Im März dieses Jahr hat der US-Kongress den sogenannten Cloud Act verabschiedet. Dieser erlaubt US-Behörden weltweiten Zugriff auf Daten von US-Unternehmen – auch wenn deren Server in der EU stehen. Für Unternehmen, die Daten bei US-Dienstleistern speichern, steht damit auch ihre IT-Sicherheit auf dem Spiel.

Der sogenannte Cloud Act (Clarifying Lawful Overseas Use of Data Act, deutsch: Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland) verpflichtet US-Unternehmen Daten unabhängig vom Speicherort auf Anfrage an amerikanische Behörden herauszugeben. Die US-Gesetzgebung stellt damit amerikanisches Recht in einem EU-Mitgliedsstaat über EU-Recht. US-Firmen befinden sich zukünftig also in einem Dilemma: Verweigern sie den Zugriff, brechen sie amerikanisches Recht und umgekehrt europäisches.

Microsoft hat gekämpft und verloren

Einer der Hintergründe der Entscheidung war der Fall Microsoft. Die Angelegenheit reicht bis 2013 zurück. Damals ermittelte das US-Justizministerium wegen Drogenkriminalität und verlangte von Microsoft Zugriff auf das E-Mail-Konto eines Verdächtigen. Da der Server mit den Daten jedoch in Irland stand, erklärte Microsoft den Durchsuchungsbeschluss für ungültig. Es kam zu einem Prozess, den Microsoft in erster Instanz verlor und in zweiter Instanz gewann. Aufgrund des neuen Cloud Act wurde dieser Fall nun aber für erledigt erklärt. Wie eine akzeptable Lösung zwischen den USA und der EU beziehungsweise den einzelnen Mitgliedstaaten in diesem Dilemma aussehen kann, wird momentan noch diskutiert.

Sensible Daten sind bei US-Firmen nicht mehr sicher

Was bedeutet das nun aber für Unternehmen, die Dienstleistungen von US-Firmen in Anspruch nehmen? In erster Linie muss ihnen klar sein, dass eine echte Compliance zur EU-DSGVO hieran scheitern kann. Einen Schritt weiter gedacht, können US-Behörden durch den Cloud Act aber auch geradezu willkürlich Zugriff auf sämtliche Daten eines Unternehmens erlangen, die bei einem US-amerikanischen Partner oder Dienstleister gespeichert sind – dies umfasst also auch Geschäfts- und Betriebsgeheimnisse oder Informationen über getroffene IT-Sicherheitsmaßnahmen.

Sicherheitsrelevante Daten sollten das Unternehmen nicht verlassen

Unternehmen, die IT-Sicherheitsdienstleistungen, wie etwa Schwachstellenmanagement, von US-Anbietern beziehen und sensible Security-Daten auch bei diesen speichern, sollten daher jetzt handeln. Für größtmögliche Sicherheit sollten sie mindestens zu einem europäischen Partner wechseln, der Daten ausschließlich in Rechenzentren innerhalb der EU speichert. Letztlich stellt sich dabei auch die grundlegende Frage, ob sicherheitsrelevante Daten das Unternehmen überhaupt verlassen sollten – oder müssen. Denn auf dem Markt gibt es durchaus IT-Security-Dienstleister, deren Lösungen ausschließlich innerhalb der Unternehmens-IT arbeiten und Daten weder in die Cloud noch zum Anbieter übertragen.

Ein Beispiel dafür ist unser Greenbone Security Manager. Er scannt IT-Netzwerke auf Schwachstellen und leitet Daten und Reports ausschließlich innerhalb des sicheren Unternehmens-Netzwerks weiter.

Cloud Act fordert zum Handeln auf

Der Cloud Act zeigt einmal mehr, dass dem Thema Datenschutz in den USA ein wesentlich anderer Stellenwert zukommt als in Europa: Während die Europäer Datenschutz als ein Menschenrecht ansehen, ist es in den Vereinigten Staaten „lediglich“ ein Bürgerrecht – das sich demzufolge auch nur auf US-Amerikaner bezieht. In der amerikanischen Gesetzgebung werden die Interessen europäischer Bürger also auch in Zukunft wenig bis gar keine Berücksichtigung finden. Darauf müssen sich Unternehmen einstellen. Sie sollten den Cloud Act daher zum Anlass nehmen und sensible Daten außerhalb des Zugriffsbereichs amerikanischer Behörden bringen. Dies kann etwa durch einen Wechsel zu europäischen oder deutschen Dienstleistern geschehen. Der Königsweg im Bereich IT-Sicherheit ist jedoch Lösungen zu wählen, bei denen sensible Daten das Unternehmen gar nicht erst verlassen.

Einen Überblick zum Cloud Act gibt es hier im iX-Artikel.

Am Puls der Zeit und noch ein Stück weiter: Im hauptstädtischen Flair fand die Greenbone Anwenderkonferenz Security Transparent in diesem Jahr am 8. Mai 2018 im Humboldt Carré Berlin statt. Im Fokus: Kritische Infrastrukturen und Cyber Resilience.

„Von Cyber Security zu Cyber Resilience“ – Das war der Tenor unserer diesjährigen Anwenderkonferenz. Zahlreiche Teilnehmer und Sprecher  tauschten sich  über aktuelle und zukünftige IT-Sicherheitsthemen aus und lieferten hochwertige Diskussionsbeiträge.

Vortrag Polizeihauptkommissar Markus Böger

Dabei war es die Bandbreite an Sektoren, die den Konferenzbesuchern dieses Jahr einen besonders breiten Erfahrungshorizont bot: Teilnehmer und Sprecher aus Produktion, Gesundheit, Energie, Verwaltung und Telekommunikation trugen zu einem spannenden Erfahrungsaustausch bei und wagten Ausblicke in die Zukunft der IT Sicherheit.

Den Auftakt machte Polizeihauptkommissar Markus Böger vom Verfassungsschutz Niedersachsen. Er erläuterte dem Publikum, welche Risiken die vernetzte Welt im Hinblick auf Wirtschaftsspionage birgt. Jan-Oliver Wagner, CEO, gab nach einer kurzen Kaffeepause Einblicke in derzeitige Entwicklungen bei Greenbone, gefolgt von Lukas Grunwald, CTO, der über „Vulnerability Management in SCADA- und ICS-Umgebungen“ referierte.

Vor Beginn der Workshops legte Dirk Schrader, CMO, in einer Keynote spannende Aspekte des Wandels von Cyber Security hin zu Cyber Resilience dar. Im Anschluss dazu konnten die Teilnehmer im Turnus an fünf unterschiedlichen Workshops teilnehmen:

Workshop 1: „Etablierung eines ISO 27001-konformen Schwachstellenmanagements als Servicedienstleister

Moderation: Tim Schäfers, OEDIV, Dr. Oetker IT

Workshop 2: „Wie Sie alle Teil meiner Sicherheitslandschaft sind

Moderation: Henry Hughes, Jisc, Oxford, UK

Workshop 3: „Von der Sicherheitslücke zum Fix – Wie Unternehmen mit Sicherheitslücken (nicht) umgehen sollen

Moderation: Sebastian Neef, IT Solutions Neef

Workshop 4: „Projekt zur Ermittlung der von einer Greenbone Appliance generierten Last und auch der Unterschiede der Scanresultate zwischen verschiedenen Scankonfigurationen“ 

Moderation: Ingo Bahn, gematik

Workshop 5: „Einführung in Vulnerability Management

Moderation: Martin Herfurt, Professional Services Team, Greenbone

Wir bedanken uns bei allen Teilnehmern für ihr Kommen und freuen und bereits auf das nächste Jahr, wenn es wieder heißt: alle Karten auf den Tisch! Bei der Security Transparent 2019. Die Präsentationen können Sie mit einem Klick auf den Link kostenlos herunterladen.

Ihr Greenbone-Team

Die Greenbone Anwenderkonferenz Security Transparent findet in diesem Jahr am 8. Mai 2018 im Humboldt Carré Berlin statt. Im Fokus: Kritische Infrastrukturen und Cyber Resilience.

In diesem Jahr dreht sich auf unserer Anwenderkonferenz alles um die IT-Sicherheit von kritischen Infrastrukturen (KRITIS) – wie Energie, Gesundheit, Wasserversorgung oder Transport und Verkehr. Unternehmen in diesen Sektoren sind die Säulen unseres Gemeinwesens und Ausfälle könnten katastrophale Folgen haben – man male sich nur die dramatischen Auswirkungen eines Zusammenbruchs der Stromversorgung aus. Im Zuge der Digitalisierung hat sich die Sorge von Regierungen um kritische Infrastrukturen noch weiter verschärft. Denn durch immer mehr und immer komplexer ablaufende digitale Prozesse hat sich auch die Angriffsfläche für Hacker enorm vergrößert.
Paradigmenwechsel: Von Cyber Security zu Cyber Resilience
Natürlich möchten Unternehmen ihre IT am liebsten zu 100 Prozent „fail-safe“ absichern. Doch dies würde sie zu unflexibel und reaktionsschwach machen. Daher forcieren wir einen Paradigmenwechsel hin zu „safe-to-fail“. Das bedeutet: Unternehmen müssen ihren Betrieb auch dann aufrechterhalten könnten, wenn ein Angriff von außen gelingt – Widerstandsfähigkeit (engl. Resilience) ist hier das Schlüsselwort. Ein Wandel von Cyber Security hin zu Cyber Resilience ist also dringend notwendig. Welche Voraussetzungen dafür nötig sind und welche Rolle Schwachstellen-Management dabei spielt – darüber möchten wir auf der Security Transparent diskutieren.
Zu Gast sind Unternehmen und Institutionen aus den Sektoren Produktion, Gesundheit, Energie, Verwaltung und Telekommunikation. Zudem freuen wir uns auf spannende Vorträge und Workshops mit folgenden Sprechern:

  • Tim Philipp Schäfers, Cyber Security Consultant OEDIV (Dr. Oetker IT)
  • Ingo Bahn, IT-Sicherheitsbeauftragter, Gematik
  • Henry Hughes, Director IT Security, Jisc (Organisation zur Förderung digitaler Technologien in Forschung und Lehre), UK
  • Markus Böger, Polizeihauptkommissar Verfassungsschutz Niedersachsen
  • Sebastian Neef, IT Solutions Neef und Internetwache
  • Martin Herfurt, Senior Professional Services Consultant Greenbone Networks

Sie möchten an der Konferenz teilnehmen? Hier geht es direkt zur Online-Anmeldung. Weitere Informationen zur Security Transparent 2018 finden Sie hier.

Wir freuen uns auf eine spannende Konferenz mit Ihnen!

Die Zahl der existierenden Bedrohungen aus dem Netz, die Millionen von Empfängern wirtschaftlichen und persönlichen Schaden zufügen, ist schier unendlich. Schadsoftware zu verfolgen ist ebenso sinnlos, wie unmöglich. Der richtige Ansatz hingegen erlaubt, die eigenen Systeme auf Schwachstellen zu überprüfen – kontinuierlich und umfassend. Das macht den Unterschied zwischen Fail-Safe und Safe-to-Fail aus.

Bringen auch Sie Ihre Netzwerke in einen Zustand der Sustainable Resilience – mit Vulnerability Management!

Spectre und Meltdown sorgen weltweit für Aufregung

Aktuell häufen sich Berichte über unsichere Prozessoren, die seit Jahren eingesetzt werden. Meltdwon und Spectre sind zwei Angriffsszenarien, die diese Sicherheitslücken ausnutzen. Besonders brisant: Jedes Betriebssystem, auf dem mehrere Benutzer gleichzeitig arbeiten, ist betroffen. Dem „nicht privilegierten“ Benutzer ist es dadurch möglich, jeden Speicherbereich aus dem RAM auszulesen, sofern er die Software dafür auf dem System ausführen kann. Auch Angreifer können hier schädigen, indem sie Schadcodes auf einer Website platzieren, die von einem Webbrowser aufgerufen wird.

Wie weitreichend das Ausmaß ist, wird klar, wenn man sich vor Augen führt, dass durch die Sicherheitslücke „Meltdown“ beispielsweise bei Intel jede CPU seit dem Pentium II von 1997 betroffen ist. Hinzu kommt „Spectre“. Von ihr sind Mikroprozessoren von ARM und AMD betroffen. Das gilt für PCs, Laptops, Tablets, Server und Smartphones gleichermaßen. Durch die Ausnutzung dieser Lücken sind Hacker in der Lage, Hürden zwischen Anwenderprogramm und Datenspeicher zu umgehen und sensible Daten wie Passwörter herauszufischen.

Auch die Cloud ist betroffen: Daten bei Office 360 oder auf AWS können von unbefugten Benutzern ausgelesen werden, da diese üblicherweise nicht im RAM verschlüsselt sind. Solange Microsoft, Amazon und IBM nicht ihre kompletten Wolken gepatcht und neu gestartet haben, sollten daher zunächst keine Cloud-Anwendungen für vertrauliche Informationen genutzt werden.

Lösung von Greenbone sicher

Der Greenbone Security Manager ist nicht von den Schwachstellen betroffen! Unser Berechtigungskonzept und die Systemhärtung erlaubt es dem Benutzer nicht die Proof-of-Concept-Lücke auszunutzen. Unsere Lösung erkennt mit dem Feed ab dem 05.01.2018 die ungepatchten Systeme und gibt dem Benutzer Hilfe an die Hand, diese Schwachstelle zeitnah zu erkennen um abzustellen.

31 Millionen Nutzer von ai.type Keyboard haben ihre Daten dem App-Anbieter anvertraut. Eine schlechte Idee, wie sich jetzt herausstellte. Eine riesige Sicherheitslücke servierte Hackern, Spammern und Cyberkriminellen die Nutzerdaten – also Name, E-Mail-Adresse, IMEI- und Telefon-Nummer sowie Kontakte aus Telefonbüchern – auf dem Silbertablett.

Man kann nur den Kopf schütteln über Meldungen wie das Datenleak der Keyboard-App ai.type Keyboard. Da vergisst der Entwickler eine 577 GByte umfassende MongoDB-Datenbank abzusichern und öffnet damit Datendieben Tür und Tor. Zugegeben, Fehler unterlaufen jedem mal. Umso schwerwiegender das zweite Versäumnis: Offensichtlich hat der App-Anbieter keinerlei Sicherheitsmaßnahmen oder Prüfmechanismen vorgesehen, um derartige Schwachstellen zu erkennen – und zwar, bevor sie Angreifer ausnutzen können.

Dabei gehört es längst zum Standard, das eigene Netzwerk nicht nur mit reaktiven, sondern auch mit präventiven Security Tools zu schützen. Zu letzteren gehört ein umfassendes Vulnerability Management: Es überprüft die eigene Infrastruktur kontinuierlich auf Schwachstellen und meldet diese den Verantwortlichen. Eine offene Datenbank wäre hier schnell aufgefallen. Bleibt nur zu hoffen, dass andere Anbieter verantwortungsvoller mit den Daten umgehen, die ihre Kunden ihnen anvertrauen. Spätestens wenn im Mai kommenden Jahres die Europäische Datenschutzverordnung GDPR in Kraft tritt und hohe Strafen drohen, gibt es noch mehr gute Gründe dafür.

Der Adobe Patch Day im August dürfte in so mancher IT-Abteilung für Aufregung gesorgt haben: 80 Schwachstellen im Adobe Flashplayer, Adobe Acrobat und Reader sowie im Adobe Experience Manager, 46 davon als kritisch eingestuft. Damit ist eins klar: Das punktuelle Schließen derart gefährlicher Lücken wird den strengen Anforderungen an Datenschutz nicht gerecht.

Ein weiteres Risiko: Wie lässt sich eigentlich nachvollziehen, ob tatsächlich auf allen Geräten im Netzwerk die Update-Versionen aufgespielt wurden? Sicherheit schaffen nur regelmäßige und automatisierte Scans der kompletten Netzwerk-Umgebung mit Hilfe von Vulnerability-Management-Lösungen. Tägliche Updates beinhalten Schwachstellentests zu aktuellen Bedrohungen und Sicherheitslücken. Welche das beispielsweise aktuell sind, sehen Sie beim Blick in unseren Security Feed.

Totgesagte leben länger: Besondere Vorsicht bei End-of-Life-Technologien
Noch etwas zeigt der letzte Adobe Patch Day: Viele glauben, Flash wäre tot. Richtig und falsch zugleich. Denn entgegen aller Prognosen sind Flash und andere Technologien noch im breiten Einsatz. Gerade deshalb ist es besonders wichtig zu wissen, wo sie im eigenen Unternehmen noch Lücken aufreißen können. Auch hier sorgt ein regelmäßiger Check für Klarheit – und Sicherheit.

Groß angelegte Cyber-Attacken wie WannaCry lösen schnell Panik aus. Hier schafft die Greenbone Community Edition Fakten: Das kostenlose Tool überprüft das Netzwerk und bringt Schwachstellen ans Licht – und zwar bevor Malware diese gezielt adressiert.

Der weltweit angelegte Ransomware-Attacke hat Zehntausende Computer in fast 100 Ländern erreicht: Mit Hilfe des Erpressungstrojaners WannaCry versperren die Angreifer den Zugriff auf Daten. Für die Entschlüsselung wird Lösegeld fällig. Im Visier der Cyberkriminellen stehen Netzwerke mit einer Schwachstelle im Netzwerkprotokoll Server Message Block Version 1 (SMBv1). Diese war bereits seit einiger Zeit bekannt. So hat unser Greenbone Security Research Team bereits Anfang Februar einen Network-Vulnerability-Test mit Hinweis auf diese Schwachstelle für Kunden und Nutzer herausgegeben – mit positiver Rückmeldung: Der frühe Hinweis hat viele Empfänger sensibilisiert und Schlimmeres verhindert.

Dieses Feedback kam vor allem auch von Anwendern unserer frei verfügbaren Greenbone Community Edition. Sie kann deutlich mehr, als im Netzwerk nach WannaCry zu suchen. Die kostenfreie Plattform spürt auch andere Microsoft-Schwachstellen auf. Parallel können die Anwender damit die restliche IT-Infrastruktur, also andere Software-Pakete, aber auch Router, Switches, Access Points, Drucker und ähnliches auf Vulnerabilities überprüfen. Der Einsatz der Community Edition ist zeitlich unbegrenzt. Wer professionellen Support benötigt, kann jederzeit auf die Greenbone Security Manager umsteigen. Ein vollen Vergleich finden sie hier.

Übrigens: Auch die Krypto-Mining-Malware Adylkuzz, die bereits seit April kursiert, sucht sich Rechner mit dem gleichen Schlupfloch. Ein schneller Check lohnt sich also. Zum kostenlosen Download

Datenschleuder Windows10 in der iX

Windows 10 übermittelt mehr Daten an Microsoft als Datenschutzverantwortlichen in Unternehmen lieb sein kann. Mehr dazu im Artikel unseres CTOs Lukas Grunwald in der neuen iX von heute und auf heise.de/newsticker.

Unsere Kunden können ihre Infrastruktur mit der bereitgestellten Scan-Konfiguration auf besonders redselige Windows10 Installationen hin testen. Damit können Telemetry-Einstellungen verifiziert und eine Richtlinien-Prüfung auf geschwätzige Windows10 Home bzw. Pro-Versionen oder unsichere Windows10 Enterprise-Versionen durchgeführt werden. Die Config dazu gibt es hier!

TalkTalk in Großbritannien erhält Rekordstrafe weil Angreifer eine 3 Jahre alte bekannte Schwachstelle ausnutzten.

Lesen Sie meinen Kommentar dazu hier: https://www.it-daily.net/analysen/13511-hohe-strafen-fuer-unsichere-it-systeme-kommentar

talktalk