Beiträge

Handlungsbedarf für Owncloud- und Nextcloud-Betreiber — kritische Sicherheitslücke

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktu­el­len Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kri­ti­schen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind poten­ti­ell ver­wund­bar. Betroffen sind u.a. gro­ße und mit­tel­stän­di­sche Unternehmen, öffent­li­che und kom­mu­na­le Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und pri­va­te Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hin­ge­wie­sen. Sehr viel ist seit­her nicht pas­siert, wie man der aktu­el­len Meldung ent­neh­men kann. Lediglich ein Fünftel der infor­mie­ren Einrichtungen hat reagiert und die Schwachstelle geschlos­sen.

Ob die eige­ne Cloud-Installation betrof­fen ist, kann mit dem Security-Scanner von Nextcloud online geprüft wer­den. Der BSI-Präsident redet nicht um den hei­ßen Brei her­um:

Der Betrieb von Clouds mit ver­al­te­ten Software-Versionen, für die bereits seit lan­ger Zeit Updates der Hersteller bereit­ste­hen, ist fahr­läs­sig und macht es Kriminellen viel zu leicht, sen­si­ble Daten zu steh­len oder Geschäftsprozesse zu beein­flus­sen.”

Sollten Sie in Ihrer Organisation oder pri­vat eine Instanz von Owncloud oder Nextcloud betrei­ben, so prü­fen Sie bit­te zeit­nah unter dem og. Link oder mit­tels des Owncloud Vulnerability Scanners, ob Ihre Installation betrof­fen ist. Generell soll­te eine regel­mä­ßi­ge Prüfung auf Updates und deren Installation selbst­ver­ständ­lich und ein fester wie­der­keh­ren­der Termin im Kalender sein.

Atomkraftwerk Grundremmingen: PC mit Malware verseucht

Im Rahmen der gesetz­li­chen Meldepflicht infor­mier­te der Betreiber RWE des Atomkraftwerkes Grundremmingen das Bundesamt für Sicherheit in der Informationstechnik (BSI) über einen heik­len Vorfall. Ein Computer im Bereich der Brennstab-Beladung war mit Malware ver­seucht. Installiert wur­de das System bereits 2008. Weitere Systeme sei­en bis­her nicht infi­ziert. Die Analyse dau­ert der­zeit noch an.

Weder die Steuerung noch der Betrieb der Anlage sei­en gefähr­det gewe­sen. Das System hät­te ledig­lich der nach­träg­li­chen Datenverarbeitung und Visualisierung gedient. Schwacher Trost, bleibt bis zum Abschluss der Analyse offen, wie die Malware auf das System gelan­gen konn­te. Und ob auf die­sem Weg nicht wei­te­re Sicherheitsrisiken ent­ste­hen kön­nen / könn­ten.

Das AKW Grundremmingen soll 2021 vom Netz. Lokale Bewegungen for­dern schon län­ger eine frü­he­re Stilllegung sowie eine genaue­re Information der Bürger über den kon­kre­ten Sachverhalt.

Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) hat einen Anforderungskatalog Cloud Computing ver­öf­fent­licht:

Es gibt auf dem Markt ver­schie­de­ne Standards und Zertifizierungen, die von vie­len Cloud-Anbietern mit gro­ßem Aufwand par­al­lel genutzt und auf­recht­erhal­ten wer­den. Die Vielzahl an ver­schie­de­nen Zertifizierungen ist für Kunden jedoch schwer zu über­schau­en. Mit die­sem Anforderungskatalog soll den Kunden eine Hilfestellung für einen bes­se­ren Überblick zu mehr Sicherheit gege­ben und Mehrfachprüfungen ver­mie­den wer­den.

Der Katalog ist als PDF ver­füg­bar. Sie kön­nen die­sen hier her­un­ter­la­den.

LKA NRW warnt vor Krypto-Trojanern

Uwe Jacob, Chef des Landeskriminalamts Nordrhein-Westfalen (NRW) in Düsseldorf äußert sich besorgt zur Bedrohung durch die aktu­el­len Krypto-Trojaner-Kampagnen:

Wir stel­len der­zeit eine qua­li­ta­ti­ve Veränderung sol­cher heim­tücki­scher Angriffe fest.”

Jacob wei­ter:

Wenn ein Krankenhaus die Notfallversorgung ein­stel­len und Operationen ver­schie­ben muss, wenn eine Stadtverwaltung kei­nen Zugriff mehr auf ihre Daten hat oder auch Unternehmen in ihrer Existenz bedroht sind, dann macht mir das gro­ße Sorgen!”

Die Vorsorge zur Abwehr sol­cher Attacken und auch deren Krisenbewältigung im Erfolgsfall sieht Jacob als kla­re Aufgabe des Spitzenmanagements einer Organisation, ganz unab­hän­gig davon, ob es sich dabei um eine öffent­li­che oder nicht-öffentliche Stelle han­delt. Daher geht sein Appell sowohl an Vorstände, Geschäftsführer und Unternehmer als auch an Bürgermeister, Landräte, Amts- und Geschäftsstellenleiter und alle ande­ren Führungskräfte:

Alle sind per­sön­lich gefor­dert und das ist ins­be­son­de­re die Aufgabe des Spitzenmanagements, der Oberbürgermeister und der Behördenleiter. Sie müs­sen Ihr Unternehmen, Ihre Behörde, Ihre Organisation und die Bürgerinnen und Bürger vor Schaden bewah­ren. Damit kön­nen wir nicht war­ten. Es ist höch­ste Zeit, jetzt die not­wen­di­gen Maßnahmen ein­zu­lei­ten.”

Die aktu­el­len Krypto-Trojaner (Ransomware) exi­stie­ren in so viel­fäl­ti­gen Varianten und wer­den dabei unter Inkaufnahme von Streuverlusten zigtausend- oder mil­lio­nen­fach ver­teilt, dass eine Abwehr fast nicht mög­lich scheint. Virenschutz ist erst eini­ge Stunden nach Neuerscheinung einer abge­wan­del­ten Version in der Lage, Schutz zu bie­ten. Die Trojaner ver­schlüs­seln ver­schie­de­ne Dateien und rich­ten so unmit­tel­ba­ren Schaden bei den Betroffenen an. Dabei wird Kryptographie ein­ge­setzt, die dem Stand der Technik ent­spricht. Somit sind die Chancen gering, die Verschlüsselung bre­chen zu kön­nen. Und die Liste der befal­le­nen Dateien wird täg­lich grö­ßer. Hinzu kom­men neue Infektionswege über Drive-by-Downloads und Malvertising-Kampagnen.

Arne Schönbohm, Präsident des BSI assi­stiert

Die IT-Sicherheitsvorfälle der letz­ten Wochen zei­gen, wie abhän­gig unse­re Gesellschaft von Informationstechnologie ist und wel­che Auswirkungen ein Cyber-Angriff auf die Verfügbarkeit Kritischer Infrastrukturen haben kann. Krankenhäuser sind auf­grund ihrer her­aus­ra­gen­den Bedeutung für das Wohlergehen der Bevölkerung ein wich­ti­ger Teil der Kritischen Infrastrukturen und soll­ten daher die poten­zi­el­len Risiken für die Funktionsfähigkeit ihrer Prozesse ken­nen und die­sen durch geeig­ne­te Maßnahmen der Prävention, Detektion und Reaktion begeg­nen.”

a.s.k. Datenschutz berät und unter­stützt bei der Auswahl und Einführung geeig­ne­ter Maßnahmen zur Risikominimierung sowie der Krisenbewältigung. Sprechen Sie uns an.

 

Veranstaltungen

Es konnte leider nichts gefunden werden

Entschuldigung, aber kein Eintrag erfüllt Deine Suchkriterien