Archive

Home » News » Security Newsletter 02/2021

Security Newsletter 02/2021

Home » News » Security Newsletter 02/2021
alle News
WEBINAR
Webinar der INES AG: Mehr Sicherheit durch Netzwerksegmentierung

Am Donnerstag, den 25. Februar 2021, findet ein weiteres kostenloses Webinar der INES AG statt - "Mehr Cybersicherheit durch Netzwerksegmentierung". In dem Webinar erfahren Sie ...

  • wie Sie ein erfolgreiches Netzkonzept erstellen,
  • wie Sie ein Konzept erstellen, das sicher ist und gleichzeitig einen vertretbaren Wartungsaufwand bietet,
  • warum die Netzwerksegmentierung und Einrichtung von VLANs viel Planung benötigt,
  • welche Fehler bei der Netztrennung häufig gemacht werden,
  • und spannende Best Practices aus der Netztrennung.

Sie haben am Donnerstag, den 25. Februar von 10:00 – 10:45 Uhr keine Zeit? Melden Sie sich einfach an und Sie erhalten im Nachhinein die Aufzeichnung des Webinars per E-Mail. 

INFORMATIONSSICHERHEIT
Hackerangriff auf Wasserversorgung in Florida und die IT-Sicherheitsrisiken bei deutschen Wasserversorgern

Anfang Februar hat ein Hacker versucht die Wasserversorgung der Stadt Olsmar in Florida zu manipulieren. Auch bei deutschen Wasserversorgern treten erhebliche IT-Risiken auf. Wir haben für Sie zusammengefasst, wie die Situation bei deutschen Wasserversorgern ist, welche Sicherheitslücken aufgetreten sind und was öffentliche Einrichtungen aus dem Hackerangriff lernen sollten.

DATENSCHUTZ
Clubhouse: Neue App mit Nachholbedarf im Bereich Datenschutz und Cybersecurity

Die App Clubhouse hat zwischenzeitlich einen regelrechten Hype ausgelöst. Bei der Anwendung können sich User Gespräche anhören und aktiv an Gesprächen beteiligen. Allerdings zeigt sich auch bei dieser Anwendung, dass schnellwachsende Online-Dienste häufig in Bereichen des Datenschutzes und der Informationssicherheit nicht mithalten können.

Problematisch ist unter anderem, dass rechtliche Pflichten nicht eingehalten werden. So gibt es aktuell kein Impressum und wichtige Dokumente liegen nur in englischer Sprache vor. Besonders heikel ist aber die Tatsache, dass die App Zugriff auf zahlreiche Daten verlangt, die auf dem jeweiligen Gerät gespeichert sind, wie zum Beispiel das Adressbuch. Somit kann die App auf Daten von Personen zugreifen, die die Anwendung gar nicht verwenden. Ein ähnliches Problem existiert auch im Zusammenhang mit WhatsApp. Weiter bleibt unklar, ob und wenn ja in welchem Umfang, Daten an Dritte weitergegeben werden. Das Recht diese zu nutzen nimmt sich der Betreiber zumindest heraus.

INFORMATIONSSICHERHEIT
Infrastruktur der Schadsoftware Emotet zerschlagen

Einer Ermittlergruppe aus acht europäischen Ländern ist es Ende Januar gelungen die Infrastruktur der Schadsoftware Emotet zu übernehmen. Dies vermeldete unter anderem das Bundeskriminalamt.

Grundsätzlich kann man in Emotet einen Türöffner bzw. Downloader sehen, der Angriffe initiiert und anschließend weitere Schadsoftware nachlädt. Die Schadsoftware galt als eine der gefährlichsten weltweit. Ein häufiges Einfallstor für Emotet waren sogenannte Phishing-Mails.

Nach der Übernahme der Infrastruktur durch das Ermittlerteam wurde die Schadsoftware „deaktiviert“ und die Netzbetreiber angewiesen die Inhaber von betroffenen Anschlüssen zu informieren.

Emotet in dieser Variation bildet nur einen kleinen Teil der Bedrohungslage ab. Man kann nur davon abraten sich in Sicherheit zu wiegen. Neben zahllosen alternativen Schadprogramme am Markt kann man mit einer vergleichbaren Neuvariante rechnen.

WEBINAR
Schutz vor Ransomware

Am Donnerstag, den 18. März 2021, bietet die INES AG eine Neuauflage des Webinars "Schutz vor Ransomware" an. Nach der Erstausgabe im September 2020 möchten wir Ihnen unsere neuen Erfahrungen aus den zurückliegenden Monaten präsentieren. In unserer täglichen Praxis werden wir mit Sicherheitslücken konfrontiert, die einen Angriff erleichtern. Gerade auch organisatorische Regelungen sind für die erfolgreiche Notfallbehandlung essentiell. Alle Bausteine helfen letztlich dabei, das Risiko auf ein akzeptables Niveau zu senken. Nutzen Sie in diesem Zusammenhang auch unser Angebot auf ein kostenloses Strategiegespräch mit einem unserer Experten.

Sie haben am Donnerstag, den 18. März von 9:30 – 11:00 Uhr keine Zeit? Melden Sie sich einfach an und Sie erhalten im Nachhinein die Aufzeichnung des Webinars per E-Mail.

DATENSCHUTZ
Millionen-Bußgeld gegen Grindr

Grindr ist eine Dating-App, die sich speziell an LGBTQ-Community richtet. Anfang 2021 hatte die App mehr als 27 Millionen Nutzer. Problematisch ist, dass Grindr die zahlreichen Daten der Nutzer – darunter den genauen Standort, das Alter, das Geschlecht und die sexuelle Orientierung – ohne eine entsprechende Rechtsgrundlage mit zahlreichen Werbepartnern geteilt hat.

Die norwegische Aufsichtsbehörde gab am 24. Januar bekannt, dass Grindr ein Bußgeld in Höhe von 100 Millionen Kronen droht (ca. 9,8 Millionen Euro). Grindr hat bis Mitte Februar Zeit dazu Stellung zu nehmen. Anschließend legt die Aufsichtsbehörde das endgültige Bußgeld fest. Die enorme Summe (ca. 10% des Jahresumsatzes) wird mit der hohen Sensibilität der Daten begründet. Norwegen gehört zwar nicht zur Europäischen Union, aber auch die Länder des EWR können die DSGVO direkt anwenden.

INFORMATIONSSICHERHEIT
BSI stellt neuen Standard für BCM vor

Das BSI hat den Standard 200-4 zum Business Continuity Management System modernisiert und vorgestellt. Der Standard ist Teil des Notfallmanagements und soll durch eine klare Aufgaben- und Prozessfestlegung unterstützen. Bis Mitte das Jahres kann man sich über einen Community Draft an der endgültigen Form des Standards beteiligen.

RECHTSPRECHUNG
Urteil zum GeschGehG

Seit 2019 ist das neue Gesetz zum Schutz von Geschäftsgeheimnissen in Kraft, aber vieles ist noch unklar. Was unter einem Geschäftsgeheimnis zu verstehen ist, ist in § 2 GeschGehG geregelt. Demnach ist es eben erforderlich, dass die Geheimnisse mit angemessenen Schutzmaßnahmen abzusichern sind.

Das OLG Stuttgart hat hierzu im November 2020 ein Urteil gefällt, das die Mindestanforderungen für Schutzmaßnahmen definiert, dass solche Informationen nur Personen anvertraut werden dürfen, die diese benötigen und, dass diese hinsichtlich der Informationen auf Vertraulichkeit verpflichtet sein müssen (OLG Stuttgart, Urt. v. 19.11.2020 - Az.. 2 U 575/19).

Um unter den Anwendungsbereich des Gesetzes zu fallen, müssen die Informationen folglich aktiv geschützt werden. Um angemessene Schutzmaßnahmen schaffen zu können, ist es empfehlenswert ein ISMS (Informations-Sicherheits-Management-System) zu implementieren. Wir beraten Sie gerne zu den Umsetzungsmöglichkeiten eines ISMS mit ISIS12 und ISO 27001.

INFORMATIONSSICHERHEIT
Lücke in Linux-Systemen

Linux gilt gemeinhin als verhältnismäßig sicher im Bereich Schadsoftware, was unter anderem auch auf die geringe Verbreitung zurückzuführen ist. Nun wurde eine Sicherheitslücke im Werkzeug Sudo gefunden. Dadurch können ohne Authentifizierung Root-Berechtigungen erlangt werden, auch wenn der Benutzer keinerlei Sudo Berechtigungen hat.

Das bedeutet, dass auch Service Accounts z. B. von Webservern oder E-Mail Servern genutzt werden können und somit die Vorteile solche Dienste unter Server Accounts zu starten zunichte gemacht werden. Die Schwachstelle betrifft alle Sudo Versionen der letzten 10 Jahre, daher kann davon ausgegangen werden, dass so ziemlich jede aktuelle im Betrieb befindliche Linux-Installation von dem Fehler betroffen ist.

Es gibt bereits ein Update, das die Lücke beseitigt und eingespielt werden sollte. Bitte bedenken Sie, dass auch viele Netzwerkgeräte wie Router, Firewalls, etc. mit Linux betrieben werden und ggf. anfällig sein können. Die Lücke zeigt, dass Fehler unabhängig von Plattformen und Betriebssystemen auftreten können und man darauf achten sollte, dass die Systeme stets aktuell gehalten werden.

Bleiben Sie geschützt, Ihr INES-IT Team

Newsletter kostenfrei abonnieren

INES IT  Informationssicherheit 




alle News
Kontakt und mehr