MELANI, Swiss national Cert organisation, just published warning about the risk of ransomware for medium and small companies. All the infection cases, which MELANI analysed, showed a lack of based IT Security.
Under the identified weaknesses are at two really catastrophic: lack of anti-virus software and not maintaining offline backups. And two which are sadly very common too: ineffective patch and life-cycle management and lack of network segmentation; and excessive user privileges.
Here is the list of weaknesses published by MELANI: lack of anti-virus software or ignoring or not taking seriously anti-virus warnings; poorly protected remote access procedures; ignoring or not taking seriously notifications from authorities; not maintaining offline backups; ineffective patch and life-cycle management; lack of network segmentation; and excessive user privileges.
Bad Guys veröffentlichen gestohlene Daten
Bad Guys hinter den Ransomware-Angriffen haben gerade eine neue Methode
entdeckt, wie sie angegriffenen Unternehmen zur Zahlung eines Lösegeldes
zwingen können.
Offensichtlich zahlen viele Opfer des Ransomware-Angriffs das verlangte
Lösegeld nicht. Solche Unternehmen haben eine Sicherung der Daten und
versuchen, alle Daten wiederherzustellen, statt zu zahlen. Um das
"Zahlungsmoral" der Opfer zu steigern, drohen Bad Guys jetzt mit
Veröffentlichung der gestohlenen Daten. Die Gruppe hinter Maze Ransomware hat
sogar eine Website dafür eingerichtet. Dort werden Namen der angegriffenen Unternehmen und auch gestohlene Daten exemplarisch publiziert.
Diese Methode stellt die Opfer der Ransom-Attacken vor neue
Herausforderungen. Erstens, viele Unternehmen haben den Angriff verschwiegen.
Andere Unternehmen haben zwar zugeben, angegriffen zu sein. Sie haben aber
behauptet, dass trotz der Verschlüsselung der Daten durch Ransomware keine
internen Daten gestohlen und kompromittiert wurden. Diese Behauptung war zwar
nie besonders glaubwürdig. Eine Ransomware, welche unentdeckt in das interne
Netzwerk eines Unternehmens eindringt, hat sicherlich auch die Möglichkeit
zumindest einen Teil der Daten vor der Verschlüsselung zu stehlen. Es ist auch
fraglich, ob angegriffene Unternehmen überhaupt fähig sind, festzustellen, ob
und welche Daten gestohlenen worden sind. Die meisten Unternehmen haben nicht
genug Log-Daten und Auswertungsmöglichkeiten, um solche Aussage fundiert zu
machen. Es fehlte aber bis vor kurzem ein greifbarer Beweis, dass bei
Ransomware-Angriffen auch Daten gestohlen werden. Die Veröffentlichung der gestohlenen
Daten durch Maze Ransomware schafft hier Klarheit.
Da es sich bei vielen gestohlenen Daten um personenbezogene Daten
handelt, müssten die betroffenen Unternehmen solche Vorfälle immer an die
zuständige Datenschutzbehörde (nicht nur innerhalb der EU) melden. Was viele angegriffenen Unternehmen bis
vor kurzem nicht gemacht haben. Das kann hohe Strafen für Missachtung der DSGVO
nach sich ziehen.
Yuval Harari speaks about the main challenges for our civilisation
I really like to listen to Yuval Harari. His precisely formulated thoughts show a broader perspective for the main challenges awaiting us in the near future. Harari says that there are three main developments we should care about: danger of nuclear war, climate change and hacking humans through artificial intelligence. These 3 challenges have the potential to destroy human civilization. All these challenges can be solved only on a global scale. This means that all people and all nations (or at least a big majority) need to cooperate to find proper solutions.
Climate change can be stopped very quickly if we agree to spend approximately 2% of GDP for developing new technologies and improving production methods. What we need is readiness to act and spend money. The climate agenda of the EU is a good step in the right direction. And I am pretty sure that countries, which start changing their economy in this direction now, will gain huge profit in 2 or 3 decades.
New technologies based upon Big Data and AI can predict our thoughts and behavioural patterns better than we can ourselves. This allows very sophisticated surveillance, control and manipulation of people for economic advantages (private companies) or any kind of dictatorship. Harari speaks here about the possibility of digital dictatorship. We humans need to control this development and define some reasonable rules how it can be used. The EU Commission is going in the right direction with plans for regulations to make AI trustworthy.
It would be really good if we all would spend much more time carrying about these main challenges of mankind instead of wasting our time and resources on topics with little importance for our future.
Demis Hassabis spricht über die Zukunft von AI
Ein nettes Interview mit Demis Hassabis, welches Jim Al-Khalili durchgeführt hat, hat BBC publiziert. Demis Hassabis spricht dort über seine Kindheit und sein Weg zu AI. Demis Hassabis ist einer der wichtigsten players im AI-Sektor. Er ist einer der Gründer von Deepmind, welches dann an Google verkauft wurde. Deep Mind ist ein führendes Unternehmen im Bereich Deep Learning. AlphaGo, eine von Deepmind entwickelte AI, schlug 2016 den Weltmeister im GO Lee Sedol. Die nachfolgende Entwicklung von Deepmind, AlphaZero, ist eine der ersten generischen AI für Brettspiele. AlphaZero kann ein neues Spiel erlernen, indem es nur einige Stunden mit sich selbst spielt.
Demis Hassabis meint, dass AI (wie jede andere Technologie auch) von sich aus neutral für die Gesellschaft ist. Alles hängt davon ab, wie wird sie angewendet. Demis Hassabis will mit seinen Entwicklungen im Umfeld AI das menschliche Potential erweitern. Er glaubt, dass in naher Zukunft, AI die Menschen in der Analyse riesiger Datenbestände und komplexer Aufgaben unterstützen wird. Jetzt beschäftigt er sich mit dem Einsatz von AI in der wissenschaftlichen Forschung.
Patientendaten aus französischer Medizin-Cloud offen im Internet
Kaum ein Tag vergeht ohne einem
Sicherheitsvorfall. Diesmal
ist ein französisches Medizinunternehmen betroffen. Fast eine Million
Dateien mit Patientendaten waren offen aus Internet erreichbar. Die Ursache war,
wie so oft, eine falsche Konfiguration des Speichers in der Amazon-Cloud.
Auch dieses Daten-Leak wäre leicht zu
vermeiden. Man muss nur regelmäßig alle aus Internet erreichbaren Server
scannen und überprüfen, ob sie richtig konfiguriert und keine Schwachstellen
vorhanden sind. Das ist heutzutage eine absolut grundlegende
Sicherheitsmaßnahme und es gibt unzählige Tools und Services dafür. Jedes
Unternehmen, welches eigene (on-Prem und auch in der Cloud) Infrastruktur nicht
scannt, handelt fahrlässig.
Dieser Sicherheitsvorfall hat aber einen
zusätzlichen Aspekt. Bei den kompromittierten Daten handelt sich um
Gesundheitsdaten. Solche Daten sind laut DSGVO als besondere Kategorie der
personenbezogenen Daten eingestuft und erfordern damit einen besonderen Schutz.
Auf jeden Fall ist ein Unternehmen, welches solche Daten verarbeitet und
speichert, verpflichtet eine Datenschutz-Folgenabschätzung
(DSFA) durchzuführen. Im Rahmen einer DSFA muss man bestimmen, mit welchen
Risiken die Verarbeitung dieser personenbezogenen Daten für die Rechte und
Freiheiten der natürlichen Personen verbunden ist. Entsprechend dieser
Risikoanalyse sind auch alle notwendigen Sicherheitsmaßnahmen zu ergreifen, um
diese Risiken zu minimieren. Artikel 32 von DGVO schreibt etliche
Sicherheitsmaßnahmen vor, darunter auch Verschlüsselung der Daten. Ich würde
sehr gerne die Ergebnisse von DSFA für diesen Fall sehen.
Der Betreiber dieser Medizin-Cloud betont auf
seiner Website, dass die Firma die höchsten
Ansprüche wie DSGVO, HIPPA, ISO usw. einhält.
Offensichtlich nicht ganz.
Wie Heise Online berichtet
gibt das Unternehmen diesen Vorfall zu. Der CEO des Unternehmens relativiert
aber die Kritikalität des Vorfalls:
In einer Mitteilung des Unternehmens auf der Webseite zur Datensicherheit gesteht
der CEO des Unternehmens den Datenvorfall zwar ein, aber die Einlassungen
erwecken nicht den Eindruck, dass man sich dort des Ernstes der Lage bewusst
ist. So wird auf die sichere medizinische Cloud sowie ein sicheres Hosting
(Personal Data Hosting) verwiesen. Die Anwendung sowie die
Datenverwaltungspraxis sei 2018 von einer auf GDPR (die DSGVO) spezialisierten
Anwaltskanzlei geprüft worden, um die Einhaltung der angeblich 2019 in Kraft
getretenen Datenverordnung zu gewährleisten, so der CEO der Firma in seiner
Einlassung.
Angesicht des Vorfalls ist die Frage völlig
berechtigt, ob eine Überprüfung durch eine Anwaltskanzlei ausreichend für die
Erfüllung der DSGVO ist. Auf jeden Fall muss solche juristische Überprüfung
durch eine regelmäßige sicherheitstechnische Überprüfung ergänzt werden.
Aus für regelmäßigen Passwort-Wechsel
Endlich kommt auch BSI zu der Meinung, dass regelmäßiger Passwort-Wechsel die Sicherheit eher verschlechtert. NIST empfiehlt kein Passwort-Wechsel schon seit mehr als 2 Jahren. Stattdessen sollen Systemadministratoren ständig überprüfen, ob die Passwörter bereits kompromittiert sind. Nur dann sollten solche Passwörter gewechselt werden.
https://www-heise-de.cdn.ampproject.org/c/s/www.heise.de/amp/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html
https://www-heise-de.cdn.ampproject.org/c/s/www.heise.de/amp/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html
Pentagon veröffentlicht Cybersecurity Maturity Model Certification
Pentagon hat gerade ein interessantes Konzept für Cybersecurity Maturity Model Certification präsentiert. Dieses Konzept ermöglicht eine präzise Einschätzung der Reifegrade der 17 definierten Cybersecurity Domänen. Die Einschätzung basiert auf dem klassischen 5-stufigen Maturity Model. Das Konzept beinhaltet in summe 171 Sicherheitsmaßnahmen ( als Practises in CMMC bezeichnet). Diese Sicherheitsmaßnahmen sind einzelnen Domänen und gleichzeitig den Reifegraden zugeordnet.
https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf
https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf
BSI veröffentlicht ein neuer Baustein für Software-Entwicklung
Das Bundesamt
für Sicherheit in der Informationstechnik (BSI) hat das IT-Grundschutz-Kompendium
2020 gerade veröffentlicht. Dieses Kompendium beschreibt auf 880 Seiten die
IT-Grundschutz-Bausteine.
„Im Fokus des
IT-Grundschutz-Kompendiums stehen die sogenannten IT-Grundschutz-Bausteine. In
diesen Texten wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten
beleuchtet. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche
Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen. Die
IT-Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und
reichen thematisch von Anwendungen (APP) über Industrielle IT (IND) bis hin zu
Sicherheitsmanagement (ISMS).“
Die Struktur
des Kompendiums ist in einer Mindmap
sehr gut graphisch dargestellt.
Das
Kompendium 2020 beinhaltet auch ein neuer Baustein - CON.8
Software-Entwicklung. Die Zielsetzung dieses Bausteines wird von BSI so
definiert:
„...die Software-Entwicklung
nimmt eine zentrale Rolle (in einer Institution) ein, indem aus den
Anforderungen der Institution ein Programm-Code entwickelt bzw. angepasst wird.
Hierbei ist es von essentieller Bedeutung, dass die Informationssicherheit über
den gesamten Software-Entwicklungsprozess hinweg berücksichtigt wird, da nur
auf diese Weise die Informationssicherheit der zu entwickelnden Software-Lösung
und im Rahmen des Entwicklungsprojektes selbst gewährleistet werden kann.“
Der Baustein
Software-Entwicklung beschreibt nur sehr allgemein sichere Rahmenbedingungen
für sichere Software-Entwicklung. Der Gefährdungskatalog beschreibt die
gängigen Gefahren in der Software-Entwicklung und die definierten Anforderungen
helfen den Leiter der Software-Entwicklung alle notwendigen Regeln und
Maßnahmen für sichere Entwicklung zu implementieren.
„Der Baustein stellt keine
vollständige Anleitung oder generelle Vorgehensweise für die Entwicklung von
Software dar, sondern er konzentriert sich auf die relevanten Aspekte der
Informationssicherheit bei der Software-Entwicklung. Mit diesem Baustein wird
der Baustein CON.5 Entwicklung und
Einsatz von Individualsoftware um
konkrete Aspekte zur Eigenentwicklung von Software erweitert. „
Es ist also
ein typischer Management-Ansatz, welcher in der betrieblichen Praxis mit davon
abgeleiteten technischen und organisatorischen Maßnahmen ergänzt werden muss.
Die Liste der Anforderungen aus dem Baustein kann dabei als eine Checkliste
dienen, um die Vollständigkeit der Umsetzung zu überprüfen.
Totale Überwachung
483 Seiten
in 2 Tagen. Selten lese ich ein Buch bis zum Ende. Noch seltener gelingt es
mir, ein Buch in 2 oder 3 Tagen zu verschlingen. In letzter Zeit waren es nur 3
- „Konklave“ von Robert Harris und „Helix“ und „Zero“ von Marc Elsberg. Marc
Elsberg schreibt Thriller, die sich mit den Folgen moderner Technologien
befassen. In seinem Buch Helix beschreibt Marc Elsberg Genmanipulationen und
deren mögliche negativen Folgen. Zero ist dagegen der lückenlosen Überwachung,
Sammlung und Ausnutzung privater Benutzerdaten und Beeinflussung des Menschen
durch künstliche Intelligenz gewidmet. Marc Elsberg mischt diese Themen
geschickt zusammen und verpackt sie in einen spannenden Thriller. Der Leser
dieses Buches erfährt vieles über die aktuellen Möglichkeiten der digitalen
Technologie und wird dabei gut unterhalten. Das Rezept von Marc Elsberg, auf
eine unterhaltsame Art und Weise die Gefahren neuer Technologien aufzuzeigen,
ermöglicht ihm eine breitere Leserschaft anzusprechen. Viele Leser von Zero
werden sich wahrscheinlich nur ungern Vorträge von Wissenschaftlern anschauen,
die vor den negativen Folgen der neuen Technologien warnen. Ein spannender Thriller,
der dieselbe Warnung sehr plastisch darstellt, ist eine viel angenehmere Art,
sich mit diesem Thema zu auseinanderzusetzen.
Was droht
uns also demnächst? Marc Elsberg skizziert eine nahe Zukunft der totalen
Überwachung. Alle Menschen werden durch die staatlichen Akteure rund um die Uhr
überwacht. Unzählige Kameras in den Städten (auf die sich Geheimdienste
problemlos Zugriff verschaffen) folgen uns auf Schritt und Tritt. Unsere
Smartphones und soziale Medien liefern weitere unzählige Informationen über
uns. Diese Fülle an Information kann kein Mensch mehr sinnvoll verarbeiten und
auswerten. Die echte Gefahr sind die intelligenten Algorithmen, die blitzartig
diese Flut an Information über uns sortierten, analysieren und nach definiertem
Muster auswerten können.
Es gibt
auch weitere Akteure, die Zugriff auf diese Information haben und sie für
eigene Interessen nutzen können. In Gegensatz zu Geheimdiensten, die sich den
Zugriff auf diese Information ohne um Erlaubnis verschaffen können, fragen uns
meistens die Betreiber sozialer Netzwerke oder anderer Dienste, ob wir mit der
Verarbeitung unserer Daten einverstanden sind. Sehr viele von uns stimmen zu,
weil man die Apps als nützlich betrachtet. Was dann wirklich mit unseren Daten
passiert ist hinter dem Schleier der üblichen Floskeln des Betreibers
versteckt. Wie z.B. „Wir verarbeiten Ihre Daten mit besonderer Sorgfalt und
schützen sie vor den unbefugten Zugriff durch Dritte“.
Benutzer
können diesen Behauptungen nun vertrauen oder auch nicht. Wir haben so gut wie
keine Möglichkeit diese Aussagen zu kontrollieren oder zu überprüfen, was
wirklich mit unseren Daten gemacht wird und wie sie tatsächlich gegen den
Zugriff durch unbefugte Dritte (z.B. staatliche Organisationen) geschützt sind.
Ein Schritt in die richtige Richtung sind gesetzliche Auflagen für die
Verarbeitung von personenbezogenen Daten, wie unter anderem die DSGVO. Dieses
Gesetz gibt uns das Recht über die Verarbeitung personenbezogener Daten zu
entscheiden. Leider stehen wir mit unserem Recht ziemlich allein den
übermächtigen Internet-Konzernen gegenüber und haben kaum Chancen unser Recht
gegen die Interessen dieser Konzerne durchzusetzen.
Inzwischen
sogar die US-Amerikaner sind besorgt über die ausufernde Überwachung. New York
Times hat herausgefunden, dass man sogar die anonymen Bewegungsdaten (GPS) sehr
einer konkreten Person zuordnen kann. New
York Times beschreibt die aktuelle Situation sehr treffend:
„We are living in the world’s
most advanced surveillance system. This system wasn’t created deliberately. It
was built through the interplay of technological advance and the profit motive.
It was built to make money. The greatest trick technology companies ever played
was persuading society to surveil itself.“
Marc
Elsberg beschreibt noch eine andere Art der totalen Überwachung. Es sind die
vielen Benutzer der sozialen Netzwerke oder anderer Internetdienste, die uns
Folgen und in manchen Fällen auch denunzieren können. Mit der Verbreitung von
Gesichtserkennung und Augmented Reality - d.h. intelligenter Brillen, welche
Informationen über Objekte liefern, die wir gerade betrachten - kann jeder
Nutzer dieser Technologien zu einem potentiellen Überwacher werden. Jederzeit
werden wir im öffentlichen Raum durch unzählige private und behördliche Kameras
überwacht. Aber auch jeder Passant mit einer intelligenten Brille kann aktiv
Informationen sammeln und sie automatisch auswerten. Somit wird jeder von uns
durch ein Netzwerk von Menschen überwacht, ohne es zu wissen.
Eine
weitere Herausforderung stellen die intelligenten Apps dar. Solche Apps sammeln
Unmengen an Daten über uns und werten sie aus. Sie können uns sehr nützliche
Vorschläge für unser Leben liefern, z.B. über unsere Gesundheit oder Fitness.
Da solche Apps sehr viel über unsere Emotionen, Vorlieben und Neigungen wissen,
sind sie auch imstande unser Verhalten vorherzusagen. Das heißt sie können mit
bestimmter Wahrscheinlich berechnen, wie wir uns in gewissen Situationen
verhalten werden. Mit diesem Wissen können sie aber auch sehr leicht unser
Verhalten manipulieren. Auch hier wissen wir nicht, wie die Algorithmen, die
uns die hilfreichen Ratschläge geben, funktionieren. Die Betreiber liefern
keine Informationen darüber und behaupten, es sei ihr geistliches Eigentum.
Intelligente
Apps, Augmented Reality, Künstliche Intelligenz und eine Unmenge von diversen
Sensoren sind neue Herausforderungen des digitalen Zeitalters. Diese
Technologien können uns in sehr vielen Aspekten helfen unser Leben zu
verbessern. Sie können aber auch gegen uns verwendet werden. Entweder durch
diktatorische Regime oder gierige Unternehmen, die uns mehr oder weniger
versklaven. Yuval
Harari, der vor Technologien warnt, die den Menschen hacken können, zeigt
folgendes Horrorszenario. Stellen sie sich vor, dass Nordkorea über eine
Technologie verfügt, die Ihre Emotionen kontrollieren kann. Diese Technologie
misst, ob Ihre Begeisterung während der Ansprache des „geliebten“ Führers
wirklich echt ist oder nur gespielt. Wenn die App erkennt, dass sie nur
äußerlich die Zustimmung zeigen, ist die Überweisung in ein Umerziehungslager
schon in die Wege geleitet. Eine solche Technologie wird schon bald Realität
werden. Ein schreckliches Szenario, das sogar Orwell's Vorstellung im „1984“
bei weitem übertrifft.
Was sollen
wir in dieser Situation tun? Verzichten kann man auf die Nutzung moderner
Technologien in einer Ära der Digitalisierung kaum. Den Fortschritt zu stoppen
ist auch nicht mehr möglich. Michal Kosinski, Professor an der Stanford Universität, meint,
dass unsere Privatsphäre schon verloren ist. Michal Kosinski zeigt,
dass schon mit einigen wenigen „Likes“ künstliche Intelligenz sehr genaue Einschätzung
einer Person möglich macht.
Es gibt
keine Chance, die Unmengen privater Information, die überall über uns
gesammelt werden, zu stoppen. Wir müssen uns also darauf konzentrieren,
was mit diesen Daten passiert und wie sie verarbeitet werden. Wir müssen
Betreiber zwingen, ihre Algorithmen und Verarbeitungsmethoden transparent zu
machen. Wir müssen kontrollieren, was hinter dem Vorhang mit unseren Daten
geschieht. Das können wir nur durch öffentlichen Druck und Regulierung
erreichen. Ja, digitale Wirtschaft muss reguliert werden so wie die
Lebensmittel oder Pharmaindustrie. Regulierungsorgane müssen Auflagen
definieren, an die sich die Verarbeitung unserer Daten zu richten hat. Diese
Organe müssen auch das Recht erhalten, wirkliche Kontrollen durchzuführen.
In
Deutschland aber auch innerhalb der EU gibt schon eine ernsthafte Diskussion
über solche regulativen Maßnahmen. Ein Konzept einer „vertrauenswürdiger
KI“ wird skizziert. Paul Nemitz, Chefberater der Generaldirektion für Recht
und Verbraucherschutz bei der Brüsseler Regierungseinrichtung sprach vor kurzem
auf einem Symposium der
Datenschutzkonferenz von Bund und Ländern zum Thema "Künstliche
Intelligenz über dem geplanten Weißbuchs
der EU-Kommission für einen KI-Rahmen.
Abonnieren
Posts (Atom)