139. Newsletter - sicherheitskultur.at - 31.8.2018
von Philipp Schaumann
Hier die aktuellen Meldungen: 1. Reports ------------- Crime and Crypto: An Evolution in Cyber Threats von Webroot Es geht darum, welche Revolution im Cybercrime-Bereich die Kryptowährungen geschaffen haben. Da ist einmal das vergleichsweise einfach Inkasse über Kryptowährungen (auch wenn die NICHT anonym sind, wie der Artikel auch korrekt beschreibt, zum anderen der ganz neue Malware-Bereich des illegalen Minings durch fremde Computer. https://www.webroot.com/blog/2018/08/02/crime-crypto-evolution-cyber-threats/ 2. Malware Trends ----------------------- Guter Artikel von Brian Krebs zu Targeted Phishing The Year Targeted Phishing Went Mainstream https://krebsonsecurity.com/2018/08/the-year-targeted-phishing-went-mainstream/ Sein Punkt ist, dass ein neuer, sehr effektiver Phishing-Trend ist, personalisierte Mails zu senden, und zwar mit Namen in der Anrede und sogar einem Passwort, das den Leuten bekannt vorkommt. Dies beeindruckt die Empfänger so, dass sie z.B. in großen Zahlen auf Erpressungen eingegangen sind, und ordentlich gezahlt haben. Der Punkt ist, dass von jedem von uns so viele Daten irgendwann mal irgendwo verloren gegangen sind, dass Phishing jetzt auch personalisiert möglich ist. Jeder, der für die Security Awareness in seinem Unternehmen zuständig ist, sollte dies zu einem Thema machen. 3. Immer wieder Datenschutz ------------------------------------ Von ARGE-Daten eine Bewertung wie der Handel mit Patienten- Daten jetzt in der DSGVO geregelt ist. Spoiler: schlecht geregelt. http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=25145ojs Schadenersatzmöglichkeiten http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=05609ogi Das wird nämlich oft übersehen: Neben der "offiziellen" Strafe durch die Behörden können finanzielle Strafen für DS-Verletzung auch im Zivilrecht entstehen, z.B. wenn ein Kunde auf Schmerzensgeld klagt, denn auch immaterielle Schäden sind möglich (Stress der durch die Offenlegung der persönlichen Daten entstand, 700 Euro pro Fall, bei 1000 000 Kunden wäre ein beträchtlicher Schaden für das Unternehmen. Mit interessanten Fallbeispielen. Noch mehr sehr gute Fallbeispiele gibt es in dem Text zu Datenschutz in Vereinen. Es geht darum, was als Rechtsgrundlage für die Verarbeitung der Personendaten ausreichend ist und wo eine explizite Zustimmung benötigt wird. http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=75044jsi 4. IT-Grundschutz: Neuer Online-Kurs veröffentlicht --------------------------------------------- Ein neues Online-Angebot für den modernisierten IT-Grundschutz erleichtert Anwendern den Einstieg in die Umsetzung der IT-Grundschutz-Methodik. Basierend auf dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1,-2 und -3 führt die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte und veröffentlichte Web-Schulung die Anwender in unterschiedlichen Lektionen durch die IT-Grundschutz-Vorgehensweise. In neun Lektionen vermittelt er die IT-Grundschutz-Methodik, ihre Ziele und ihre Bestandteile. Er basiert auf dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1, -2 und -3. Ein zweiter Kurs dient der Vertiefung und behandelt die wichtigsten Aspekte des Notfallmanagements. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/itgrundschutzschulung_node.html Vorträge neu auf philipps-welt.info ------------------------------------- Auf philipps-welt.info gibt es viele Updates zu den autonomen Fahrzeugen. Unter anderem den Vortrag den ich im Herbst mehrmals in Ö halten werde: https://philipps-welt.info/pdfs/Roboter_kommen_autonome_Fahrzeuge.pdf Nächster Vortrag, auf englisch, bei SEMANTICS Vienna 2018 am 13. Sept. https://2018.semantics.cc/robots-are-coming-technical-and-societal-aspects-autonomous-vehicles Humor: --------- Zur Sicherheit von Wahlcomputern: https://xkcd.com/2030/