IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy


Hillary Clinton’s Email – When the boss doesn’t want to comply

This is the one thing where you wouldn’t like to be the resonsible Information Security Officer, or what else title you’ve been allocated: When the boss doesn’t care about the security policies, and she does just what she believes is the right way.

That is what upset me most on the current Clinton story turning into wild and may end any further political ambition of Ms. Hillary Clinton. The only comforting element in all this mess is the attention focused on the proper ways to deal with e-mail in organizations, and I hope people understand that this is not a problem for the sole State Department, but for any organization, that e-mail is written mail committing the body that is associated to it.

And of course it seems sheer unbelievable to me that never ever has any classified information or data been transmitted via the Clinton server that served the mails. No, please, do not investigate into further details.

Continue reading

Advertisements


IT-Grundschutz 14. Ergänzungslieferung – BSI stellt die Metadaten für das GS-Tool zur Verfügung

Mit dem GSTOOL-Newsletter vom 04.03.2015 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass nun die Metadaten für die 14. Ergänzungslieferung vom November 2014 für das GSTOOL für den Download bereitstehen.

Hier geht es zu den Metadaten auf der Site des BSI.


Aufbewahrung – neue GoBD seit Anfang 2015 in Kraft

Mit Datum vom 14. November 2014 veröffentlichte das Bundesministerium für Finanzen (BMF) die neuen

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)

Die GoBD haben die Form eines Schreibens des BMF an die Finanzverwaltungen. Sie sind also kein Gesetz. Ihre praktischen Auswirkungen sind allerdings sowohl im Bereich IT Sicherheit relevant, als auch für den Datenschutz und für das Notfallmanagement. So muss auch in Folge einer schweren Störung, Notfalls oder Krise sichergestellt werden, dass die hier genannten oder erkennbar ableitbaren Forderungen an die Integrität und an unveränderbare Archivierung erfüllt werden.

Das wird, nach eigener Erfahrung, auch bei Transitions nicht immer bedacht. Dabei ist es sowohl bei einer betriebsinternen Servicetransition zwingend, und ebenso bei einer Transition von Services von einem Provider zu einem anderen. Der Übergang ist eine gute Gelegenheit, die Verantwortung so zu ignorieren, dass am Ende selbst der Auftraggeber sich sicher fühlt, ohne zu merken, dass gerade ein Loch in seine Compliance gerissen wird.

GoBD – Schreiben des BMF vom 14.11.2014 auf der Website des BMF


Die Schweinegrippe ist zurück – A(H1N1) in Indien

Die Schweinegrippe wird im Mainstream gerne als das Beispiel einer fehlgelaufenen Pandemie-Warnung wahrgenommen, als Viel Lärm um Nichts, und als Muster einer Fehlalarms, von dem nur die Pharma-Industrie profitierte. Ich hatte schon früher aufgrund intensiver Recherchen und Analysen darauf hingewiesen, dass die Risikosituation offenbar adäquat erkannt und adäquat gehandelt wurde.

Jetzt kommen aus Indien Meldungen, dass dieser Virus sich wieder stark verbreitet und etliche Todesfälle verursacht. Am 17. Februar berichtete die Time India von 100 neuen Todesfällen in drei Tagen, was die Anzahl der Toten in dieser Welle auf 585 brachte.

Beunruhigend ist die Todesrate: 585 Tote auf 8423 Krankheitsfälle, die im Norden Indiens registriert wurden. Wenige Tage später wurde von 743 Toten und 12.000 Krankheitsfällen berichtet.

Wegen einer besonderen Häufung wurde eine Universität geschlossen. (Indian Express).

Heute nun berichtet die Economic Times, dass Unternehmen mit Impfprogrammen zu H1N1 beginnen.

Da dieser Ausbruch bis jetzt auf den indischen Subkontinent beschränkt ist, ist dies noch keine Pandemie. Die WHO geht davon aus, dass das Virus H1N1 in etlichen Ländern, darunter Indien, endemisch verankert ist. Es ist also latent vorhanden und kann unter Umständen, die so genau nicht beschreibbar sind, wieder ausbrechen.


Drones sur Paris

Le Monde a publié une nouvelle distribuée par l’AFP, relatant que dans la nuit du lundi 23 au mardi 24 février, plusieurs drones ont survolé Paris, et notamment l’ambassade des Etats-Unis et la tour Eiffel. Les informations données ne sont pas très précises mais il suffit de faire rèver .. un cauchemar.

Il faut nécessairement et sérieusement réfléchir si ces drones sont nécessaires et si la vente à et l’usage par des particuliers ne devrait pas être strictement règlés et contrôlés. Ce n’est certainement pas une question facile à repondre. Il y a des emplois certainement propices, bien que je ne trouve de bonnes exemples.

La simple curiosité pourtant ne me semble pas une raison valable pour l’emploi de ces engins. Et j’espère que jamais il y aura une autorisation pour les services paquets comme DHL ou autres d’envoyer des petits colis par ce moyen. Imaginez le regard d’une ruelle de Lyon un d’un boulevard de Paris infesté par des centaines de porte-bagages.

Revenons à nos moutons – pour l’informatique et la Sécurité de l’Information il y plus d’un problème à se poser en vue de l’approche d’un drone sur un centre de données ou simplement près d’un noeud internet. Et à l’invers, qu’est-ce qui arrive aux donnèes sur un drone si celui se pose ou s’abat sur un terrain public ?


Phishing FBI – why ? Jedenfalls professionnell !

Im letzten Beitrag hatte ich mich gewundert, dass das FBI mir 8 Millionen anbietet.

it-governance versuchte gerade eine Antwort. Wichtigstes Fazit: Phishing wird professionnell gemacht, auch die Fehler. Dies sei der Grund, warum manche Fakes so offenkundig fehlerhaft sind, vom inkongruenten Betreff bis zu Orthographie-Fehlern im Text. Damit würden gebildete Empfänger als Antworter ausgeschaltet.

Aus eigener Beobachtung will ich mal wieder die Administratoren und Power-User darauf hinweisen, dass auch sie eine Zielgruppe sind, die Zielgruppen gerecht angesprochen wird. Wir sind alle empfänglich für bestimmte Reizworte, die uns dann den mehr oder weniger versteckten Angriff übersehen lassen. So wird ein Admin kaum auf eine Aufforderung reagieren, ein Kennwort zu übermitteln. Aber einen hilfreichen Link anklicken, der fast so geschrieben ist wie die URL eines namhaften Herstellers, dazu kann man sie oder ihn schon verleiten.

Was hilft dagegen ?

  • Wahrnehmen, was kommt da auf mich zu ?
  • Passt das zu aktuellen Ereignissen in meinem Umfeld ?
  • Angebotene Links erst lesen, dann verbinden – oder auch nicht verbinden !

Was bleibt ?

Tarnen und Täuschen gibt es virtuellen wie im physischen Leben. Und auch im physischen Leben passe ich mal mehr und mal weniger auf.  Die grauen Briefe von erfundenen Bundesämtern sind seltener geworden, aber ich erkenne sie immer noch, und komme den Zahlungsaufforderungen nicht nach.

it-governance


The FBI pretends to donate me 8 million

Yes, eight million dollars.

You do not believe ? Look at this snapshot of an e-mail I recently received.

FBI mail about eight million

FBI mail about eight million

Now, what I am wondering is – who falls to such a simple trick ?

But it seems that people, though not blindly believing the text of such a message, get a feeling that they are addressed in person, and that they should find out, who is cheeting them. So they click here and there or reply to the mail.

No – don’t do that. Do not try to investigate on your own if you are not well prepared and know a lot of the ways the guys behind it act. Just delete it. Do not try to understand. Do not feel personally hurt. Just delete it. And keep on doing what you intended to do before.