MELANI, Swiss national Cert organisation, warns of the risk of ransomware

MELANI, Swiss national Cert organisation, just published warning about the risk of ransomware for medium and small companies. All the infection cases, which MELANI analysed, showed a lack of based IT Security.

Under the identified weaknesses are at two really catastrophic: lack of anti-virus software and not maintaining offline backups. And two which are sadly very common too: ineffective patch and life-cycle management and lack of network segmentation; and excessive user privileges.

Here is the list of weaknesses published by MELANI: lack of anti-virus software or ignoring or not taking seriously anti-virus warnings; poorly protected remote access procedures; ignoring or not taking seriously notifications from authorities; not maintaining offline backups; ineffective patch and life-cycle management; lack of network segmentation; and excessive user privileges.

Bad Guys veröffentlichen gestohlene Daten

Bad Guys hinter den Ransomware-Angriffen haben gerade eine neue Methode entdeckt, wie sie angegriffenen Unternehmen zur Zahlung eines Lösegeldes zwingen können. Offensichtlich zahlen viele Opfer des Ransomware-Angriffs das verlangte Lösegeld nicht. Solche Unternehmen haben eine Sicherung der Daten und versuchen, alle Daten wiederherzustellen, statt zu zahlen. Um das "Zahlungsmoral" der Opfer zu steigern, drohen Bad Guys jetzt mit Veröffentlichung der gestohlenen Daten. Die Gruppe hinter Maze Ransomware hat sogar eine Website dafür eingerichtet. Dort werden Namen der angegriffenen Unternehmen und auch gestohlene Daten exemplarisch publiziert.

Diese Methode stellt die Opfer der Ransom-Attacken vor neue Herausforderungen. Erstens, viele Unternehmen haben den Angriff verschwiegen. Andere Unternehmen haben zwar zugeben, angegriffen zu sein. Sie haben aber behauptet, dass trotz der Verschlüsselung der Daten durch Ransomware keine internen Daten gestohlen und kompromittiert wurden. Diese Behauptung war zwar nie besonders glaubwürdig. Eine Ransomware, welche unentdeckt in das interne Netzwerk eines Unternehmens eindringt, hat sicherlich auch die Möglichkeit zumindest einen Teil der Daten vor der Verschlüsselung zu stehlen. Es ist auch fraglich, ob angegriffene Unternehmen überhaupt fähig sind, festzustellen, ob und welche Daten gestohlenen worden sind. Die meisten Unternehmen haben nicht genug Log-Daten und Auswertungsmöglichkeiten, um solche Aussage fundiert zu machen. Es fehlte aber bis vor kurzem ein greifbarer Beweis, dass bei Ransomware-Angriffen auch Daten gestohlen werden. Die Veröffentlichung der gestohlenen Daten durch Maze Ransomware schafft hier Klarheit. 

Da es sich bei vielen gestohlenen Daten um personenbezogene Daten handelt, müssten die betroffenen Unternehmen solche Vorfälle immer an die zuständige Datenschutzbehörde (nicht nur innerhalb der EU) melden. Was viele angegriffenen Unternehmen bis vor kurzem nicht gemacht haben. Das kann hohe Strafen für Missachtung der DSGVO nach sich ziehen.

Yuval Harari speaks about the main challenges for our civilisation

I really like to listen to Yuval Harari. His precisely formulated thoughts show a broader perspective for the main challenges awaiting us in the near future. Harari says that there are three main developments we should care about: danger of nuclear war, climate change and hacking humans through artificial intelligence. These 3 challenges have the potential to destroy human civilization. All these challenges can be solved only on a global scale. This means that all people and all nations (or at least a big majority) need to cooperate to find proper solutions. 

Climate change can be stopped very quickly if we agree to spend approximately 2% of GDP for developing new technologies and improving production methods. What we need is readiness to act and spend money. The climate agenda of the EU is a good step in the right direction. And I am pretty sure that countries, which start changing their economy in this direction now, will gain huge profit in 2 or 3 decades.

New technologies based upon Big Data and AI can predict our thoughts and behavioural patterns better than we can ourselves. This allows very sophisticated surveillance, control and manipulation of people for economic advantages (private companies) or any kind of dictatorship. Harari speaks here about the possibility of digital dictatorship. We humans need to control this development and define some reasonable rules how it can be used. The EU Commission is going in the right direction with plans for regulations to make AI trustworthy.

It would be really good if we all would spend much more time carrying about these main challenges of mankind instead of wasting our time and resources on topics with little importance for our future.

Demis Hassabis spricht über die Zukunft von AI

Ein nettes Interview mit Demis Hassabis, welches Jim Al-Khalili durchgeführt hat, hat BBC publiziert. Demis Hassabis spricht dort über seine Kindheit und sein Weg zu AI. Demis Hassabis ist einer der wichtigsten players im AI-Sektor. Er ist einer der Gründer von Deepmind, welches dann an Google verkauft wurde. Deep Mind ist ein führendes Unternehmen im Bereich Deep Learning. AlphaGo, eine von Deepmind entwickelte AI, schlug 2016 den Weltmeister im GO Lee Sedol. Die nachfolgende Entwicklung von Deepmind, AlphaZero, ist eine der ersten generischen AI für Brettspiele. AlphaZero kann ein neues Spiel erlernen, indem es nur einige Stunden mit sich selbst spielt. 

Demis Hassabis meint, dass AI (wie jede andere Technologie auch) von sich aus neutral für die Gesellschaft ist. Alles hängt davon ab, wie wird sie angewendet. Demis Hassabis will mit seinen Entwicklungen im Umfeld AI das menschliche Potential erweitern. Er glaubt, dass in naher Zukunft, AI die Menschen in der Analyse riesiger Datenbestände und komplexer Aufgaben unterstützen wird. Jetzt beschäftigt er sich mit dem Einsatz von AI in der wissenschaftlichen Forschung. 

Patientendaten aus französischer Medizin-Cloud offen im Internet

Kaum ein Tag vergeht ohne einem Sicherheitsvorfall. Diesmal ist ein französisches Medizinunternehmen betroffen. Fast eine Million Dateien mit Patientendaten waren offen aus Internet erreichbar. Die Ursache war, wie so oft, eine falsche Konfiguration des Speichers in der Amazon-Cloud. 

Auch dieses Daten-Leak wäre leicht zu vermeiden. Man muss nur regelmäßig alle aus Internet erreichbaren Server scannen und überprüfen, ob sie richtig konfiguriert und keine Schwachstellen vorhanden sind. Das ist heutzutage eine absolut grundlegende Sicherheitsmaßnahme und es gibt unzählige Tools und Services dafür. Jedes Unternehmen, welches eigene (on-Prem und auch in der Cloud) Infrastruktur nicht scannt, handelt fahrlässig.

Dieser Sicherheitsvorfall hat aber einen zusätzlichen Aspekt. Bei den kompromittierten Daten handelt sich um Gesundheitsdaten. Solche Daten sind laut DSGVO als besondere Kategorie der personenbezogenen Daten eingestuft und erfordern damit einen besonderen Schutz. Auf jeden Fall ist ein Unternehmen, welches solche Daten verarbeitet und speichert, verpflichtet eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Im Rahmen einer DSFA muss man bestimmen, mit welchen Risiken die Verarbeitung dieser personenbezogenen Daten für die Rechte und Freiheiten der natürlichen Personen verbunden ist. Entsprechend dieser Risikoanalyse sind auch alle notwendigen Sicherheitsmaßnahmen zu ergreifen, um diese Risiken zu minimieren. Artikel 32 von DGVO schreibt etliche Sicherheitsmaßnahmen vor, darunter auch Verschlüsselung der Daten. Ich würde sehr gerne die Ergebnisse von DSFA für diesen Fall sehen.

Der Betreiber dieser Medizin-Cloud betont auf seiner Website, dass die Firma die höchsten Ansprüche wie DSGVO, HIPPA, ISO usw. einhält. Offensichtlich nicht ganz.

Wie Heise Online berichtet gibt das Unternehmen diesen Vorfall zu. Der CEO des Unternehmens relativiert aber die Kritikalität des Vorfalls:

In einer Mitteilung des Unternehmens auf der Webseite zur Datensicherheit gesteht der CEO des Unternehmens den Datenvorfall zwar ein, aber die Einlassungen erwecken nicht den Eindruck, dass man sich dort des Ernstes der Lage bewusst ist. So wird auf die sichere medizinische Cloud sowie ein sicheres Hosting (Personal Data Hosting) verwiesen. Die Anwendung sowie die Datenverwaltungspraxis sei 2018 von einer auf GDPR (die DSGVO) spezialisierten Anwaltskanzlei geprüft worden, um die Einhaltung der angeblich 2019 in Kraft getretenen Datenverordnung zu gewährleisten, so der CEO der Firma in seiner Einlassung.

Angesicht des Vorfalls ist die Frage völlig berechtigt, ob eine Überprüfung durch eine Anwaltskanzlei ausreichend für die Erfüllung der DSGVO ist. Auf jeden Fall muss solche juristische Überprüfung durch eine regelmäßige sicherheitstechnische Überprüfung ergänzt werden.

Aus für regelmäßigen Passwort-Wechsel

Endlich kommt auch BSI zu der Meinung, dass regelmäßiger Passwort-Wechsel die Sicherheit eher verschlechtert. NIST empfiehlt kein Passwort-Wechsel schon seit mehr als 2 Jahren. Stattdessen sollen Systemadministratoren ständig überprüfen, ob die Passwörter bereits kompromittiert sind. Nur dann sollten solche Passwörter gewechselt werden.

https://www-heise-de.cdn.ampproject.org/c/s/www.heise.de/amp/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

Pentagon veröffentlicht Cybersecurity Maturity Model Certification

Pentagon hat gerade ein interessantes Konzept für Cybersecurity Maturity Model Certification präsentiert. Dieses Konzept ermöglicht eine präzise Einschätzung der Reifegrade der 17 definierten Cybersecurity Domänen. Die Einschätzung basiert auf dem klassischen 5-stufigen Maturity Model. Das Konzept beinhaltet in summe 171 Sicherheitsmaßnahmen ( als Practises in CMMC bezeichnet). Diese Sicherheitsmaßnahmen sind einzelnen Domänen und gleichzeitig den Reifegraden zugeordnet.

https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf

BSI veröffentlicht ein neuer Baustein für Software-Entwicklung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das IT-Grundschutz-Kompendium 2020 gerade veröffentlicht. Dieses Kompendium beschreibt auf 880 Seiten die IT-Grundschutz-Bausteine. 

„Im Fokus des IT-Grundschutz-Kompendiums stehen die sogenannten IT-Grundschutz-Bausteine. In diesen Texten wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen. Die IT-Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und reichen thematisch von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS).“

Die Struktur des Kompendiums ist in einer Mindmap sehr gut graphisch dargestellt.

Das Kompendium 2020 beinhaltet auch ein neuer Baustein - CON.8 Software-Entwicklung. Die Zielsetzung dieses Bausteines wird von BSI so definiert:

„...die Software-Entwicklung nimmt eine zentrale Rolle (in einer Institution) ein, indem aus den Anforderungen der Institution ein Programm-Code entwickelt bzw. angepasst wird. Hierbei ist es von essentieller Bedeutung, dass die Informationssicherheit über den gesamten Software-Entwicklungsprozess hinweg berücksichtigt wird, da nur auf diese Weise die Informationssicherheit der zu entwickelnden Software-Lösung und im Rahmen des Entwicklungsprojektes selbst gewährleistet werden kann.“

Der Baustein Software-Entwicklung beschreibt nur sehr allgemein sichere Rahmenbedingungen für sichere Software-Entwicklung. Der Gefährdungskatalog beschreibt die gängigen Gefahren in der Software-Entwicklung und die definierten Anforderungen helfen den Leiter der Software-Entwicklung alle notwendigen Regeln und Maßnahmen für sichere Entwicklung zu implementieren.

„Der Baustein stellt keine vollständige Anleitung oder generelle Vorgehensweise für die Entwicklung von Software dar, sondern er konzentriert sich auf die relevanten Aspekte der Informationssicherheit bei der Software-Entwicklung. Mit diesem Baustein wird der Baustein CON.5 Entwicklung und Einsatz von Individualsoftware um konkrete Aspekte zur Eigenentwicklung von Software erweitert. „

Es ist also ein typischer Management-Ansatz, welcher in der betrieblichen Praxis mit davon abgeleiteten technischen und organisatorischen Maßnahmen ergänzt werden muss. Die Liste der Anforderungen aus dem Baustein kann dabei als eine Checkliste dienen, um die Vollständigkeit der Umsetzung zu überprüfen.

Totale Überwachung

483 Seiten in 2 Tagen. Selten lese ich ein Buch bis zum Ende. Noch seltener gelingt es mir, ein Buch in 2 oder 3 Tagen zu verschlingen. In letzter Zeit waren es nur 3 - „Konklave“ von Robert Harris und „Helix“ und „Zero“ von Marc Elsberg. Marc Elsberg schreibt Thriller, die sich mit den Folgen moderner Technologien befassen. In seinem Buch Helix beschreibt Marc Elsberg Genmanipulationen und deren mögliche negativen Folgen. Zero ist dagegen der lückenlosen Überwachung, Sammlung und Ausnutzung privater Benutzerdaten und Beeinflussung des Menschen durch künstliche Intelligenz gewidmet. Marc Elsberg mischt diese Themen geschickt zusammen und verpackt sie in einen spannenden Thriller. Der Leser dieses Buches erfährt vieles über die aktuellen Möglichkeiten der digitalen Technologie und wird dabei gut unterhalten. Das Rezept von Marc Elsberg, auf eine unterhaltsame Art und Weise die Gefahren neuer Technologien aufzuzeigen, ermöglicht ihm eine breitere Leserschaft anzusprechen. Viele Leser von Zero werden sich wahrscheinlich nur ungern Vorträge von Wissenschaftlern anschauen, die vor den negativen Folgen der neuen Technologien warnen. Ein spannender Thriller, der dieselbe Warnung sehr plastisch darstellt, ist eine viel angenehmere Art, sich mit diesem Thema zu auseinanderzusetzen.

Was droht uns also demnächst? Marc Elsberg skizziert eine nahe Zukunft der totalen Überwachung. Alle Menschen werden durch die staatlichen Akteure rund um die Uhr überwacht. Unzählige Kameras in den Städten (auf die sich Geheimdienste problemlos Zugriff verschaffen) folgen uns auf Schritt und Tritt. Unsere Smartphones und soziale Medien liefern weitere unzählige Informationen über uns. Diese Fülle an Information kann kein Mensch mehr sinnvoll verarbeiten und auswerten. Die echte Gefahr sind die intelligenten Algorithmen, die blitzartig diese Flut an Information über uns sortierten, analysieren und nach definiertem Muster auswerten können. 

Es gibt auch weitere Akteure, die Zugriff auf diese Information haben und sie für eigene Interessen nutzen können. In Gegensatz zu Geheimdiensten, die sich den Zugriff auf diese Information ohne um Erlaubnis verschaffen können, fragen uns meistens die Betreiber sozialer Netzwerke oder anderer Dienste, ob wir mit der Verarbeitung unserer Daten einverstanden sind. Sehr viele von uns stimmen zu, weil man die Apps als nützlich betrachtet. Was dann wirklich mit unseren Daten passiert ist hinter dem Schleier der üblichen Floskeln des Betreibers versteckt. Wie z.B. „Wir verarbeiten Ihre Daten mit besonderer Sorgfalt und schützen sie vor den unbefugten Zugriff durch Dritte“.

Benutzer können diesen Behauptungen nun vertrauen oder auch nicht. Wir haben so gut wie keine Möglichkeit diese Aussagen zu kontrollieren oder zu überprüfen, was wirklich mit unseren Daten gemacht wird und wie sie tatsächlich gegen den Zugriff durch unbefugte Dritte (z.B. staatliche Organisationen) geschützt sind. Ein Schritt in die richtige Richtung sind gesetzliche Auflagen für die Verarbeitung von personenbezogenen Daten, wie unter anderem die DSGVO. Dieses Gesetz gibt uns das Recht über die Verarbeitung personenbezogener Daten zu entscheiden. Leider stehen wir mit unserem Recht ziemlich allein den übermächtigen Internet-Konzernen gegenüber und haben kaum Chancen unser Recht gegen die Interessen dieser Konzerne durchzusetzen.

Inzwischen sogar die US-Amerikaner sind besorgt über die ausufernde Überwachung. New York Times hat herausgefunden, dass man sogar die anonymen Bewegungsdaten (GPS) sehr einer konkreten Person zuordnen kann. New York Times beschreibt die aktuelle Situation sehr treffend:

„We are living in the world’s most advanced surveillance system. This system wasn’t created deliberately. It was built through the interplay of technological advance and the profit motive. It was built to make money. The greatest trick technology companies ever played was persuading society to surveil itself.“

Marc Elsberg beschreibt noch eine andere Art der totalen Überwachung. Es sind die vielen Benutzer der sozialen Netzwerke oder anderer Internetdienste, die uns Folgen und in manchen Fällen auch denunzieren können. Mit der Verbreitung von Gesichtserkennung und Augmented Reality - d.h. intelligenter Brillen, welche Informationen über Objekte liefern, die wir gerade betrachten - kann jeder Nutzer dieser Technologien zu einem potentiellen Überwacher werden. Jederzeit werden wir im öffentlichen Raum durch unzählige private und behördliche Kameras überwacht. Aber auch jeder Passant mit einer intelligenten Brille kann aktiv Informationen sammeln und sie automatisch auswerten. Somit wird jeder von uns durch ein Netzwerk von Menschen überwacht, ohne es zu wissen. 

Eine weitere Herausforderung stellen die intelligenten Apps dar. Solche Apps sammeln Unmengen an Daten über uns und werten sie aus. Sie können uns sehr nützliche Vorschläge für unser Leben liefern, z.B. über unsere Gesundheit oder Fitness. Da solche Apps sehr viel über unsere Emotionen, Vorlieben und Neigungen wissen, sind sie auch imstande unser Verhalten vorherzusagen. Das heißt sie können mit bestimmter Wahrscheinlich berechnen, wie wir uns in gewissen Situationen verhalten werden. Mit diesem Wissen können sie aber auch sehr leicht unser Verhalten manipulieren. Auch hier wissen wir nicht, wie die Algorithmen, die uns die hilfreichen Ratschläge geben, funktionieren. Die Betreiber liefern keine Informationen darüber und behaupten, es sei ihr geistliches Eigentum.

Intelligente Apps, Augmented Reality, Künstliche Intelligenz und eine Unmenge von diversen Sensoren sind neue Herausforderungen des digitalen Zeitalters. Diese Technologien können uns in sehr vielen Aspekten helfen unser Leben zu verbessern. Sie können aber auch gegen uns verwendet werden. Entweder durch diktatorische Regime oder gierige Unternehmen, die uns mehr oder weniger versklaven. Yuval Harari, der vor Technologien warnt, die den Menschen hacken können, zeigt folgendes Horrorszenario. Stellen sie sich vor, dass Nordkorea über eine Technologie verfügt, die Ihre Emotionen kontrollieren kann. Diese Technologie misst, ob Ihre Begeisterung während der Ansprache des „geliebten“ Führers wirklich echt ist oder nur gespielt. Wenn die App erkennt, dass sie nur äußerlich die Zustimmung zeigen, ist die Überweisung in ein Umerziehungslager schon in die Wege geleitet. Eine solche Technologie wird schon bald Realität werden. Ein schreckliches Szenario, das sogar Orwell's Vorstellung im „1984“ bei weitem übertrifft.

Was sollen wir in dieser Situation tun? Verzichten kann man auf die Nutzung moderner Technologien in einer Ära der Digitalisierung kaum. Den Fortschritt zu stoppen ist auch nicht mehr möglich. Michal Kosinski, Professor an der Stanford Universität, meint, dass unsere Privatsphäre schon verloren ist. Michal Kosinski zeigt, dass schon mit einigen wenigen „Likes“ künstliche Intelligenz sehr genaue Einschätzung einer Person möglich macht.

Es gibt keine Chance, die Unmengen privater Information, die überall über uns gesammelt werden, zu stoppen. Wir müssen uns also darauf konzentrieren, was mit diesen Daten passiert und wie sie verarbeitet werden. Wir müssen Betreiber zwingen, ihre Algorithmen und Verarbeitungsmethoden transparent zu machen. Wir müssen kontrollieren, was hinter dem Vorhang mit unseren Daten geschieht. Das können wir nur durch öffentlichen Druck und Regulierung erreichen. Ja, digitale Wirtschaft muss reguliert werden so wie die Lebensmittel oder Pharmaindustrie. Regulierungsorgane müssen Auflagen definieren, an die sich die Verarbeitung unserer Daten zu richten hat. Diese Organe müssen auch das Recht erhalten, wirkliche Kontrollen durchzuführen.

In Deutschland aber auch innerhalb der EU gibt schon eine ernsthafte Diskussion über solche regulativen Maßnahmen.  Ein Konzept einer „vertrauenswürdiger KI“ wird skizziert. Paul Nemitz, Chefberater der Generaldirektion für Recht und Verbraucherschutz bei der Brüsseler Regierungseinrichtung sprach vor kurzem auf einem  Symposium der Datenschutzkonferenz von Bund und Ländern zum Thema "Künstliche Intelligenz über dem geplanten Weißbuchs der EU-Kommission für einen KI-Rahmen.