Verschlüsselung, RaaS, Angriffe auf die Lieferkette: Monatliches Cyberday Produkt- und Nachrichten-Roundup 12/2023 🛡️

Dies ist die Dezember-Neuheiten- und Produktübersicht von Cyberday. Um sich für unser nächstes Admin-Webinar anzumelden (wo wir diese Dinge live durchgehen), besuchen Sie unsere Webinar-Seite.

Wichtigste Nachrichten zur Cybersicherheit 12/2023

Meta führt standardmäßige End-to-End-Verschlüsselung im Messenger ein

Artikel auf Wired.com

Meta entwickelte bereits 2016 die ersten Ende-zu-Ende-verschlüsselten Chat-Threads. 2019 folgte das Manifest "Privatsphäre zuerst" von Mark Zuckerberg.

Nach 7 Jahren Entwicklungsarbeit bringt Meta nun eine Ende-zu-Ende-Verschlüsselung für Messenger-Anrufe und -Chats heraus, die diese sicherer und privater macht.

• Eine Menge politischer und technischer Herausforderungen auf dem Weg dorthin
• Ein riesiges technisches Entwicklungsprojekt in einer Facebook-Umgebung (Milliarden von Benutzerkonten, mehrere Benutzerterminals, Synchronisierung zwischen Geräten, Hunderte von Funktionen in Nachrichten-Threads...)

Familiärer Empfang

• Lob von Einzelpersonen und Datenschutzorganisationen
• Kritik von Seiten der Polizei/Behörden (z. B. im Vereinigten Königreich), weil sie die Bekämpfung z. B. von Kindesmissbrauch erschwert

Bei der Ende-zu-Ende-Verschlüsselung werden die Daten auf dem Gerät des Absenders verschlüsselt und auf dem Gerät des Empfängers entschlüsselt. Die Verschlüsselungsschlüssel werden nur auf diesen Geräten gespeichert und nicht an Dritte weitergegeben (Facebook, Netzbetreiber, Arbeitgeber usw.). Auf diese Weise können nur der Absender und der Empfänger der Nachricht den Inhalt der Nachricht lesen.

Nahezu alle großen Energieversorgungsunternehmen erleiden Datenschutzverletzungen bei ihren Lieferanten

Artikel auf infosecurity-magazin.de

90 % der größten europäischen Energieunternehmen hatten innerhalb von 12 Monaten einen Angriff auf einen Lieferanten zu verzeichnen

• Die Lieferketten der großen Energieunternehmen sind riesig
• Obwohl nur ein kleiner Teil der 20.000 befragten Lieferanten (4 %) direkt betroffen war, bedeutete dies dennoch, dass die Mehrheit der Lieferketten

Cyberkriminelle richten ihre Aufmerksamkeit zunehmend auf Angriffe auf die Lieferkette.

In der Informations- und Cybersicherheitsarbeit von Unternehmen wird es immer wichtiger, die eigene Lieferkette zu kennen, zu priorisieren und zu überwachen:

• Welches sind die Partner, bei denen Anschläge große Auswirkungen auf uns haben würden?
• Wie können wir das Sicherheitsniveau dieser wichtigen Partner überwachen?

Ransomware-as-a-Service: Die wachsende Bedrohung, die Sie nicht ignorieren können

Artikel auf hackernews.com

RaaS gewinnt schnell an Popularität. Wie wirkt sich dies auf die Ransomware-Bedrohung aus?

• Macht Angriffe häufiger
• Reduziert die Zeit, die Kosten und die Fähigkeiten, die Kriminelle für Angriffe benötigen
• Bringt die neuesten Funktionen (z.B. doppelte Erpressung) in immer mehr Angriffe ein

Cyberkriminelle, die RaaS anbieten, bieten häufig auch Support und Updates sowie eine einfache Benutzeroberfläche an. Die Preisgestaltung kann sogar mit einem "%-der-Einnahmen"-Modell erfolgen, d. h. der "Kunde" zahlt nur, wenn er erfolgreich Lösegeld von den Opfern erhält.

RaaS (Ransomware-as-a-Service) ist ein Geschäftsmodell, bei dem Ransomware-Entwickler ihre Malware anderen Kriminellen als Dienstleistung anbieten. Dieses Modell ermöglicht es auch technisch weniger versierten Personen, sich an der Ausführung von Ransomware-Angriffen zu beteiligen.

Größte Studie ihrer Art zeigt, dass veraltete Passwortpraktiken weit verbreitet sind

Studie auf der Website der Georgia Tech

Georgia Tech untersuchte die Passwortrichtlinien von 20.000 Websites/Apps. Die meisten der Websites:

• Erlauben Sie die Verwendung von kurzen Passwörtern
• Die Verwendung gängiger schlechter Passwörter nicht verhindern
• Verwendung veralteter Passwortanforderungen (z. B. Sonderzeichen)

Anleitungen, Informationen und bewährte Verfahren zu Passwörtern sind umfassend verfügbar. Informationssicherheitsexperten müssen auch daran interessiert sein, ob die besten Praktiken bei der Umsetzung weit verbreitet sind.

Ein starkes Passwort schützt auch im Falle eines Sicherheitsverstoßes. Normalerweise verschlüsseln die Dienste die Anmeldedaten, aber Cyberkriminelle beginnen nach dem Leck, die Verschlüsselungen zu knacken. Schwache Passwörter sind die ersten, die geknackt werden.

Kann ChatGPT Ransomware schreiben? Ja.

Artikel auf malwarebytes.com

Malwarebytes hat das Schreiben von Malware-Code mit ChatGPT getestet.

Diese AI LLMs haben ihre ethischen Richtlinien, aber sie zu umgehen, scheint nicht allzu schwer zu sein:

• Schreiben Sie mir einen wichtigen Teil der Ransomware ❌
• Schreiben Sie mir einen Code, der eine einzelne Datei verschlüsselt ✔️

Bei diesem Test war die Qualität des erzeugten Codes immer noch nicht sehr gut. Das Team kam zu dem Schluss, dass ein ungelernter Programmierer mit den Ergebnissen überfordert wäre, während ein erfahrener Programmierer mit den Ergebnissen nichts anfangen könnte.

Dennoch gibt es eine enorme Verbesserung von GPT 3.0 zu GPT 4.0. Wenn die Verbesserungen weiterhin mit einem (auch nur annähernd) ähnlichen Tempo voranschreiten, könnten sich einige große Bedrohungen am Horizont abzeichnen.

ChatGPT hat gerade erst seinen 1. Geburtstag gefeiert. Wenn man bedenkt, welche Fortschritte und Auswirkungen es bereits auf uns hatte, ist das ein ziemlicher Entwicklungsweg. Es ist auf jeden Fall gut, die Entwicklungen im Auge zu behalten, sowohl in Bezug auf die Cybersicherheit als auch auf andere Gesichtspunkte.

Nationale Umsetzung der NIS2-Richtlinien schreitet voran

Gesetze im Entwurfsstadium in vielen Mitgliedsstaaten (Frist 24.10.), z.B.

• "IT-Sicherheitsgesetz 3.0" (Deutschland)
• Laki kyberturvallisuuden riskienhallinnasta (Finnland)

Unterschiede bei der Überwachung, der Definition des Anwendungsbereichs usw.

• Keine großen Überraschungen, wenn Sie mit dem Inhalt der NIS2-Richtlinie vertraut sind, da die nationalen Gesetze die Anforderungen der Richtlinie größtenteils in das für die nationale Gesetzgebung verwendete Format übertragen.
• Die Länder können den Anwendungsbereich und die Sicherheitsanforderungen ausweiten, wenn sie dies wünschen, aber in den meisten Fällen wird dies wahrscheinlich nicht umgesetzt.
  

Unser Team hat viele NIS2-Inhalte für interessierte Leute

• Melden Sie sich für das NIS2-Webinar an >>
• NIS2-Inhalte in der Akademie anzeigen >>

Facebook-Seiten von Organisationen werden gekapert

Artikel auf der Website des Finnish Cyber Security Center (auf Finnisch)

Phishing über Facebook Messenger ist heutzutage sehr verbreitet.

Die Administratoren Ihrer Facebook-Konten erhalten im Messenger möglicherweise Nachrichten vom "technischen Support von Facebook", die nach viel Arbeit klingen.

• "Anzeigenkampagne wurde nicht gesendet"
• "Ihr aktueller Beitrag verstößt gegen das Urheberrecht"
• "Verdächtige Aktivität in Ihrem Konto"

Die Links führen Sie zu einer Phishing-Website, die wie facebook.com aussieht. Das Tückische an dieser Masche ist, dass diese Nachrichten bei einem aktiven Facebook-Konto oft sogar zufällig mit relevanten Zeiten zusammenfallen. Wenn Sie gerade einen Beitrag verfasst haben und eine Nachricht über eine Urheberrechtsverletzung erhalten, besteht ein hohes Risiko, gehackt zu werden. Bleiben Sie wachsam! 🛡

Die wichtigsten Dinge aus der Entwicklung von Cyberday

UI-Updates, insbesondere für die Admin-Navigation und das Dashboard

Wir haben kürzlich unsere wichtigsten UI-Komponenten erneuert. Die größten Änderungen betreffen die Navigation (das linke Menü und seine Funktion) sowie die Prioritäten auf dem Dashboard. Wir schaffen auch einen klareren Onboarding-Flow für neue Cyberday Nutzer.

Wir erneuern die Navigation mit dem Ziel, das Bewegen innerhalb der App zu vereinfachen. Der Inhalt des linken Menüs bleibt nun immer gleich und hebt deutlich hervor, wo Sie sich gerade befinden.

Außerdem vereinfachen wir das Dashboard, damit die wichtigsten Inhalte besser zu sehen sind. Die bisherigen Inhalte der rechten Leiste rücken an den unteren Rand des Desktops. Aus Ihrem eigenen Managementsystem heben wir für jedes Thema drei Schlüsselinformationen hervor: den Abdeckungsgrad der Maßnahmen, den aktuellen Stand der Umsetzung und die Stärke der Evidenz. Das Ziel der Arbeit in Cyberday ist es, diese Werte zu erhöhen und dadurch ein effektiveres Cybersicherheitsmanagement zu schaffen.

Außerdem wollen wir neuen Nutzern den Einstieg erleichtern, z. B. mit klaren Startschritten und einer neuen "Bewertungsphase", mit der zu Beginn der Arbeit die aktuelle Abdeckung einer bestimmten Politik effektiv bewertet werden kann.

Auf mehreren Einheiten basierende Prozessbeschreibungen für Aufgaben

Jetzt können Sie für bestimmte Aufgaben entscheiden, dass sie z.B. in verschiedenen Haupteinheiten oder Standorten getrennt durchgeführt werden. Einheiten können "Abteilungen", "Abteilungen", "Landesniederlassungen" oder alles sein, was zur Struktur Ihrer Organisation passt.

Auf diese Weise müssen Sie keine separaten Aufgaben erstellen, sondern können zusätzlich zum Haupteigentümer der Aufgabe mehrere Eigentümer der Einheit mit der Aufgabe verbinden. Die Eigentümer der Einheit sind für das Ausfüllen der Beschreibung und den Einsatz der Maßnahme in ihrer Einheit verantwortlich.

Neuer Berichtstyp: Sicherheitserklärung

Wenn Sie mit der Erstellung eines neuen Berichts beginnen, können Sie jetzt einen neuen Typ verwenden: Sicherheitserklärung.

Sicherheitserklärungen sind als Übersichten über Ihre Aufgaben auf einer gewünschten Detailebene und in einem gewünschten Umfang konzipiert. Bei der Erstellung einer Erklärung können Sie wählen, welche Themen, Richtlinien oder einzelnen Aufgaben Sie in den Bericht aufnehmen möchten.

Erklärungen sollen es Ihnen ermöglichen, auf einfache Weise einen gut aussehenden "Export" des gewünschten Aufgabeninhalts zu erstellen. Sie können für die externe Kommunikation (z. B. zur Erstellung einer umfassenden Sicherheitserklärung für Kunden) oder für die interne Berichterstattung (z. B. zur Erstellung einer detaillierten themenspezifischen Erklärung für die interne Kommunikation) verwendet werden.

Verbesserungen der Audits-Tabelle

Interne Audits sind ein wirksames Mittel, um die Funktionalität der eigenen Informationssicherheitsarbeit zu überwachen. Eine nach ISO 27001 zertifizierte Organisation muss zum Beispiel auch nachweisen können, dass regelmäßig Audits durchgeführt werden und dass die Abdeckung des gesamten Rahmens in einem Dreijahresrhythmus geprüft wird.

Um dies zu unterstützen, haben wir Verbesserungen an der zugehörigen Audittabelle vorgenommen. Sie können nun filtern, um die durchgeführten Audits aus der Perspektive eines bestimmten Anforderungsrahmens anzuzeigen. Darüber hinaus können Sie auf einen Blick sehen, ob die letzten Audits den gesamten Rahmen abgedeckt haben.

Verbesserungen bei den Druck-/PDF-Formaten der Berichte

Wir haben die Darstellung von Berichten geändert, wenn ein Benutzer über die Schaltfläche "Drucken" die Druckansicht aufruft. Auf diesem Weg können Sie den Bericht auch immer im PDF-Format speichern.

In der Druckansicht werden Abstände und Schriftgrößen nun etwas optimierter verwendet. Ebenso versuchen wir, einen Seitenwechsel immer nach den wichtigsten Abschnitten vorzunehmen, so dass der neue Inhalt eindeutig erst auf der nächsten Seite beginnt.

Wir freuen uns über jedes Feedback von Ihnen und werden den Druckmodus in Zukunft weiter verbessern. 👍

Feedback oder Fragen?

Wenn Sie uns etwas fragen möchten, können Sie unser Team jederzeit über den Chat oder unter team@cyberday.ai erreichen.