IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy


2.000 Kreditkarten-Kunden von illegalen Einzügen betroffen

Wie sicher sind Kreditkarten? oder noch schärfer: Wie sicher sind Konten, die von Kreditkarten belastet werden können ?

Kriminelle haben es auch nicht leicht. Mittlerweile ist dies eines meiner Mantren für Informationssicherheitsfragen, wenn es einzig um die Bereicherung geht. Der NDR meldet, dass die Oldenburgische Landesbank 1,5 Millionen in einem Angriff verloren hat, bei dem die Konten von 2.000 Kunden belastet wurden. Da nichts auf ein Fehlverhalten der Kunden hinweist, hat die Bank in jedem Einzelfall den Fehlbetrag (aus dem Risikopuffer für operationelle Risiken?) ausgeglichen.

Continue reading


Informationssicherheit – Compliance oder Wirksamkeit

Gäbe es heute Airbags in Autos, wenn in den sechziger Jahren nicht die Sicherheitsgurte eingeführt und folglich zur Pflicht gemacht wurden ? Und wurden die vielen Sicherheitselemente, die schon seit über zehn Jahren in einem Kraftfahrzeug Standard sind, eingebaut, um Gesetze zu erfüllen, oder weil Interessenten eher einen Wagen kaufen, in dem sie sich sicher fühlen.

Vielleicht

ist das der Schlüssel für mehr Sicherheit in der IT. Bis jetzt gibt es das nur ex negativo: Wenn ein Unternehmen einen schweren Sicherheitsvorfall beichten muss, wandern Kunden ab. Ein positiver Impuls wäre es, wenn Kunden Anbieter bevorzugen würden, die ihnen nachvollziehbar mehr Sicherheit bieten.  Die Nachvollziehbarkeit aber ist der Haken, denn wer kann schon beurteilen, ob die Verbindung zum Online-Angebot der Bank A effektiv sicherer ist als dem der Bank B.

Dann also doch auf Gesetztestreue setzen, und auf Gesetze im Interesse der Vielen, der Allgemeinheit, und auf die Durchsetzung. Auf Anbieterseite: auf Compliance.

In der Gastronomie hat es ja im Großen und Ganzen funktioniert. Die immer wieder aufgebrachten Skandale um Mäusekot im Brot oder andere Geschmacklosigkeiten bestätigen inzwischen eher den hohen Standard an Hygiene in Herstellung und Verkauf von Lebensmitteln und Speisen.

Bevor Industrie 4.0 und Internet of Things nicht auf einem vergleichbaren Niveau zum Schutz der Endverbraucher sind, sollte kein IoT auf den Markt kommen. Sind erst mal unsichere Systeme installiert, wird es kein sicheres Netz der Dinge geben.

Effektive Sicherheit im Netz wird es nur durch verbindliche Rechtsnormen geben.

(Mal sehen, wie ich das in vierzehn Tagen oder später lese.)


Ein Virus in einem Atomkraftwerk

Pünktlich zum Gedenktag an den GAU von Tschernobyl teilte der Betreiber des Kernkraftwerks Grundremmingen, die RWE, mit, dass in den Steuerungssystemen eine “Büro-Schadsoftware”, also ein Virus oder Tronajer, entdeckt wurde. Der Name wird nicht genannt. Es soll eine Malware sein, die Backdoors öffnet zum Internet. Aus der Umschreibung in der Pressemitteilung könnte man auf den ersten Schritt eines gezielten Angriffs schließen.

Entdeckt wurde die Malware im Rahmen der Vorbereitung auf ein IT-Sicherheits-Audit.

Betroffen war laut Pressemitteilung ein Rechner im Umfeld der Entwicklung, der nicht mit produktiven Systemen (die unmittelbare Steuerung) verbunden war.

Was kann man daraus schließen:

Continue reading


Öffentliche Warnung der Bundesbank: IT-Sicherheit wird geprüft

Die Süddeutsche Zeitung ermöglicht auf Seite 2 regelmäßig Gastbeiträge. Am 31. August 2015 las ich dort eine deutliche Warnung an die Banken, die IT-Sicherheit im öffentlichen Interesse und im Interesse der Kunden sehr ernst zu nehmen, und der Autor war Dr. Andreas Dombret, für die Aufsicht zuständiges Vorstandsmitglied der Deutschen Bundesbank.

Ausgehend von einem Fall einer Advanced Persistent Attack (im Unterschied zum Threat eine tatsächlich gelungener Angriff) schreibt Dr. Dombret: “Als Aufseher der Finanzbranche alarmieren uns solche Fälle zunehmend.” Um dann deutlich zu werden:

In diesem Jahr stellt die IT-Sicherheit deshalb bei bankaufsichtlichen Prüfungen in Deutschland und in europäischen Großbanken auch einen besonderen Schwerpunkt dar.

Und weil er offenbar ahnt, dass das noch nicht deutlich genug ist und damit klar ist, wen er adressiert, heißt es im letzten Absatz:

Zuvorderst gilt aber, dass die Ernsthaftigkeit von Cyberrisiken bis zu den Geschäftsführern aller Banken, zu anderen Finanzdienstleistern und Verbrauchern durchdringt.

Es ist naheliegend, dass mir das auffällt, weil ich als Berater in Business Continuity (BCM) und Informations-Sicherheit von Projekten zur Erhöhung der IT Security Nutzen ziehe. Das sollte aber die Wahrnehmung von Vorständen und CISOs nicht ablenken von dieser deutlichen, und wie ich meine begründeten, Warnung.

Den vollständigen Beitrag kann man immer noch lesen – auf der Website der Bundesbank.

Moderner Banküberfall Gastbeitrag von Dr. Andreas Dombret in der Süddeutschen Zeitung am 31.08.2015


Hillary Clinton’s Email – When the boss doesn’t want to comply

This is the one thing where you wouldn’t like to be the resonsible Information Security Officer, or what else title you’ve been allocated: When the boss doesn’t care about the security policies, and she does just what she believes is the right way.

That is what upset me most on the current Clinton story turning into wild and may end any further political ambition of Ms. Hillary Clinton. The only comforting element in all this mess is the attention focused on the proper ways to deal with e-mail in organizations, and I hope people understand that this is not a problem for the sole State Department, but for any organization, that e-mail is written mail committing the body that is associated to it.

And of course it seems sheer unbelievable to me that never ever has any classified information or data been transmitted via the Clinton server that served the mails. No, please, do not investigate into further details.

Continue reading


IT-Grundschutz 14. Ergänzungslieferung – BSI stellt die Metadaten für das GS-Tool zur Verfügung

Mit dem GSTOOL-Newsletter vom 04.03.2015 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass nun die Metadaten für die 14. Ergänzungslieferung vom November 2014 für das GSTOOL für den Download bereitstehen.

Hier geht es zu den Metadaten auf der Site des BSI.


Drones sur Paris

Le Monde a publié une nouvelle distribuée par l’AFP, relatant que dans la nuit du lundi 23 au mardi 24 février, plusieurs drones ont survolé Paris, et notamment l’ambassade des Etats-Unis et la tour Eiffel. Les informations données ne sont pas très précises mais il suffit de faire rèver .. un cauchemar.

Il faut nécessairement et sérieusement réfléchir si ces drones sont nécessaires et si la vente à et l’usage par des particuliers ne devrait pas être strictement règlés et contrôlés. Ce n’est certainement pas une question facile à repondre. Il y a des emplois certainement propices, bien que je ne trouve de bonnes exemples.

La simple curiosité pourtant ne me semble pas une raison valable pour l’emploi de ces engins. Et j’espère que jamais il y aura une autorisation pour les services paquets comme DHL ou autres d’envoyer des petits colis par ce moyen. Imaginez le regard d’une ruelle de Lyon un d’un boulevard de Paris infesté par des centaines de porte-bagages.

Revenons à nos moutons – pour l’informatique et la Sécurité de l’Information il y plus d’un problème à se poser en vue de l’approche d’un drone sur un centre de données ou simplement près d’un noeud internet. Et à l’invers, qu’est-ce qui arrive aux donnèes sur un drone si celui se pose ou s’abat sur un terrain public ?