BARELY GOT ICING

 

9. PSD2 beginnt sich unschön zu auszuwirken :-(

Die Payment Services Directive 2 beginnt sich mittlerweile unschön auszuwirken. Jede:r hat mittlereweile die offensichtlichen Auswirkungen mitbekommen, z.B. den Versuch, mittels 2-Faktor-Login die Sicherheit zu erhöhen. Im Newsletter 111 hatte ich über andere Aspekte berichtet, nämlich die "Liberalisierung" der Kontenzugriffe. Die Banken sollen ihr Monopol über die detaillierten Finanzdaten ihrer Kunden verlieren. Siehe in den Details: Newsletter 111

Die deutsche Kreditauskunftei beginnt jetzt mit einem Dienst, der impliziert seit PSD2 immer im Raum stand: Wenn jemand einen Handyvertrag, Ratenkauf oder Kredit beantragt so bittet die Firma ihn freundlich um einen kurzen Blick auf sein Gehaltskonto. Das ist für die meisten Kunden bequemer als das Beischaffen von Verdienstbescheinigungen u.ä. Kleines Problem dabei: es entstehen umfassende Persönlichkeitsprofile wenn nicht nur Gehalt, Ausgaben für Strom, Gas, Versicherungen oder Wellness ausgelesen werden, sondern auch die Wohnsituation (z.B. Miete oder Kreditrückzahlungen), das Beziehen von Arbeitslosengeld, Sozialhilfe, dazu alle Ausgaben die Mittels bargeldloser Zahlung getätigt wurden. Mindestens so interessant sind sog. "Risikofaktoren" wie Zahlungen an Inkassoinstitute, Glückspiel, Unterhaltszahlungen. Die grusligen Details sind auf

Schufa wertet Kontoauszüge in Pilotprojekt mit O2 aus.

Nach Protesten von Datenschützern und Politikern hat Telefónica/O2 das umstrittene Pilotprojekt mit der Auskunftei Schufa wieder eingestellt:

Telefónica beendet Schufa-Pilotprojekt.

Diese Einstellung erinnert mich an einen früheren Vorstoß der Schufa. In 2012 wollte die Schufa die Social Networking Präsenzen der Menschen auswerten (z.B. wer sind denn deine "friends"?). Auch das wurde auf Grund von Protesten zum Glück wieder eingestellt: Kreditwürdigkeit auf Grund des sozialen Umfelds

Die Möglichkeiten sind nicht auf Europa beschränkt. Auch Firmen auf anderen Kontinenten dürfen, sofern sie höflich beim Kunden nachfragen und sich die Erlaubnis holen, auf die Kontobewegungs-Daten zugreifen (eine EU-Banklizenz ist kein unüberwindbares Hinderniss). Ich bin sicher, dass Google, Amazon, Facebook und alle anderen sehr an diesen Persönlichkeitsdetails interessiert sind - die Kontobewegungen erzählen eine sehr detaillierte Geschichte über das Leben eines Menschen. Wenn Kunden eine ausreichende Motivation, z.B. günstige Kredite oder andere Vergünstigungen geboten werden, so steigen bestimmt viele auf diese bequemen Angebote ein.

Aktualisierung Mitte Febr. 2021:
Änliche Probleme könnte sich die EU auch bei dem aktuellen Versuch einhandeln, wieder mal die europäischen Firmen vor der US-Konkurrenz zu schützen, nämlich den "Digital Services Act" (DSA) + "Digital Market Act" (DMA) hier meine Kommentare dazu.

Aktualisierung Jan. 2022:
Der Artikel PSD2: Open Banking wird unsicherer und unübersichtlicher sieht einige weitere Kritikpunkte zumindest in der derzeitigen Implementierung. So bemängelt er z.B. dass es für Bankkunden, die einem Finanzdienstleister zum Zwecke einer Anlagenberatung Zugriff zu ihrem Konto gewährt haben, eigentlich nicht nachvollziehbar ist, welche Daten dieser Dienstleister wirklich aus dem Konto ausliest und wie der Dienstleister diese Daten dann verwertet. Nach der DSGVO darf der Dienstleister nur solche Daten auslesen, die für den präzisen Zweck notwendig sind. Anderseits ist das nicht nachvollziehbar. Selbst wenn der Dienstleister detaillierte Finanzprofile erstellen würde (Kontobewegungen verraten typischerweise extrem viel über Menschen, speziell wenn viel bargeldlos gezahlt wird) und verkaufen, so würde der Kunde des kaum selbst erkennen können. Auf jeden Fall fallen auch Daten vollkommen unbeteiligter an: Nämlich der andere Partner jeder Übeweisung.

Noch ein Punkt: Zumindest in Deutschland gibt es ein m.E. eigenartiges Geschäftsmodell: 'PSD2 License as a Service'. Eigentlich dürfen nämlich nur von der Bafin geprüfte Unternehmen auf die Daten von Bankkunden (mit deren Zustimmung) zugreifen. Aber es gibt Firmen die eine solche Lizenz haben (in D mehr als 100) und dann anderen Firmen diese Lizenz als Service 'weitervermitteln' - eigenartig. Außerdem dürfen Banken, auf deren Konten auf diese Weise zugegriffen wird, nicht überpüfen, ob der jeweilige Kunde wirklich dem Zugriff zugestimmt hat.

 

In eigener Sache:

Die privacyweek 2020 ist toll gelaufen, 7 Tage virtuelle Vorträge, die Software rein auf open-source Basis. Wir konnten auf Grund unserer konsequenten Internet-Präsenz viel mehr internationale Sprecher gewinnen und mit ausreichend Vorbereitung und Sorgfalt kann so was gut ablaufen.

Alle Talks von der virtuellen Privacyweek 2020.

Meine Vorträge von diesem Jahr:

Problematische Algorithmen greifen in unser Leben ein - was sind die Probleme und mögliche Ansätze zur Regulierung?

Effekte höherer Ordnung bei der Einführung von autonomen Fahrzeugen

Einige meiner früheren Vorträge

Anonymization workshop - Tipps, Tricks und Fallen

Privatsphäre und DNA

 

Auch das fand ich bemerkenswert:

Ein Leser weißt mich auf einen Beitrag eines Posters zu der von mir im vorigen Newsletter verlinkten Diskussion zum Ransomware hin:

Michael Martin • 30. September 2020, 07:49 Uhr
Wir müssen Ransomware-Anbieter regulieren, damit wir ihren Ruf überprüfen können, um festzustellen, ob wir ihnen bei der Entschlüsselung vertrauen können.

Hier der Artikel What's it really like to negotiate with ransomware gangs? und das Posting Negotiating with Ransomware Gangs.
 


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.