DDoS-Angriffe stellen zunehmende öffentliche Gefährdung dar

Bei Heise findet sich ein interessanter Beitrag zur aktuellen Gefährung durch DDoS-Angriffe, sowohl für die Internet-Infrastruktur insgesamt, aber auch für individuelle Firmen. Dabei wird zu Recht die zunehmende Gefahr durch schlechte Sicherheitspolitik bei Massenprodukten im Bereich „Internet of Things“ thematisiert:

Link 11 sieht hier vor allem unsichere IoT-Geräte in der Schuld. Wie auch heise Security kritisieren die Experten, dass sich niemand für die Sicherheit dieser Geräte zuständig fühle.

Nun ist kurz festzuhalten, dass DDoS-Attacken strafbar sind – das dürfte potentielle Täter aber kaum abschrecken. Spannender ist die Frage, ob man nicht die Hersteller der Geräte in die Pflicht nehmen kann – und ja, ich denke die Hersteller unterschätzen hier die Probleme.

Spätestens mit der Datenschutzgrundverordnung wird ab Mai 2018 vorgesehen sein, dass Produkte „Privacy by Design und Default“ nach Art. 32 DSGVO bieten müssen. Wer mit seinem Produkt dabei „schludert“, dem droht eine wettbewerbsrechtliche Unterlassungsklage eines Mitbewerbers oder Verbraucherverbandes sowie ein empfindliches Bußgeld.

Des weiteren sieht das Telemediengesetz, nach der Modifikation durch das IT-Sicherheitsgesetz, im §13 Abs.7 TMG nunmehr vor:

Diensteanbieter haben (…) sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese (…) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.

Auch hier droht Ungemach, auch wenn die wettbewerbsrechtliche Relevanz aus meiner Sicht noch nicht abschliessend geklärt ist, so kann das BSI doch zumindest Warnungen aussprechen. Darüber hinaus ist zu erwarten, dass dieser Aspekt hinsichtlich von Rückrufen nach dem Produktsicherheitsgesetz zu thematisieren ist.

Gesetz zur Umsetzung der NIS-Richtlinie

Das Bundeskabinett hat den Entwurf eines Gesetzes zur Umsetzung der NIS-Richtlinie abgesegnet, womit der letzte Schritt zur Umsetzung einer europaweiten Regelung zur IT-Sicherheit gegangen wird. Nach dem IT-Sicherheitsgesetz werden nunmehr auch „Digitale Dienste“ in den Fokus genommen und mit Pflichten sowie einer Aufsicht durch das BSI versehen. Während Kleinstunternehmer ausgenommen sind dürften im Übrigen vor allem Online-Shops und Anbieter von Infrastrukturen, speziell IT-Systemhäuser, betroffen sein. Es sind Sicherheits- und BCM-Konzepte bis zum 10. Mai 2018 zu schaffen, da damit zu rechnen ist, dass das BSI diese später einer Kontrolle unterziehen wird.

Mehr zur Umsetzung der NIS-Richtlinie finden Sie hier von mir.

BSI warnt vor Cyber-Angriffen

In einer Pressemitteilung wird der Präsident des BSI mit den Worten zitiert:

„Ich teile die Einschätzung des NATO Generalsekretärs Jens Stoltenberg über die Zunahme von Cyber-Angriffen und die damit verbundenen Herausforderungen beim Schutz Kritischer Infrastrukturen. Diese haben wir auch in unserem Bericht zur Lage der IT-Sicherheit in Deutschland 2016 dargestellt. Deutschland ist hier durch die Cyber-Sicherheitsstrategie der Bundesregierung und das IT-Sicherheitsgesetz sowie durch Einrichtungen wie den UP KRITIS bereits sehr gut aufgestellt. Die Umsetzung des IT-Sicherheitsgesetzes erfolgt durch die nationale Cyber-Sicherheitsbehörde BSI in enger Zusammenarbeit mit den KRITIS-Betreibern. Auch im Rahmen der NATO erfüllt das BSI diese Aufgabe und ist seit 2011 als National Cyber Defence Authority (NCDA) gegenüber der NATO benannt. Durch kontinuierlichen und engen Austausch sowohl mit der NATO als auch mit den NCDAs der anderen NATO-Mitgliedsstaaten arbeiten wir gemeinsam daran, den zunehmenden Herausforderungen der Digitalisierung auch international zu begegnen und die Cyber-Sicherheit stetig zu verbessern.“

Die Worte erinnern daran, sich generell um eine gute und stabile IT-Infrastruktur zu kümmern, ein Sicherheitskonzept installiert zu haben und ein Ausfallkonzept in der Hinterhand zu haben. Dies ausdrücklich auch für kleinere Unternehmen, die das Risiko schädlicher Angriffe bis heute massiv unterschätzen.

Betrugsversuch: Safari Browser auf iPhone und iPad gesperrt durch Bundeskriminalamt

Die Polizei Niedersachsen warnt vor einer beliebten Betrugsmache, die lange auf dem Desktop verbreitet war und nun auch mobile Endgeräte erfasst:

Die Nutzer von iPhone oder iPad surften im Netz auf diversen Seiten. Plötzlich sei ein Sperrbildschirm erschienen, der die weitere Internetnutzung im Safari-Browser verhinderte. Das iOS-Gerät sei in allen weiteren Funktionen nicht beeinträchtigt gewesen.

Der Sperrbildschirm mit der u.a. angeblichen Webadresse „pay-block.site“ oder „policeblock.com“ zeigte angelichen Hinweis vom Bundeskriminalamt. Der Nutzer soll illegale Internetinhalte (z.B. Kinderpornografie) geladen habe. Gegen eine Zahlung von 200 € in iTunes-Gutscheinen als Strafe innerhalb von 24 Stunden werde das Gerät angeblich wieder entsperrt.

Die Lösung ist relativ einfach: Nicht zahlen, nicht einschüchtern lassen. Den Browser schliessen und den Prozess beenden (doppelklick auf den Homebutton und dann das Fenster „rauswischen“). Hiernach in Einstellungen > Safari gehen und dort dann den gesamten Verlauf und alle Website-Daten löschen. Danach sollte alles wieder funktionieren.

Wir bieten Tätigkeit und Beiträge rund um das Thema IT-Sicherheit.