|
Sehr geehrte Leserinnen und Leser,
planen Sie in den Sommerferien eine Radtour – dann finden Sie in den Kurzmitteilungen vielleicht einen nützlichen Artikel. Das Thema im Fokus beschäftigt sich mit Ransomware und Angriffen auf Software-Lieferketten, die in letzter Zeit zunehmen. Das thematisch dazu passende Fundstück dreht sich ebenfalls um digitale Lösegeldforderungen. In den GI-Mitteilungen berichten wir unter anderem über die Wahlprüfsteine des FB SICHERHEIT.
Wir wünschen Ihnen viel Spaß mit dieser Ausgabe!
auf gi-radar.de weiterlesen
Herzschrittmacher unter der Lupe + draußen mit der App + digitale Basisinfrastruktur + Cyber-Katastrophenfall + Arbeiten in der Schweiz + Ransomware und Angriffe auf Software-Lieferketten + Empfehlungen zu Data Science + GAIA X + INFORMATIK 2021 + Wahlprüfsteine + Digitale Bibliothek + Ransomware: soll ich bezahlen?
KURZMITTEILUNGEN
Der Herzschrittmacher ist eine Plaudertasche (NZZ). Dass GPS-Tracker und andere Apps Daten sammeln, ist wahrscheinlich jedem von uns bewusst. Immer häufiger werden jedoch diese Daten auch von Strafverfolgungsbehörden angefordert und ausgewertet. Hier stellt sich die Frage, wo die Privatspähre anfängt und aufhört, wenn große Teile unseres Lebens nicht mehr in den eigenen vier Wänden, einem Tagebuch oder flüchtigen Gesprächen stattfinden. weiterlesen
Digital in der Natur unterwegs (SZ). Seit der Corona-Pandemie boomt ein Tourismus der ganz anderen Art: Wandern und Radfahren in der Umgebung erobern die Bevölkerung. Häufig werden dabei Apps eingesetzt, anhand derer man sich eigene Touren zusammenstellen kann. Aber diese führen mitunter durch ein Gelände, das dafür nicht geeignet ist, sei es durch die Beschaffenheit, den Naturschutz oder Privateigentum. Damit die Routenplanung besser wird, sammeln Projekte wie Open Street Map Erfahrungsberichte. weiterlesen
Interview: Digitale Basisinfrastruktur sollte vom Staat bereitgestellt werden (Spiegel). Wer ist schneller (und besser)? Hier scheiden sich häufig die Geister. In den letzten eineinhalb Jahren hat die Digitalisierung des Lebens eine ungeahnte Dynamik entwickelt. Manches musste auf die Schnelle bereitgestellt werden, sodass von Zeit zu Zeit auch die Sicherheit der Systeme auf der Strecke blieb. Woran das liegt und wie es besser laufen kann, erläutert die Sicherheitsforscherin Lilith Wittmann. weiterlesen
Cyber-Katatstrophenfall im Landkreis Anhalt-Bitterfeld (ZEIT). Bisher machten vor allem Universitäten Schlagzeilen, wenn sie nach Angriffen auf ihre IT-Infrastruktur wochen- oder monatelang lahmgelegt haben. Nun ist ein ganzer Landkreis das Opfer einer Attacke geworden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermittelt. weiterlesen
Karrierechancen in der Schweiz (Golem). IT-Fachkräfte fehlen vielerorts, sodass sich Interessierte häufig die attraktivsten Angebote herauspicken können. Die Schweiz lockt mit deutlich höheren Gehältern, die nicht immer durch die höheren Lebenshaltungskosten aufgezehrt werden. weiterlesen
THEMA IM FOKUS
Ransomware und Angriffe auf Software-Lieferketten – eine unheilvolle Allianz. Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden.
Die Bedrohung durch Ransomware hat in der letzten Zeit deutlich zugenommen. Ransomware ist für Cyber-Kriminelle mittlerweile ein etabliertes Geschäftsmodell. Zunehmend werden wichtige Daten nicht nur verschlüsselt, sondern es wird auch mit der Veröffentlichung vertraulicher Daten gedroht.
Bei dem jüngsten Ransomware-Angriff auf den amerikanischen IT-Dienstleister Kaseya haben Cyber-Kriminelle hunderte Kundinnen und Kunden von Kaseya angegriffen. Die Hacker der Ransomware-Gruppe „REvil“, die in den letzten Wochen bereits mit dem Angriff auf den Fleischverarbeiter JBS für Aufsehen sorgten, nutzten eine Schwachstelle aus, um die Kundinnen und Kunden von Kaseya mit einem Verschlüsselungstrojaner lahmzulegen. Sie sperrten Zugriffe auf Systeme, um damit hohe Summen Lösegeld zu erpressen. Eine Art Domino-Effekt entstand, da zu den Kunden des IT-Dienstleisters zahlreiche weitere IT-Unternehmen in der ganzen Welt gehörten, die ebenfalls ein großes Kundschaft-Netzwerk haben. Dies hatte unter anderem große Auswirkungen auf Kassensysteme einer schwedischen Supermarktkette, aber auch deutsche Unternehmen wurden getroffen.
Das Phänomen dieser Form der digitalen Erpressung ist nicht neu. Unter dem Namen CryptoLocker trat bereits 2005 erstmals eine Ransomware mit Verschlüsselungsfunktion großflächig in Erscheinung. Das Schadprogramm chiffrierte Nutzerdaten eines bestimmten Typs mit kryptografischen Verfahren – und zwar nicht nur auf lokalen Festplatten, sondern auch auf angebundenen Netzlaufwerken. Eine der größten bislang beobachteten Ransomware-Wellen beherrschte im Mai 2017 die Schlagzeilen: Innerhalb von nur drei Tagen verschlüsselte das Schadprogramm WannaCry in über 150 Ländern Daten auf mehr als 200.000 Windows-Rechnern. Insgesamt befiel das Programm vermutlich mehrere Millionen Computer.
Handelte es sich bei früheren Ransomware-Angriffen zumeist um nicht zielgerichtete Infektionen der Windows-Systeme von Privatleuten und Firmen, ist die Qualität der Angriffe auf den Hersteller der Buchhaltungssoftware M.E.Doc (Trojaner NotPetya) im Juni 2017 und Kaseya-Kundinnen und -Kunden Anfang Juli dieses Jahres eine ganz andere: Die Angriffe sind sehr viel professioneller, aufwändiger und nehmen zielgerichtet vermeintlich lohnende Ziele ins Visier (bsi.bund.de).
Ganz besonders beunruhigend ist der Weg der Verbreitung von Schadcode über die regulären Update-Mechanismen der Sicherheitssoftware eines global operierenden IT-Dienstleisters (heise), also über die Software-Lieferkette („Supply-Chain“) eines Sicherheits-Dienstleisters zu seiner Kundschaft. Durch die Manipulation von Sicherheits-Updates, die dort eingespielt werden, sind Angriffe auf sehr gut geschützte IT-Systeme möglich. Solche Angriffe sind äußerst schwer zu erkennen, da der Quellcode üblicherweise von den Kundinnen und Kunden nicht eingesehen werden kann (security-insider.de).
BSI-Präsident Arne Schönbohm erklärte hierzu (bsi.bund.de): „Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen. Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken. Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen. Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden für Betroffene sind daher oftmals enorm.“
Die aktuellen Vorfälle mit potenziell sehr großem volkswirtschaftlichen Schaden (bitkom.org) rücken die Sicherheit und den Schutz der Lieferketten gegen Cyberangriffe (dke.de) in den Fokus. In die Betrachtung müssen nicht nur die eingesetzte Software externer Dienstleister, sondern auch die in der Softwareentwicklung verwendeten Code-Bibliotheken kommerzieller Drittanbieter, aus Open-Source-Quellen und von Cloud-API-Diensten einbezogen werden (it-daily.net). Durch den weiter stark zunehmenden Einsatz vernetzter IoT-Geräte werden die Möglichkeiten für gezielte Angriffe auf staatliche Unternehmen und den privaten Sektor vervielfacht.
Der Gefahr durch Angriffe auf die Lieferkette kann nur durch gute Kenntnis und detaillierte Dokumentation der Lieferbeziehungen in der eigenen Lieferkette sowie im besten Fall auch der von Geschäftspartnerinnen und -partnern und Drittparteien begegnet werden (com-magazin.de). Auf dieser Grundlage können Lieferanten sorgfältig ausgewählt und unsichere Software-Konfigurationen durch sichere ersetzt und durch externe Schutzmaßnahmen ergänzt werden (industry-of-things.de).
Kritische Infrastrukturen (KRITIS) sind besonders schützenswert, da bei ihrer Beeinträchtigung oder Ausfall nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Der Umsetzungsplan „UP KRITIS“, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen und den zuständigen staatlichen Stellen (kritis.bund.de), hat verschiedene Publikationen erarbeitet, die Hinweise zur Absicherung von Lieferketten geben: erstens Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen (kritis.bund.de), zweitens Empfehlungen zur Nutzung von Cloud-Dienstleistungen in Kritischen Infrastrukturen (kritis.bund.de) und drittens Empfehlungen zu Entwicklung und Einsatz von in Kritischen Infrastrukturen eingesetzten Produkten (kritis.bund.de).
Die Informationssicherheit für Lieferantenbeziehungen ist Gegenstand des ISO/IEC-Standards 27036:2013 (als Teil der ISO/IEC 27001-Serie, die die Implementierung eines Informationssicherheits-Managementsystems (ISMS) beschreibt). Die hier beschriebenen Best Practices sollten beim Aufbau eines Cyber Supply Chain Risk Management (C-SCRM, nist.gov) beachtet werden, für das vor dem Hintergrund der eingangs beschriebenen Vorfälle ein dringender Bedarf bei Staat und Wirtschaft besteht.
Diesen Beitrag hat Isabel Münch beigesteuert. Sie ist Leiterin des Fachbereichs Kritische Infrastrukturen beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Vielen Dank!
GI-MELDUNGEN
GI verabschiedet Empfehlungen für die Ausgestaltung eines Curriculums zum Thema „Data Science“. Das Schlagwort „Data Science“ ist in aller Munde, und entsprechend ausgebildete Fachkräfte werden von Unternehmen händeringend gesucht. Was genau diese Fachleute beherrschen sollten, und welche Inhalte im Studium vorkommen müssen, hat die GI in den entsprechenden Empfehlungen zusammengetragen, die das Präsidium in seiner letzten Sitzung verabschiedet hat. weiterlesen
GI gestaltet GAIA X Plattform Recht mit. Die GI hat ihre gemeinsam mit anderen Partnern aufgesetzte Projektskizze „GAIA X Recht“ erfolgreich verteidigt und soll ab 2022 gefördert werden. Ziel des Projektes ist es, die digitale Transformation des Rechtsmarktes in Europa voranzutreiben. weiterlesen
INFORMATIK 2021: Anmeldung und Workshop-Programm. Neben dem Hauptprogramm hat mittlerweile auch das Workshop-Programm nahezu finale Formen angenommen. Daher lohnt es spätestens jetzt, sich das Programm der GI-Jahrestagung anzuschauen und sich anzumelden. weiterlesen
Wahlprüfsteine des FB SICHERHEIT. Noch sind es einige Wochen bis zur Bundestagswahl. Aber bereits jetzt wird eifrig an den Wahlprogrammen gefeilt. Der GI-Fachbereich „SICHERHEIT – Schutz und Zuverlässigkeit“ hat die aus seiner Sicht wesentlichen Wahlprüfsteine bereitgestellt. weiterlesen
Neue LNI-Bände in der Digitalen Bibliothek verfügbar. Kennen Sie eigentlich unsere Digitale Bibliothek? Mittlerweile sind über 30.000 Artikel verfügbar, davon rund 20.000 mit Open Access. Neben diversen Zeitschriften werden hier auch unsere Tagungsbände veröffentlicht. Die neuen Bände finden Sie immer auf der Startseite der Proceedings in der Digitalen Bibliothek. weiterlesen
Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Zur Cyber-Attacke auf die Firma Kaseya äußerte sich beispielsweise GI-Präsident Hannes Federrath im ZDF. Schauen Sie rein, es gibt da immer wieder Neues.
FUNDSTÜCK
Bezahlen bei Erpressung – oder lieber doch nicht? Neuerdings findet Erpressung vermehrt im digitalen Raum statt, etwa indem Daten entwendet bzw. verschlüsselt werden. Für betroffene Unternehmen stellt sich die Frage: auf die Lösegeldforderung eingehen oder die Strafverfolgungsbehörden einschalten? Hinweise zu den Erfolgsaussichten des Bezahlens gibt nun eine aktuelle Studie. Den Ergebnissen zufolge wurden 80% der betroffenen Unternehmen, die bezahlt haben, danach noch einmal erpresst. Zum Fundstück (threatpost.com)
Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!
Dies war Ausgabe 291 des GI-Radars. Zusammengestellt hat sie Dominik Herrmann, der hofft, dass Sie alle ein Backup haben – und auch wissen, wie man es schnell zurückspielt, sodass Ihnen derlei unangenehme Entscheidungen erspart bleiben. Die Mitteilungen und Meldungen hat GI-Geschäftsführerin Cornelia Winter zusammengetragen. Das nächste GI-Radar erscheint am 30. Juli 2021.
Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch über Twitter (@informatikradar) zukommen lassen.
|
