Das Europäische Parlament hat mit einer knappen Mehrheit von 318 zu 280 Stimmen die Parlamentsfassung der sogenannten ePrivacy-Verordnung verabschiedet. Sie ändert den im Januar 2017 von der Europäischen Kommission vorgelegten Entwurf in zentralen Punkten in Richtung stärkerer Datenschutz- und Sicherheitsvorschriften für elektronische Kommunikation. Nun beginnt im nächsten Schritt der sogenannte Trilog, die Verhandlungen zwischen EU-Parlament, EU-Rat (also Mitgliedsstaaten) und EU-Kommission; mit einer Verabschiedung wird für Sommer 2018 gerechnet. Continue reading
Screwed up VLAN implementations – On the Importance of Basic Technologies
There is hardly a week passing by, that is not dominated by some more or less serious IT security incident. Though a considerable number of these incidents is caused by the exploitation of specific vulnerabilities, be it zerodays or not, their impact is frequently dependent on the prevalent infrastructure of the systems in question. The spreading of WannaCry, for example, could have been – and in many cases probably was* – condemned by the proper employment and configuration of firewalls to separate networks or at least filter potentially illegitimate traffic. Continue reading
„Bei Hacking-Risiken oder Sicherheitslücken fragen Sie bitte Ihren Arzt oder Apotheker“
“¦in etwa diese Maßnahme empfahl am 29. August der Medizingerätehersteller Abbott etwa 745 000 Patienten weltweit, die sich im Krankenhaus nun ein Software-Update für ihren Herzschrittmacher aufspielen lassen müssen. Das Update soll eine Sicherheitslücke in der Systemsoftware schließen, die Hacker per Funk ausnutzen und damit potentiell den Tod von Patienten verursachen können.
In Deutschland sind etwa 13 000 Patienten betroffen. “Patienten sollten mit ihrem Arzt sprechen, um festzustellen, ob das Update richtig für sie ist”, sagte eine Sprecherin des Unternehmens Spiegel Online. Continue reading
The NSA still gets their way when it comes to cryptographic standards
The Reuters headline “Distrustful U.S. allies force spy agency to back down in encryption fight“ actually sounds good for those of us who are upset of the NSA’s history of pushing insecure and backdoored cryptography into standards (see also these nice sounding headlines ). However, when having a closer look these headlines are actually quite misleading. The truth is rather that the NSA gets away with pushing two block ciphers into an international ISO standard despite i) its recent history of undermining standards and ii) the fact that they ignored best-practices in publishing the two ciphers.
European Commission presents comprehensive proposals on cybersecurity
As part of the State of the Union speech delivered by the President of the European Commission, Jean-Claude Juncker, on 13 September 2017, the European Commission presented extensive and far-reaching proposals to improve cyber security in Europe. The overall package consists of legislative proposals, recommendations, strategy papers and accompanying reports. Continue reading
IT-Sicherheitsgesetz: Anforderung für Gesundheitswesen, Banken, Versicherungen, Verkehr und Logistik in Kraft getreten
Mit dem IT-Sicherheitsgesetz vom 25. Juli 2015 sind in Deutschland umfangreiche Anforderungen an die Betreiber kritischer Infrastrukturen verabschiedet worden, ihre IT-Systeme vor Angriffen zu schützen. Die Betreiber kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation (IKT), Gesundheit, Finanz- und Versicherungswesen sowie Transport und Logistik müssen die für kritische Dienstleistungen benötigten Anlagen durch Maßnahmen nach dem “Stand der Technik” absichern sowie Störung dieser Systeme dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das Gesetz selbst definiert allerdings nicht, welche Dienstleistungen der genannten Sektoren als kritisch anzusehen sind und welche Anlagen hierfür benötigt werden. Das Gesetz ermächtigt das Bundesministerium des Innern (BMI), im Einvernehmen mit weiteren Bundesministerien sowie nach Konsultation der Branchenverbände eine Verordnung zu erlassen, die genauer definiert, welche Dienstleistungen betroffen sind. Insbesondere muss BMI branchenspezifische Schwellwerte definieren, ab denen der Versorgungsgrad einer Dienstleistung als kritisch anzusehen ist. Die Verpflichtung zum Ergreifen der Sicherheitsmaßnahmen und die Meldepflicht treffen den Betreiber kritischer Dienstleistungen erst zwei Jahre nach Inkrafttreten dieser Verordnung, da er erst ab diesem Zeitpunkt absehen kann, welche Maßnahmen in welchem Umfang zu ergreifen sind. Continue reading
Zwei-Faktor-Authentisierung: Nutzung des neuen Personalausweises wird erleichtert
Fast täglich werden digitale Identitätsdaten gestohlen, sei es durch Schadprogramme beim Nutzer, sei es durch erfolgreiche Angriffe auf Diensteanbieter. Oft werden Millionen von Datensätzen entwendet, allzu häufig nicht oder nur schwach verschlüsselt. Der Schwarzhandel mit Identitätsdaten blüht. Der BSI-Lagebericht 2016 weist darauf hin, dass zunehmend Identitätsdaten auf den Schwarzmarkt kommen, die offenbar aus lange zurückliegenden Diebstählen stammen. Nach wie vor erfolgt die überwältigende Menge aller Authentisierungsvorgänge im Internet mit einer Kombination aus Benutzername und Passwort. IT-Sicherheitsexperten sind sich einig, dass die Umstellung auf Zwei-Faktor-Authentisierung das Mittel der Wahl ist, um unberechtigte Zugriffe auf digitale Dienste zu verhindern. Zwei-Faktor-Authentisierung bedeutet, dass für eine erfolgreiche Authentisierung zwei unterschiedliche Faktoren nötig sind, zum Beispiel ein Geheimnis (wie das Passwort) und ein Smartphone oder auch ein Fingerabdruck und eine Chipkarte. Vom Geldautomaten ist die Zwei-Faktor-Authentisierung mittels Karte und PIN bekannt. Continue reading
On the Usefulness of Anti Virus Software
Anti virus software is probably one of the first things to be installed on a fresh system before any other software hits the harddisk. There seems to be consensus that a virus scanner is a must-have nowadays, the only thing that is not clear, is which one is supposedly the best when it comes to malware, ransomware, spyware, scareware, root-kit, spam, phishing, botnet, trojan or <place random word here> detection. No-one has ever been blamed for using AV, the opposite might be the case though. But in fact, there is an ongoing discussion about the usefulness of such software and it is as old as virus scanners themselves. Continue reading
Common Challenges in Combating Cybercrime
Combating cybercrime is one of the top priorities of the European digital agenda. For the second time, Europol and Eurojust jointly presented a paper on “Common Challenges in Combating Cybercrime”. As an input to the political debate, it was sent to the Council on March, 13th, 2017. The paper is worth reading to get an overall picture of the challenges, law enforcement agencies in Europe are facing, when trying to deal with current cybercrime cases. Continue reading
Security Implications of Radio Equipment Directive 2014/53/EU
Operating radio equipment in compliant modes is a reasonable thing to do. WiFi and GSM jammers are excellent examples of what might happen if radio equipment is not operated in compliant modes, rendering communication (based on GSM or WiFi in this case) impossible in a certain radius. Things can get even more delicate if GSM baseband firmware is modified so that it violates the GSM protocol in ways that allow for Denial of Service attacks on cell phone towers. Back in 2009, this was one of Apple’s claims on why it would need to take actions against jailbreaking iPhones (1), with a jailbreak being mandatory if users wanted to remove the built-in provider-lock. This unlock, in fact, tinkered with the baseband. Continue reading