Trending Topics Cybersicherheit – Juli 2023

BSI in Bewegung: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Chefin. Nach der Abberufung des langjährigen BSI-Präsidenten Arne Schönbohm im vergangenen Herbst übernimmt nun die Mathematikerin Claudia Plattner die Leitung der IT-Sicherheitsbehörde. Zuletzt war Plattner bei der Europäischen Zentralbank (EZB) in Frankfurt als Generaldirektorin für Informationssysteme tätig, wobei sie auch die Cybersicherheit und die Steuerung aller Digitalisierungsprozesse verantwortete.

Im Interview mit der Rheinischen Post warnte die neue BSI-Chefin kurz nach Amtsantritt, dass derzeit die Bedrohungslage so hoch wie nie sei. Das BSI verzeichne generell einen Anstieg von Cyberangriffen in Deutschland. Neben Behörden seien davon auch Unternehmen betroffen.

Um angemessen auf die gestiegene Bedrohungslage reagieren zu können, sieht das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) neben verschärften IT-Sicherheitsvorgaben für regulierte Unternehmen auch neue Kompetenzen und Sanktionsmöglichkeiten für das BSI vor. So soll das Bundesamt den verantwortlichen Führungskräften von regulierten Unternehmen (besonders wichtige Einrichtungen) die Leitung entziehen können, wenn diese den behördlichen Anordnungen nicht fristgerecht nachkommen.

Umstrittener Privacy-Shield-Nachfolger geht an den Start

Mit dem Transatlantischen Datenschutzrahmen ist drei Jahre nach dem Aus von Privacy Shield ein neues Datenschutzabkommen zwischen der EU und den USA in Kraft getreten. Ob dieses nun langfristig für Rechtssicherheit sorgen wird, bleibt abzuwarten. Laut Einschätzung des österreichischen Datenschützers und Rechtsexperten Max Schrems basiert der neue Datenschutzrahmen im Wesentlichen auf den Vorgängerabkommen Safe Harbor und Privacy Shield, die beide vom EuGH für ungültig erklärt wurden. Es sei daher davon auszugehen, dass auch das Trans-Atlantic Data Privacy Framework einer Anfechtung nicht standhalten wird. Die NGO noyb, deren Vorstandsvorsitzender Schrems ist, hat bereits rechtliche Schritte gegen das neue Abkommen angekündigt.

Die Top-Themen der IT-Sicherheit im Juli:

IT-Security-Trends

Neue BSI-Chefin: „Bedrohungslage hoch wie nie“

Die neue Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hat vor der aktuellen Cyberbedrohungslage gewarnt. Diese sei „so hoch wie nie“, sagte sie der Rheinischen Post. Die Zahl der Cyberangriffe sei generell angestiegen. Angreifer hätten es immer häufiger auf Daten abgesehen, um Unternehmen und Behörden damit zu erpressen.

BKA-Präsident warnt vor zunehmenden Cyberangriffen auf öffentliche Verwaltungen

„Die Bedrohung durch Cybercrime steigt seit Jahren und verursacht teils massive wirtschaftliche und gesellschaftliche Schäden“, sagte Holger Münch, Präsident des Bundeskriminalamts, den Zeitungen der Funke Mediengruppe. Neben öffentlichen Verwaltungen nähmen Kriminelle vermehrt auch Hochschulen und Arztpraxen ins Visier. Generell zielten sie auf Einrichtungen, bei denen die technischen Hürden vergleichsweise niedrig waren.

Betrüger-KI „FraudGPT“ wird im Darknet angeboten

Sicherheitsforschende sind im Darknet auf ein KI-basiertes Angriffstool zur Erstellung von Phishing-Kampagnen gestoßen. Dabei handelt es sich um einen Chatbot namens „FraudGPT“, der für 200 Dollar pro Monat als SaaS-Lösung angeboten wird. Neben der Erstellung von Phishing-Mails soll sich das Tool auch dazu eignen, um bösartigen Code zu schreiben, Malware zu erstellen, Lecks und Schwachstellen zu finden und vieles mehr.

Datenlecks kosten deutschen Unternehmen im Schnitt 4,67 Millionen Dollar

Eine aktuelle Ausarbeitung von IBM und dem Ponemon Institut ergab, dass die durchschnittlichen Kosten von Cybervorfällen in die Millionen gehen. Die jüngst erschienene Studie „Cost of a Data Breach Report 2023“ besagt, dass die Auswirkungen eines Data Breach deutschen Firmen durchschnittlich 4,67 Millionen Dollar an Kosten verursachen. Für den Finanzbereich sollen sich die Kosten auf 5,90 Millionen Dollar belaufen.

Cybercrime

Angreifer verschaffen sich Zugang zu E-Mail-Konten westlicher Regierungen

Gehostet wurden die Konten von Microsoft, das die Angriffe letztlich unterbrechen konnte. Microsoft schreibt die Attacken der Gruppe „Storm-0558“ aus China zu, die auf Spionage und Datendiebstahl spezialisiert ist. Die Angreifer sollen in E-Mail-Konten von 25 Organisationen und Behörden eingedrungen sein, darunter offenbar auch das US-Außenministerium.

Phishing-Masche: Landesministerium zahlt Betrügern 225.000 Euro

Sachsens Gesundheits- und Sozialministerium ist auf eine betrügerische E-Mail hereingefallen und bleibt damit voraussichtlich auf mehreren hunderttausend Euro Schaden sitzen. Der Phishing-Angriff stand im Zusammenhang mit einer Materiallieferung für Schutzzäune zur Eindämmung der Afrikanischen Schweinepest. Nach der Bestellung erhielt das Ministerium eine E-Mail mit einer gefälschten Rechnung und einer geänderten Bankverbindung, an die es die Kaufsumme überwies.

Cyberangriff auf Dienstleister von Zahlungssystemhersteller

Diebold Nixdorf informierte laut Medienberichten seine Kunden über eine stattgefundene Cyberattacke. Die Angreifer nahmen einen Dienstleister des Zahlungssystemherstellers ins Visier. Daten sollen durch den Angriff nicht abgeflossen sein. Laut einem Unternehmenssprecher seien die Strafverfolgungsbehörden eingeschaltet worden.

Unbefugter Zugriff auf sensible Bankkundendaten: Datenleck durch MOVEit-Sicherheitslücke

Aufgrund schwerer Sicherheitslücken in der Datenübertragungssoftware MOVEit konnten Angreifer auf die Systeme des Finanzdienstleisters Majorel zugreifen und sensible Daten von tausenden Bankkunden abgreifen. Das betroffene Unternehmen führt unter anderem Kontowechsel-Services für Deutschen Bank, Postbank, ING und Comdirect aus.

Cyberkriminelle erbeuten 20 Millionen Dollar von Revolut

Ein Fehler im Payment-System der Fintech-Bank Revolut erlaubte Cyberkriminellen über Monate hinweg unbemerkt mehr als 20 Millionen Dollar abzuleiten. Wie die Financial Times berichtet, wurde die Lücke mittlerweile geschlossen, betroffen waren die US-Systeme des Anbieters.

Mieterauskunft von Jens Spahn veröffentlicht: Schwere Lücke in Schufa-App

Die IT-Sicherheitsexpertin Lilith Wittmann ist auf eine schwere Sicherheitslücke in der Schufa-App Bonify gestoßen. Der Fehler erlaubte den Abruf von Mieterauskünften unter fremden Namen. Als Beleg für die Schwachstelle veröffentlichte Wittmann eine Auskunft des ehemaligen Bundesgesundheitsministers Jens Spahn.

Best Practice, Defense & Mitigation

Künftig mehr Durchgriffsmöglichkeiten: BSI soll CEOs entmachten können

Im Rahmen des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich mehr Kompetenzen und Durchgriffsmöglichkeiten erhalten. Kommen regulierte Unternehmen (besonders wichtige Einrichtungen) den Anordnungen des BSI nicht fristgerecht nach, soll die Behörde künftig sogar den verantwortlichen Führungskräften die Leitung der Organisation vorübergehend untersagen können.

Regulatorische Vorgaben als Digitalisierungskatalysator

Dr. Sibel Kocatepe, Expertin für IT-Aufsicht bei der BaFin, erläutert im Interview die Sicht der Finanzaufsicht auf die rasant fortschreitende Digitalisierung in der Branche und die damit verbundenen Risiken.

DORA verschärft die Anforderungen an die Cloud

Der Digital Operational Resilience Act (DORA) verschärft die technisch-prozessualen Vorgaben an die Informationssicherheit von Banken und angeschlossene IT-Dienstleister erheblich. Die zentralen Anforderungen für das Cloud-Umfeld sehen finden Sie hier im Überblick.

Studie vergleicht Sicherheit von Open Source und proprietärer Software

Ein Sicherheitsforscher der Rheinischen Friedrich-Wilhelms-Universität in Bonn ist der Frage nachgegangen, wie die Cybersicherheit von Open Source und proprietärer Software zu bewerten ist und wo mögliche Verbesserungspotenziale stecken.

Things to know

Privacy-Shield-Nachfolger: Neues Datenschutzabkommen zwischen EU und USA erntet Kritik

Eigentlich sollte der neue transatlantische Datenschutzrahmen für Rechtssicherheit sorgen, nachdem die Vorgängerregelungen vom Europäischen Gerichtshof (EuGH) gekippt worden waren. Doch Max Schrems und seine Datenschutzorganisation nyob haben bereits angekündigt, auch gegen das neue Abkommen juristisch vorzugehen, weil es weitgehend eine Kopie des gescheiterten Privacy Shield sei.

Zenbleed-Lücke gefährdet AMD-Prozessoren

Eine kritische Sicherheitslücke gefährdet alle AMD-Prozessoren der Zen-2-Architektur und erlaubt Angreifern, sensible Daten abzugreifen. Selbst die Inhalte auf virtuellen Maschinen oder Containern können über den Fehler kompromittiert werden. Der Hersteller AMD arbeitet bereits an Firmware-Updates.