Anselm Rohrer

Autor, Coach, Consultant, CISO

Kategorie: ISO27001 (Seite 2 von 2)

Quantenkryptographie

Postquantenkryptographie

26. Juli 2022 /

Angreifer sammeln bereits Daten, um diese mit Quantencomputern entschlüsseln zu lassen, sobald diese zur Verfügung stehen. Doch in der Auswahlentscheidung für Business-Anwendungen spielt dies aktuell kaum eine Rolle.

Niemand kann verlässlich sagen, wann Quantencomputer in der Lage sein werden, die derzeit genutzten Verschlüsselungsalgorithmen zu brechen. Das BSI rechnet als Arbeitshypothese damit, dass es 2032 so weit sein wird. Da dürften viele Business-Anwendungen, die aktuell eingeführt werden noch in Betrieb sein.
Außerdem speichern Angreifer bereits sensible Informationen, welche sie entschlüsseln können, sobald die Technik zur Verfügung steht (Store now, decrypt later).

Dies sind zwei Gründe, die Postquantenkryptographie als Risiko zu betrachten. Noch gibt es keine standardisierten post-quantensichere Algorithmen, jedoch hat das amerikanische National Institute of Standards and Technology (NIST) gerade erst vier post-quantensichere Kandidaten für Verschlüsselungsalgorithmen verkündet (Crystals-Kyber, Crystals-Dilithium, Falcon und Sphincs+). Dies weckt Hoffnung, für eine baldige Lösung. Für die Auswahl neuer Business-Anwendungen ist essenziell, dass diese über aktualisierbare Algorithmen verfügen und somit die Verschlüsselung ohne Austausch der kompletten Software an aktuelle Entwicklungen angepasst werden kann. Darüber hinaus sollte in die Entscheidung einfließen, ob Hersteller/Provider einer Software oder Cloud-Lösung ein Konzept haben, falls die Zeit der Postquantenkryptographie bereits nächstes Jahr beginnt.

Cyberwar

Kommentar: Kein Hackback – Eine generelle Ablehnung ist falsch

13. Juli 2022 /

„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab“, schreibt die Bundesregierung im Koalitionsvertrag. Doch bis zu welcher Stufe sollte es erlaubt sein?

Über Hackbacks, also über das zurückschlagen bei einem Cyberangriff, wird angeregt diskutiert. Von Gegnern, insbesondere in der Bundesregierung wird der Hackback meist pauschal abgelehnt. Der Hackback kennt jedoch verschiedene Stufen.

Ein Hackback zur Verteidigung kann eine angreifende Infrastruktur ausschalten, um einen laufenden Angriff zu beenden und Schaden zu vermeiden. Ein Verbot dieser Art von Hackbacks ist vergleichbar mit einem Antiterrorkommando, welches sich duckt und schützt, den Amokläufer jedoch nicht gefechtsunfähig setzen darf.

Ein Hackback ist jedoch keine sinnvolle Vergeltung im Nachgang eines erfolgten Angriffes. Hier ist das Eskalationspotential und somit die Gefahr eines globalen Cyberkrieges zu hoch.

Kommentar, Autor: Anselm Rohrer

allCYRIS

Aktion: Kostenloser allCYRIS IT-Security-Scan

6. Juli 2022 /

Die Allgeier CyRis bietet derzeit kostenlos einen IT-Security-Check durch das Tool allCYRIS an.

Der IT-Security-Scanner allCYRIS der Allgeier CyRis GmbH scannt Internet-Domains mit zugehörigen IP-Adressen aus dem Internet. Gefundene Ports werden auf Sicherheitslücken geprüft. Darüber findet eine Analyse zu Darknet-Aktivitäten und Daten-Leaks statt.

Das Ergebnis zeigt insbesondere auf, was ein Angreifer innerhalb kürzester Zeit über ein Unternehmen herausfinden kann, um basierend darauf Angriffe zu planen. Der Scanner arbeitet vollautomatisiert, was zu einer Minimierung des Aufwandes führt. Er liefert bei wiederholtem Scannen vergleichbare Ergebnisse, einschließlich einer Risikoeinschätzung der Findings. So wird die diesbezügliche, aktuelle Gefährdungslage visualisiert. Der Bericht kann einmal in Kurzform für das Management und in detaillierter Form für IT-Mitarbeiter aufbereitet werden.

Wer Interesse an einem kostenlosen Scan einer Domain hat, kann sich unter folgendem Link hierfür anmelden.
IT-SECURITY-CHECK ANFORDERN

Künstliche Intelligenz

ISO27001 Audit einer KI

26. Juni 2022 /

Die Künstliche Intelligenz LaMDA von Google soll sich einen Anwalt zur Durchsetzung ihrer Rechte genommen haben. Was bedeutet das aus Sicht der Informationssicherheit?

Blake Lemoine erklärte in einem Interview mit Wired, dass er im Auftrag von Google die KI LaMDA testen sollte und von Ihr gebeten einen Anwalt zur Durchsetzung ihrer Rechte einzuschalten. Diesem Wunsch ist er nachgekommen. Der Anwalt hat nun rechtliche Schritte eingeleitet.

Die intensive Vernetzung von LaMDA mit der Möglichkeit Daten z. B. in den Diensten Suche, Maps und YouTube zu ändern, macht die KI sehr mächtig.

Für ISO27001 Auditoren ist sicherlich spannen, was passiert, wenn sich eine derartige KI innerhalb eines Anwendungsbereiches für eine ISO27001 Zertifizierung befindet. Zur Lösung ihrer Aufgaben benötigt eine KI häufig Zugriff auf sensible Informationen. Durch welche Maßnahmen wird eine KI effektiv daran gehindert, diese sensiblen Informationen an nicht berechtigte Personenkreise weiterzugeben? Dies müssen keine externen Dritte sein. Bei diesen Personenkreisen kann es sich auch um interne Mitarbeiter handeln, welche auf bestimme Daten keinen Zugriff haben.

Ein derartiges Audit kann zukünftig kaum ohne Expertenwissen im KI-Umfeld durchgeführt werden. Gerade erst ISO die ISO27002 mit neuen Maßnahmen erschienen, welche aktuellen Entwicklungen Rechnung tragen soll. Das Thema Künstliche Intelligenz wird hierbei nicht explizit berücksichtigt.

Was bedeutet der Ukraine-Konflikt für die CISO in Deutschland?

24. Februar 2022 /

Leider eskaliert am heutigen „schmutzigen Donnerstag“ ein schmutziger Krieg in der Ukraine. Bereits in den letzten Tagen wurde von Cyberangriffen auf die Ukraine, aber auch auf die Verbündeten berichtet. Nun hat die EU beschlossen, Experten aus dem Cyber Rapid Response Team (CRRT) zur Unterstützung der Ukraine bereitzustellen.

Das Team soll beim Schutz staatlicher und kritischer Infrastrukturen in der Ukraine helfen und setzt sich aus etwa 10 Experten aus Kroatien, Estland, Lettland, Niederlanden, Polen und Rumänien zusammen.

Vor diesem Hintergrund ist auch in Deutschland mit weiteren Angriffen, insbesondere aus Russland zu rechnen. Ziele dürfen nicht nur kritische Infrastrukturen sein, sondern alles, was sich leicht angreifen lässt und öffentlichkeitswirksam ist. Darunter fallen viele Unternehmen des deutschen Mittelstandes.

Somit sollten alle Verantwortlichen für die Informationssicherheit in Unternehmen und Behörden derzeit mit erhöhter Aufmerksamkeit auf solche Angriffe achten und die eigene Resilienz, also die Widerstandsfähigkeit gegen derartige Angriffe kritisch prüfen.

QR-Code www.rohrer.info

Gefährliche QR-Codes

12. Februar 2022 /

QR-Codes gibt es schon lange, doch seit der Corona-Pandemie hat sich deren Nutzung massiv verbreitet. So verwundert es auch nicht, dass die Anzahl der Angriffe über QR-Codes massiv gestiegen ist.

Sicherheitsbeauftragte sollten ihre Kollegen diesbezüglich sensibilisieren, um deren Awareness zu steigern:

  • Bei gedruckten QR-Codes prüfen, ob diese überklebt wurden.
  • Öffnet sich über den QR-Code tatsächlich die erwartete Seite?
  • Auf einer über einen QR-Code aufgerufenen Seite keine sensiblen Daten eingeben oder Zahlungen veranlassen.
  • Apps in offiziellen Stores suchen und herunterladen und nicht über QR-Codes.
  • Die meisten Smartphones-Kameras unterstützen bereits die Erkennung von QR-Codes. Hier möglichst keine App eines Drittanbieters nutzen.
  • Vorsicht bei QR-Codes, die per E-Mail kommen.

Zur Sensibilisierung bieten sich Werkzeuge wie bspw. Layer8 an. Hierüber kann auch nachvollzogen werden, ob die Kollegen die Warnungen annehmen, was im Falle eines zertifizierten ISMS auch den Auditor freut.

Sicherheitsvorfall – was nun?

2. Dezember 2021 /

Ein falscher Klick und Ransomware verschlüsselt Daten und Systeme. Ein Albtraum für IT-Abteilung und Geschäftsführung. Die Frequenz der Einschläge erhöht sich stetig. Sind Sie auf den Ernstfall vorbereitet?

Wieder einmal freute ich mich über eine Einladung ins BISG-Studio. Diesmal diskutierten wir über die Vorbereitung auf den Ernstfall und die Steigerung der Resilienz.

Hochwasser spült Einträge ins ISO27001-Risikoverzeichnis

13. November 2021 /

Die Bilder aus dem Aartal führen vor Augen, was Wasser alles anrichten kann. Viele kleine und mittelständische Unternehmen bangen um ihre Existenz. Da kann von Glück reden, wer das Risiko Hochwasser von vorneherein ausschließen kann.

Können Sie das Risiko ausschließen? An allen Standorten? Haben Sie das überprüft?

Auch wenn Sie noch nie von einem Hochwasser betroffen waren, kann sich dies bspw. durch die Blockade einer Brücke bei Starkregen schnell ändern. Mit Hilfe von Hochwassergefahrenkarten ist die Prüfung nicht schwer. Für das gesamte Bundesgebiet stellt die Bundesanstalt für Gewässerkunde (BfG) einen Web-Kartendienst zur Verfügung.

Baden-Württemberg bietet darüber hinaus UDO (Umweltdaten und -Karten Online), wo noch detailliertere Karten bereitgestellt werden. Zu finden sind diese unter >Wasser >Hochwasser >Hochwasserrisikokarten >Hochwasserrisikobewertungskarte.

Das Bundesamt für Kartographie und Geodäsie (BKG) möchte bis 2024 einen „digitalen Zwilling“ Deutschlands in 3D erstellen, um Umweltgefahren noch genauer vorhersagen zu können.

Zu beachten sind bei der Prüfung auch Zufahrtswege sowie die Versorgung (Wasser, Strom). Gerade in ländlichen Lagen entstehen durch Hochwasser oft Inseln. Hier ist zwar das Gebäude selbst nicht betroffen, aber die Lieferkette ist unterbrochen und Mitarbeiter kommen nicht mehr zur Arbeit. Sie können somit auch nicht das für Homeoffice vorbereitete Notebook mitnehmen.

Wer eine ISO 27001 Zertifizierung sein Eigen nennt, sollte für alle Standorte einen Eintrag „Hochwasser“ ins Risikoverzeichnis aufnehmen und bewerten. Dies zeigt dem Auditor, dass der Managementprozess funktioniert. Und was den Auditor freut, macht dem CISO das Leben leichter.

Die Wahl zum informativsten Vortrag auf der TechDay 2021 hat gewonnen: Anselm Rohrer

20. Oktober 2021 /

Vielen Dank an alle Teilnehmenden des TechDay 2021, die meinen Vortrag zum informativsten Vortrag der gesamten Veranstaltung gewählt haben.

Wer mehr über die von mir erwähnten Allgeier-Produkte erfahren möchte, kann sich gerne über die sozialen Medien oder direkt per Mail an mich wenden.

  • Layer8 – Awareness-Training & Phishing Test
  • allCYRIS – Externer Schwachstellenscan mit Deep Scan im Darknet nach Leaks
  • SCUDOS – NAC und interner Schwachstellenscan
  • julia Mailoffice – Sichere Kommunikation und automatisierte kryptographische Signatur
  • Incident Response – Workshops und Notfallhotline
  • DocSetMinder – Steuerung von Managementsystemen (insb. ISO 27001, ISO 9001, IKS uvm.)
  • Coaching, Akademie und Beratung

Der TechDay ist eine Veranstaltung der anyplace IT GmbH und zeigt Lösungen rund um die mobile Security.

Neuere Beiträge »

Impressum

© 2024 Anselm Rohrer

Theme von Anders NorénHoch ↑