Discover and read the best of Twitter Threads about #Schwachstellen
Most recents (10)
Ich habe mir Webserver deutscher #Kommunen und #Städte angeschaut. Das Ergebnis habe ich in einem Blogartikel veröffentlicht. Massive #Datenabflüsse, diverse #Schwachstellen und fehlende best practice zeichnen ein fatales Bild.
renerehme.dev/blog/informati…
Eine Übersicht 🧵👇
renerehme.dev/blog/informati…
Eine Übersicht 🧵👇
Vorab: Kennt ihr die Top 3-Bedrohungen aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland 2022? "Schwachstellen", "Identitätsdiebstahl", "falsch konfigurierte Online-Server" - BINGO!
bsi.bund.de/DE/Service-Nav…
bsi.bund.de/DE/Service-Nav…
💥 Auf einigen Servern bin ich auf eine Fehlkonfiguration aufmerksam geworden, welche dazu führte, dass ich den E-Mail-Verkehr von mehreren Städten nachvollziehen und teils E-Mail Anhänge öffentlich (!) einsehen konnte. 
Schwachsinn ey!
Digitale Zeugnisse: Braucht das digitale Zeugnis eine #Blockchain?
"Digitale Schulzeugnisse sollen Bewerbungen einfacher machen, absichern soll das System eine Blockchain. Doch es gibt Probleme – wie schon beim digitalen Führerschein." zeit.de/digital/2022-0…
Digitale Zeugnisse: Braucht das digitale Zeugnis eine #Blockchain?
"Digitale Schulzeugnisse sollen Bewerbungen einfacher machen, absichern soll das System eine Blockchain. Doch es gibt Probleme – wie schon beim digitalen Führerschein." zeit.de/digital/2022-0…
"Das für die Umsetzung federführende Land Sachsen-Anhalt hat die Bundesdruckerei und den Zusammenschluss öffentlicher IT-Dienstleister Govdigital mit der Umsetzung des Vorhabens betraut."
Ähm whut??? @BuBernd @eGouvernante @marcelberlin bitte fixt das mal schnell jemand? 😳
Ähm whut??? @BuBernd @eGouvernante @marcelberlin bitte fixt das mal schnell jemand? 😳
"Vergangene Woche allerdings wurde das Testsystem offline genommen. Der Schritt erfolgte, nachdem die IT-Sicherheitsforscher @LilithWittmann und @fluepke per Twitter auf mehrere #Schwachstellen des Systems hingewiesen hatten."
Mit Statements von mir für die @AG_KRITIS
Europäische Cyberübung: Digitale Attacken aus „Blauland“
Von @matthimon via @netzpolitik_org
"Fünf Wochen lang simulieren die EU-Mitgliedstaaten Angriffe auf ihre #KRITIS..."
netzpolitik.org/2022/europaeis…
Europäische Cyberübung: Digitale Attacken aus „Blauland“
Von @matthimon via @netzpolitik_org
"Fünf Wochen lang simulieren die EU-Mitgliedstaaten Angriffe auf ihre #KRITIS..."
netzpolitik.org/2022/europaeis…
"erstmals soll dabei die Schwelle eines bewaffneten Angriffs überschritten werden. Geprobt wird der Beistand gemäß #EU-Verträgen, außerdem könnte der #NATO-#Bündnisfall eintreten."
"Beteiligt ist auch eine fiktive kriminelle Vereinigung mit dem Namen „#OT-Powner“, die #Schwachstellen in der Steuerung von #Industrieanlagen sucht und den Zugang zu diesen verkauft. Mit dem Eindringen in ein solches #SCADA-System beginnt der erste Angriff aus „Blauland“."
Dank der @CDU haben Hacker leichtes Spiel
"Die CDU hat ihre Anzeige gegen...[@LilithWittmann] zwar zurückgezogen – der deutschen Cybersicherheit aber dennoch einen #Bärendienst erwiesen. Den Schaden hat nun die gesamte deutsche Wirtschaft." /1
via @wiwo
wiwo.de/technologie/di…
"Die CDU hat ihre Anzeige gegen...[@LilithWittmann] zwar zurückgezogen – der deutschen Cybersicherheit aber dennoch einen #Bärendienst erwiesen. Den Schaden hat nun die gesamte deutsche Wirtschaft." /1
via @wiwo
wiwo.de/technologie/di…
"Es war nur Zufall, dass die Vorstellung der jüngsten Studie des IT-Verbandes Bitkom zur den neuen Milliardenschäden durch Diebstahl, Spionage und Sabotage, allem voran ausgelöst durch Hackerangriffe..." /2
bitkom.org/Presse/Pressei…
bitkom.org/Presse/Pressei…
"und die peinliche Posse um die Anzeige der Bundes-@CDU gegen die IT-Expertin @LilithWittmann in der vergangenen Woche zeitlich zusammenfielen. Und doch haben beide Geschehnisse mehr miteinander zu tun, als es auf den ersten Blick scheint." /3
Anpassungen im #ITSIG20, die kommen sollen! ☝️
3 wesentliche Themenblöcke und einige weitere Dinge:
* Unabhängigkeit @BSI_Bund
* Schwachstellen und BSI
* Lex Huawei
Schauen wir mal in die bekannt gewordenen Details
#KRITIS #UNBÖFI /1
3 wesentliche Themenblöcke und einige weitere Dinge:
* Unabhängigkeit @BSI_Bund
* Schwachstellen und BSI
* Lex Huawei
Schauen wir mal in die bekannt gewordenen Details
#KRITIS #UNBÖFI /1
Unabhängigkeit @BSI_Bund
* Anpassung § 1 BSI-Gesetz, dass BSI „nach den Anforderungen der jeweils fachlich zuständigen Ministerien auf der Grundlage wissenschaftlich-technischer Erkenntnisse“ arbeitet
* Festlegung auf Grundlage der Wissenschaft -> weniger politischer Einfluss /2
* Anpassung § 1 BSI-Gesetz, dass BSI „nach den Anforderungen der jeweils fachlich zuständigen Ministerien auf der Grundlage wissenschaftlich-technischer Erkenntnisse“ arbeitet
* Festlegung auf Grundlage der Wissenschaft -> weniger politischer Einfluss /2
Schwachstellen und @BSI_Bund
* BSI wird verpflichtet, Informationen über #Schwachstellen anzunehmen (war vorher kann Option)
* BSI kann die Öffentlichkeit warnen, ohne vorher zuständige Aufsichtsbehörden zu konsultieren /3
* BSI wird verpflichtet, Informationen über #Schwachstellen anzunehmen (war vorher kann Option)
* BSI kann die Öffentlichkeit warnen, ohne vorher zuständige Aufsichtsbehörden zu konsultieren /3
Übrigens ist das Wunsch der bundesdeutschen #Sicherheitsbehörden und #Nachrichtendienste:
Das @BSI_Bund soll zukünftig gemäß #ITSIG20 (§ 7b Abs. 3 BSIG) über Sicherheitslücken nur dann informieren, wenn "überwiegende Sicherheitsinteressen" dem nicht entgegenstehen ☝️
#JustSaying
Das @BSI_Bund soll zukünftig gemäß #ITSIG20 (§ 7b Abs. 3 BSIG) über Sicherheitslücken nur dann informieren, wenn "überwiegende Sicherheitsinteressen" dem nicht entgegenstehen ☝️
#JustSaying
Meine Stellungnahme als Sachverständiger für die @AG_KRITIS, in der das ganze Problem im Abschnitt "Zurückhalten von #Schwachstellen" beschrieben wird:
bundestag.de/resource/blob/…
bundestag.de/resource/blob/…
#Sachverständigenanhörung zum #ITSicherheitsgesetz. Und die IT funktioniert (noch) nicht. Fängt ja gut an ;-) @Linuzifer
Hat angefangen. Bislang viel Kritik am Gesetzesvorhaben.
Sebastian Artz von #Bitkom kritisiert die Regelungen zum #5G Netz. Die #Vertrauenswürdigkeitsprüfung sei so wie vom @BMI_Bund geplant nicht rechtsicher und sei daher abzulehnen. Er fordert ein #EU abgestimmtes Vorgehen.
Datensicherheit oder Abwehr von Cyberkriminalität: Politik und Gesellschaft müssen sich mal entscheiden
Von @anna_loll mit @KonstantinNotz @z_edian und mir auf @dlfkultur
#ITSIG20 #KRITIS #fail 1/x
deutschlandfunkkultur.de/datensicherhei…
Von @anna_loll mit @KonstantinNotz @z_edian und mir auf @dlfkultur
#ITSIG20 #KRITIS #fail 1/x
deutschlandfunkkultur.de/datensicherhei…
"#Energiewirtschaft, #Wasserversorgung, #Verkehr - ohne Digitalsysteme funktioniert all das nicht und ist permanent von Hackerangriffen bedroht. Behörden sollten diese kritische Infrastruktur deshalb maximal schützen. Das tun sie aber nicht." 2/x
"„Wenn also der Staat selber mit #Sicherheitslücken handelt oder verhandelt oder sie ausnutzt und hin- und herspielt, statt sie zu schließen, konsequent, dann haben wir ein Problem“, bekräftigt @HonkHase. „Und das ist jetzt nur Deutschland. USA macht das auch..." 3/x
Was @BSI_Bund von #KRITIS Betreibern in der "Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen" zu Patchmanagment sagt, fragt ihr?
Umgang mit Schwachstellen Störungen und Fehlern - Prüfung offener Schwachstellen 1/4
bsi.bund.de/SharedDocs/Dow…
Umgang mit Schwachstellen Störungen und Fehlern - Prüfung offener Schwachstellen 1/4
bsi.bund.de/SharedDocs/Dow…
Die IT-Systeme, welche der #KRITIS-Betreiber für die Entwicklung und Erbringung der kritischen Dienstleistung verwendet, werden mindestens monatlich automatisiert auf bekannte #Schwachstellen (Vulnerabilities) geprüft. 2/4
Im Falle von Abweichungen zu den erwarteten Konfigurationen (u. a. dem erwarteten Patch-Level) werden die Gründe hierzu zeitnah analysiert und die Abweichungen behoben oder gemäß dem Ausnahmeprozess dokumentiert. 3/4
Warum wir mit Cyber-Sicherheit ein Problem haben, fragt ihr?
Wieso Veröffentlichung oder #0day Trading mit #Schwachstellen und #Exploits (leider) der "bessere" Deal ist. (cc @certbund)
In einem Tweet erklärt:
Wieso Veröffentlichung oder #0day Trading mit #Schwachstellen und #Exploits (leider) der "bessere" Deal ist. (cc @certbund)
In einem Tweet erklärt:
cc @z_edian
