Cyber-#Armageddon... bei den #Microsoft #Exchange on-prem Versionen 2013, 2016 und 2019...

Die #Cloud Versionen sind nicht anfällig und daher sicher vor diesem Atompilz... 😏

(Ja und für diese Leutz auch der extra Hinweis gleich vorweg: Mit anderer Software ebenfalls. Orrrrrrr)
Problem:
Das Risiko erfolgreicher Angriffe besteht insbesondere für alle aus dem Internet erreichbaren Exchange-Server. Also zB im Falle einer Erreichbarkeit via Outlook Web Access #OWA

Lösungsmöglichkeit:
Verbindung sollte ausschließlich mittels #VPN erfolgen...
Es geht um:
CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

Hier die Warnung des @BSI_Bund @certbund.

Ja genau, in Stufe 4 / rot!
bsi.bund.de/SharedDocs/Cyb… Image
Übrigens:

Es ist inzwischen auch zwingend erforderlich, auf eine bereits erfolgte #Kompromittierung zu prüfen!
Ja VPN war nur eine Lösungsmöglichkeit.

Es gibt natürlich auch weitere Optionen wie diese hier zB.

Schlussendlich benötigt es halt ein Sicherheitskonzept oder es wird 'auf Sicht' betrieben 🤷‍♂️
docs.microsoft.com/en-us/exchange…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Manuel Atug

Manuel Atug Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @HonkHase

11 Mar
Eine App für ein Stück Normalität: Die #Luca-App wird Open Source

"„Das Sicherheitskonzept ist so High-Level, damit kann die Community eigentlich kaum etwas anfangen“, sagte @HonkHase, IT-Sicherheitsexperte bei @HiSolutions." 1/x

von @kathrin_es für @t3n
t3n.de/news/luca-app-…
"Es fehlten konkrete, detaillierte Angaben zu den eingesetzten #krypto'grafischen Verfahren und #Algorithmen. Zum Beispiel sei der Umgang mit sogenannten kryptografischen Schlüsseln nicht hinreichend beschrieben. #KeyManagement wird das auch genannt." 2/x
"Laut @HonkHase fehlen beispielsweise Angaben über die Erzeugung und Verwendungsdauer der Schlüssel, deren Länge, oder wie und wann sie archiviert, ersetzt, vernichtet und im Notfall ausgetauscht würden." 3/x
Read 6 tweets
10 Mar
Warnung vor zweiter Angriffswelle auf Microѕoft-#Exchange

"In Österreich standen am Mittwoch immer noch 1.900 Exchange-Server sperrangelweit offen. Gefahr geht weniger von den ursprünglichen, staatlichen Akteuren, sondern..." 1/4

von @harkank
fm4.orf.at/stories/301271…
" von den „technischen Dienstleistern“ der Verschlüsselungserpresser aus." 2/4
#Ransomware
"Diese Grafik zeigt, welche Microsoft-Services mit den #Exchange-Servern zusammenspielen." 3/4 Image
Read 4 tweets
9 Mar
Übrigens ist das Wunsch der bundesdeutschen #Sicherheitsbehörden und #Nachrichtendienste:

Das @BSI_Bund soll zukünftig gemäß #ITSIG20 (§ 7b Abs. 3 BSIG) über Sicherheitslücken nur dann informieren, wenn "überwiegende Sicherheitsinteressen" dem nicht entgegenstehen ☝️
#JustSaying
Hier die Anhörung zum #ITSIG20 und die Aufzeichnung dazu:
bundestag.de/inneres#url=L2…
Meine Stellungnahme als Sachverständiger für die @AG_KRITIS, in der das ganze Problem im Abschnitt "Zurückhalten von #Schwachstellen" beschrieben wird:
bundestag.de/resource/blob/…
Read 9 tweets
26 Jan
Datensicherheit oder Abwehr von Cyberkriminalität: Politik und Gesellschaft müssen sich mal entscheiden

Von @anna_loll mit @KonstantinNotz @z_edian und mir auf @dlfkultur
#ITSIG20 #KRITIS #fail 1/x
deutschlandfunkkultur.de/datensicherhei…
"#Energiewirtschaft, #Wasserversorgung, #Verkehr - ohne Digitalsysteme funktioniert all das nicht und ist permanent von Hackerangriffen bedroht. Behörden sollten diese kritische Infrastruktur deshalb maximal schützen. Das tun sie aber nicht." 2/x
"„Wenn also der Staat selber mit #Sicherheitslücken handelt oder verhandelt oder sie ausnutzt und hin- und herspielt, statt sie zu schließen, konsequent, dann haben wir ein Problem“, bekräftigt @HonkHase. „Und das ist jetzt nur Deutschland. USA macht das auch..." 3/x
Read 17 tweets
24 Jan
#KI in der Polizei?

KI ist kein Ersatz für den Menschen (von @BehoerdenNews von 11/2020)

Auslagerung wird vermutl. nicht mit allen polizeilichen Daten möglich sein. Hoffen wir mal, dass das so bleibt!

Was #ZITiS mit #Algorithmen zu tun hat... 1/x
behoerden-spiegel.de/2020/11/10/ki-…
Um eine "#KI-freundliche Gesellschaftskultur" und gleichzeitig Vertrauen in die Technik zu schaffen, "brauche es Prinzipien, wirksame Leitlinien und ethische Grundsatzentscheidungen in Hinblick auf die Verwendung von KI."

Soweit so gut. 2/x
"...@ZITiS_de geplante Bewertungsstelle für #Algorithmen im Sicherheitsbereich Abhilfe schaffen. Sie befinde sich derzeit in der Vorschlagsphase für @BMI_Bund...Ziel sei es, die Grundlagen der #KI-Nutzung abzusichern."

Ach so, diese Art von Bewertung oder Auslagerung... 3/x
Read 4 tweets
20 Jan
#KRITIS Sektor #Transport und #Verkehr

#BVG eskaliert im Konflikt mit Bonner Bundesamt

"Trotz hoher Gefahr von Hackerattacken kooperiert die BVG nur halbherzig mit dem @BSI_Bund. Jetzt führt das Unternehmen sogar einen teuren Rechtsstreit." 1/x
tagesspiegel.de/berlin/pruefun…
"Die #Verkehrsbetriebe wollen sich vom #BSI keine Vorschriften machen lassen. „Es geht ums Prinzip“..."

NA dann! Sowas ist ja wichtig! Ähm, was eigentlich genau? Mal nachschauen... 2/x
"Dabei nimmt die BVG offenbar in Kauf, dass die IT-Sicherheit des öffentlichen Personennahverkehrs in Berlin trotz der hohen Gefahr von Hackerattacken nicht bestmöglich überprüft wird."

Erm... Prinzip? Aha, welches ist das denn?!? Ein Verantwortlichkeitsprinzip bestimmt! 3/x
Read 28 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!