Zum Inhalt springen
Startseite » operado Blog » Aktuelles zum Thema IT-Sicherheit

Aktuelles zum Thema IT-Sicherheit

  • von

Aktuelles zum Thema
IT-Sicherheit

Die Themen

Als operado hatten wir die Gelegenheit, am 18. IT-Sicherheitskongress , organisiert vom BSI, Anfang Februar 2022 teilnehmen zu können. An zwei Tagen wurde dort in 28 Vorträgen von Grundsatzthemen bis Quantencomputing eine breite Themenvielfalt an IT-Security bearbeitet.

Drei Vortragsthemen möchten wir an dieser Stelle kurz vorstellen:

  1. Rechtspflicht zu Updates
  2. Der Wandel im Bereich Ransomware
  3. Phishing goes Future

Updatepflicht

Prof. Dr. Dagmar Gesmann-Nuissl, Stephan Kunitz, Michael Rätze von der TU Chemnitz, haben ein zunächst sperrig wirkendes juristisches Thema aufgegfriffen, dass jedoch erhebliche Auswirkungen haben wird. Hintergrund ist die EU-Richtlinie 2019/777 (diD-RL) , zu deren Umsetzung der deutsche Bundestag in 2021 das “Gesetz zur Umsetzung der Richtlinie über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen” beschlossen hat. Dies mündet wiederum für Geschäfte mit Verbrauchern in die seit 01.01.2022 gültige Fassung in BGB 327 a-u.

Zusammenfassung:

Der Verbraucher hat (auch) bei digitalen Produkten und Inhalten einen Anspruch auf eine Bereitstellung frei von Produkt- und Rechtsmängeln. Dies wird in den o.g. 327 a-u genauer definiert. Kurz gesagt: Der Verbraucher hat ein Recht auf Update zur Mängelbeseitigung, auch zur Behebung von Sicherheitslücken. Das Unternehmen ist verpflichtet diese Updates zu liefern

WICHTIG: dies gilt auch für Paketleistungen, in denen eine Digitale Leistung mit einer sonstigen Leistung kombiniert wird.

Unterbleiben Updates, so hat der Verbraucher weitgehende Rechte, z.B. Nacherfüllung, Wandlung, Minderung sowie Schadenersatz und Ersatz vergeblicher Aufwendungen.

WICHTIG: Im Rahmen der Lieferantenhaftung kann dies auch auf Lieferanten und Subunternehmen des eigentlichen Anbieters durchschlagen.

Bei Interesse stellen wir gerne weitere Informationen zur Verfügung.

Der Wandel im Bereich Ransomware

An dieser Stelle nur kurz angerissen:

Eileen Walther, von der Northwave Deutschland GmbH, stellt in Ihrem Vortrag “Bilder aus dem Schützengraben: „Die sich veränderte Landschaft der Ransomware” ihre Sicht auf die aktuelle – um im Bild zu bleiben – Frontlinie dar. Hierbei stellt sie die Professionalisierung innerhalb des Öko-Systems “Ransomware” heraus. Attacken und Teilkomponenten von Attacken werden mittlerweile arbeitsteilig und as-a-Service angeboten. Dies geht soweit, dass Ransomware-as-a-Service – Anbieter ihren Kunden 24/7-Helpdesks anbieten. Die Bitkom schätzt den allein in Deutschland 2021 durch Ransomware entstandene Schaden auf 24,3 Milliarden Euro. Frau Walther prognostiziert und warnt vor einem weiteren und schnellen Wachstum von Ransomware-Attacken.

Das BSI warnt in seinem “Sicherheitsbericht 2021” vor Angriffen insbesondere im Energiebereich. Ein Szenario, das durch die Kriegsgefahr in Europa im Februar 2022 sicherlich wahrscheinlicher geworden ist.

Doch hierzu in einem späteren Posting mehr.

Phishing goes Future

Auch hier nur ein kurzer Teaser…

  1. Deep(C)Phishing: Next Level Vishing & Phishing

Marco Di Filippo und Sebastian Froede von der Whitelisthackers GmbH stellten in Ihrem Vortrag die kommende Generation von Phishing-Attacken in praktischen Vorführungen vor …. und es war beeindruckend.

Gut getarnte Phishing-Mails kennen wir leider alle. Hier gibt eine eMail vor von einem anderen Absender zu kommen, als sie tatsächlich kommt. Hierzu wird die eMail textuell und häufig auch grafisch so gestaltet, dass Sie den Anschein erweckt von einer uns bekannten, vertrauensvollen Quelle zu kommen … z.B. der Bank oder Sparkasse unseres Vertrauens.

Der nächste Level wird nun erreicht, indem nicht mehr nur Texte versendet werden, sondern in dem durch technische Maßnahmen Stimmen imitiert werden. Im vorgeführten Beispiel konnten wir unseren Bundeskanzler, Herrn Scholz, plötzlich als Teilnehmer eines aktuell geführten Gesprächs identifizieren. Hierzu wurde die Stimme des Sprechers durch Morphing in die Stimme des uns bekannten Herrn Scholz gewandelt.

Und noch ein Schritt weiter wurde gegangen: Im nächsten Schritt war Herr Scholz in einem VideoCall zu sehen, wie er einen Beitrag zum laufenden Vortrag lieferte. Auch hier wurde der echte Sprecher bzw. seine Videoaufzeichnung durch Morphing in Echtzeit in das Abbild von Olaf Scholz verwandelt, was bereits erstaunlich gut funktionierte.

Eindrucksvoll wurde hier vorgeführt, wie es bereits heute möglich ist Fake-Audio und Fake-Video auch in Echtzeit zu erzeugen und uns so ein Trugbild vor Augen und Ohren zu führen.

Zukünftig werden wir also mehr und mehr Energie darauf verwenden müssen, uns von der Authentizität einer Information überzeugen zu können.

Auch hierzu stellen wir gerne weitere Informationen bereit

Bleiben Sie informiert und wachsam!

Kontakt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert