Discover and read the best of Twitter Threads about #KRITIS

Most recents (16)

#CDU-Abgeordneter hat „Die (digitale) Sicherheit der Kritischen Infrastruktur“ in #Berlin hinterfragt

Die Antworten lassen tief blicken, wie desolat der #KRITIS-Zustand ist und wie CyberCyber-#Verantwortungsdiffusion (nicht) funktioniert

Ein Thread 1/x
pardok.parlament-berlin.de/starweb/adis/c…
Vorweg:

Die Antworten sind allesamt eine (schön verpackte) Bankrotterklärung.

Wie ich erwartet habe, weil es in den anderen Ländern auch nicht anders aussieht... 2/x
Der nachfolgende Satz trifft es recht gut, wie die CyberCyber-#Verantwortungsdiffusion bei #KRITIS in Deutschland funktioniert, wegen der man nix weiß. Maximal desolater Zustand der Ahnungslosigkeit im Blindflug: 3/x
Read 19 tweets
Was @BSI_Bund von #KRITIS Betreibern in der "Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen" zu Patchmanagment sagt, fragt ihr?

Umgang mit Schwachstellen Störungen und Fehlern - Prüfung offener Schwachstellen 1/4
bsi.bund.de/SharedDocs/Dow…
Die IT-Systeme, welche der #KRITIS-Betreiber für die Entwicklung und Erbringung der kritischen Dienstleistung verwendet, werden mindestens monatlich automatisiert auf bekannte #Schwachstellen (Vulnerabilities) geprüft. 2/4
Im Falle von Abweichungen zu den erwarteten Konfigurationen (u. a. dem erwarteten Patch-Level) werden die Gründe hierzu zeitnah analysiert und die Abweichungen behoben oder gemäß dem Ausnahmeprozess dokumentiert. 3/4
Read 4 tweets
#KRITIS Sektor #Gesundheit

Grünen-Politiker wirft der #Bundesregierung Versäumnisse vor

Hackerangriffe können im Ernstfall #Menschenleben kosten – ein aktueller Fall am #Universitätsklinikum in Düsseldorf macht das deutlich. 1/4
t-online.de/digital/id_885…
Grünen-Politiker und Sicherheitsexperte @KonstantinNotz...forderte die #Regierung auf, beim Schutz der sogenannten "kritischen Infrastruktur" #KRITIS nachzubessern. Die IT-Sicherheit müsse dringend erhöht werden. 2/4
"Im #Bundestag liegen zahlreiche parlamentarische Initiativen hierzu vor. Nur die Bundesregierung hat bis heute nicht geliefert. Das von ihr seit Jahren versprochene #ITSIG20 gibt es noch immer nicht. Das ist ein eklatantes, auch sicherheitspolitisches Versäumnis"... 3/4
Read 4 tweets
#KRITIS Sektor #Transport und #Verkehr

US-Ausschuss prangert #Boeing wegen Schlamperei und Vertuschung an

Die Abstürze zweier Boeing #737Max kosteten 346 Menschen das Leben. 1/3
spiegel.de/wissenschaft/t…
Der abschließende Befund des US-Repräsentantenhauses [245 Seiten!]: Ursache war die #Gier des Konzerns, die zu gutgläubige #Luftfahrtbehörde ist mit schuld. 2/3
"Max-Abstürze..schreckliche Höhepunkt einer Reihe falscher technischer Annahmen von #Boeing-Ingenieuren, mangelnder Transparenz des Managements und einer grob unzureichenden Aufsicht durch #FAA." Boeing wird in dem Bericht erneut eine "Kultur des Verheimlichens" vorgeworfen. 3/3
Read 3 tweets
#KRITIS Sektor #Gesundheit

Die @AG_KRITIS hatte im Januar bereits darauf hingewiesen, dass diese Software auch in Leitstellen von Polizei und Feuerwehr sowie in #Krankenhäusern eingesetzt werde und somit Gefahr im Verzug sei. 1/3
spiegel.de/netzwelt/web/b…
In einem Warnschreiben an 130 #Krankenhäuser empfiehlt die Behörde den Einrichtungen, die wie die #Klinik in #Düsseldorf zu den "kritischen Infrastrukturen" im Land gehören, ihre Sicherheitsmaßnahmen zu prüfen und wo notwendig zu verschärfen. 2/3
"..#Düsseldorf zeigt, wie real die Gefahr ist und wie ernst gerade #KRITIS Betreiber die Risiken nehmen müssen", sagt @BSI_Bund-Präsident @ArneSchoenbohm @derspiegel. Seine Behörde gibt Anwendern der betroffenen Software in ihrer Warnung konkrete Hinweise für Sofortmaßnahmen. 3/3
Read 3 tweets
Ja okay, und natürlich mit Verweis auf den @legal_bits Podcast zu Ursachen für Schwachstellen im Finanzsektor mit @ra_stiegler und mir 😘
stiegler-legal.com/blog/blog-podc…
Und der Vollständigkeit halber gab es auch schon einen ersten #KRITIS Podcast zusammen mit @ra_stiegler im @legal_bits:

"KRITIS Teil 1: Was und warum sie so kritisch sind"
stiegler-legal.com/blog/blog-podc…
Read 3 tweets
#KRITIS Sektor #Gesundheit und #IT und #TK

#Sonderbeauftragter des #BaFin - #Apotheken-#Rechenzentrum AvP stellt #Insolvenzantrag

AvP steckt in tiefen Schwierigkeiten. Ein BaFin-Sonderbeauftragter hat Insolvenzantrag gestellt. 1/x
pharmazeutische-zeitung.de/apotheken-rech…
»AvP zählt zu den großen Abrechnungszentren mit ~3.500 Kunden. Das wäre etwa ein Fünftel des deutschen Marktes. Die Beträge, um die es geht, sind gesalzen. Das sind durchaus bis zu 400.000 Euro pro #Apotheke, die ausstehen – im Durchschnitt wahrscheinlich rund 120.000 Euro.« 2/x
#Finanzdienstleistungsaufsicht #BaFin...bestätigte..., dass am 14. September der Sonderbeauftragte Ralf R. Bauer eingesetzt wurde, ihm wurde die alleinige #Geschäftsführung übertragen.

Wow, krasse Maßnahme! Oo 3/3
Read 3 tweets
#Ransomware-Angriffe als Folge von #Shitrix

@Jedi_meister & @KainsRache von @HiSolutions

Monate nach kritischer Sicherheitslücke in #Citrix ADC und #NetScaler werden immer mehr Fälle bekannt.

Lücke früh ausgenutzt aber jetzt erst lukrative Verwendung!
hisolutions.com/detail/ransomw…
#Shitrix: Was kann der Gesetzgeber aus dem #Citrix-Vorfall lernen und für #KRITIS Betreiber verbessern?

Mit politische Forderungen von der @AG_KRITIS 👌
ag.kritis.info/2020/01/26/shi…
Die @AG_KRITIS hat (so wie auch das @certbund) echt oft darüber berichtet und gewarnt :/

Schaut mal rein...
ag.kritis.info/tag/citrix/
Read 5 tweets
#ICS Advisory (ICSA-20-203-01) - #Wibu-Systems #CodeMeter

* Affected? Multiple #KRITIS sectors worldwide!
* CVSSv3 score? 10.0!
* Exploitable remotely? With low skill level to exploit!
#RCE 1/3
us-cert.cisa.gov/ics/advisories…
Risk Evaluation?
#exploitation of #vulnerabilities could allow an attacker to alter & forge a license file, cause a DoS condition, potentially attain remote code execution #RCE, read heap data, and prevent normal operation of third-party software dependent on the #CodeMeter! 2/3
Vulnerabilities?
Buffer Access with Incorrect Length Value, Inadequate Encryption Strength, Origin Validation Error, Improper Input Validation, Improper Verification of Cryptographic Signature, Improper Resource Shutdown or Release! 3/3
Read 3 tweets
#KRITIS Sektor #Gesundheit

#Uniklinik Düsseldorf nach #Ransomware-Angriff weitgehend lahmgelegt

"der oder die #Erpresser verlangen #Lösegeld in Höhe von 100 Bitcoins, das sind umgerechnet rund 870.000 Euro" uFF 1/3
winfuture.de/news,118238.ht…
Weia :/

"Bisher konnte lediglich die #Telefonanlage wiederherstellt werden" 2/3
DIES!

"Obwohl #Krankenhäuser zur kritischen Infrastruktur #KRITIS gezählt werden, kommen #Ransomware-Angriffe auf diese immer wieder vor." 3/3
Read 3 tweets
#KRITIS Sektor #Finanz- und #Versicherungswesen

#Banken gehen in der #Cloud Risiken ein

Experten warnen vor Problemen im Datenschutz, aber auch für die Strategie

@timo_kob @krypt0lady @HiSolutions in @boersenzeitung 1/3
boersen-zeitung.de/index.php?li=1…
"Das Know-how, das #Banken haben, das #Google noch nicht hat", sei das Wissen von den Prozessen, wie Transaktionen in einer Bank abliefen, erklärt er: "Wenn ich diese aber genau in die Hände desjenigen gebe, der mein Konkurrent von morgen ist, dann gebe ich ihm 2/3
in gewissem Sinne die Blaupause und zeige ihm, wo ich angreifbar bin." Dies sei schon beim #ecommerce-Anbieter #Amazon zu erleben, der plötzlich Batterien herstelle, weil er festgestellt habe, dass diese sich sehr gut auf der Plattform verkauften." 3/3
Read 3 tweets
#KRITIS Sektor #Transport und #Verkehr

Memorandum on Space Policy Directive-5—Cybersecurity Principles for #Space Systems

National Security & Defense for critical infrastructure from president Trump and USA. 1/x
whitehouse.gov/presidential-a…
"Space systems enable key functions such as global communications; positioning, navigation, and timing; scientific observation; exploration; weather monitoring; and multiple vital national security applications." #GPS 2/x
"Therefore, it is essential to protect space systems from cyber incidents in order to prevent disruptions to their ability to provide reliable and efficient contributions to the operations of the Nation’s critical infrastructure." #KRITIS 3/x
Read 6 tweets
Reminder:
Auch @Bitkom kritisiert geplante Hintertüren in Kommunikationsnetzen

Durch die für den #Verfassungsschutz "Geschwächte Netze bieten immer auch Einfallstore für #Cyberkriminelle." 1/x
bitkom.org/Presse/Pressei…
.@Bitkom-Präsident Achim Berg: „Erweiterte #Überwachungsbefugnisse dürfen aber nicht dazu führen, dass die Sicherheit der Netze insgesamt geschwächt wird.“

Genau das sieht der aktuelle Entwurf für den #Verfassungsschutz vor. #Kollateralschaden! 2/x
Im Einzelnen sieht der Gesetzesentwurf vor, dass Eingriffe in die IT-Systeme von Zielpersonen des #Verfassungsschutz'es über die Anbieter von #Telekommunikationsdiensten erfolgen sollen.

TK-Anbieter als #KRITIS Betreiber -> Erfüllungsgehilfen!
Vertrauen -> Tonne! 3/x
Read 5 tweets
Kommentar zum Artikel:
Bei unseren Kunden wurden alle #Netscaler unmittelbar nach bekanntwerden des Workaround angepasst.
Nach genauerer Analyse mussten wir aber feststellen, dass "alle" Netscaler bereits #kompromitiert sind. 1/x

#Citrix #Shitrix #fail

security-insider.de/shitrix-gefaeh…
Da auf den Systemen durch die #Exploit's offensichtlich unter anderem auch #Cronjob's eingerichtet wurden, welche irgendwann in Zukunft beliebigen Code von russischen Servern nachladen...jeder Anwender absolut sicherstellen, dass sein System nicht bereits #kompromitiert wurde.
Der angekündigte #Hotfix, wird die bereits entstandenen Probleme sicher nicht lösen. Aus unserer Sicht hilft ausschließlich eine komplette #Neuinstallation der #Komponenten, verbunden mit einem unmittelbaren unmittelbares umsetzen des #Workaround bevor das System online geht.
Read 11 tweets
#Citrix Workaround durch zahlreiche Betreiber erst sehr spät oder bis heute nicht implementiert!

Angesichts der Tatsache, dass seit der vergangenen Woche mehrere Exploits frei im Internet verfügbar sind, ist das geradezu fahrlässig. 1/4

#KRITIS #shitrix

spiegel.de/netzwelt/web/c…
Unter ihnen Behörden, Parteien, Banken, Kraftwerksbetreiber, Universitäten, Krankenhäuser und Gemeinden. 2/4
„Wer nicht den #Workaround von #Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie #kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug von der @AG_KRITIS 3/4
Read 4 tweets
Die #IT-Umgebung des indischen #AKW's Kudankulam wurde nicht nur gehackt, sondern als Command and Control Server benutzt.

Hoffentlich war die #OT nicht auch öffentlich am Netz!

#KRITIS Sektor #Energie #nuclear #nuclearsafety #Resilienz #Cyber #Security

Zur Unterscheidung:

IT sind Informationstechnische Systeme (#PC #Laptop #Windows #Office, #Buchhaltung...)

OT sind Operative Systeme (#ICS #SCADA #SPS #HMI #PLC #Steuertechnik...)
Angemessener Stand der Technik #SdT wie in #KRITIS gefordert wurde offenbar im #AKW nicht eingehalten.

Strikte #Trennung zwischen #OT-Steuersystemen und #IT ist eine wesentliche #Sicherheitsmaßnahme!

Weitere #Maßnahmen und #Forderungen finder Ihr hier.

ag.kritis.info/politische-for…
Read 5 tweets

Related hashtags

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3.00/month or $30.00/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!