Das CWE-Projekt hat eine Liste der 25 gefährlichsten Sicherheitslücken für das Jahr 2022 zusammengestellt. Sie soll helfen, Risiken zu minimieren.

Das Common Weakness Enumeration-Projekt (CWE) hat die Liste für das Jahr 2022 der 25 gefährlichsten Softwareschwachstellen zusammengestellt. Die Liste soll die derzeit am meisten vorkommenden Lücken mit den gravierendsten Auswirkungen aufführen. Sie soll unter anderem Softwarearchitekten, Designern, Entwicklern, Testern, Nutzern, Projektmanagern, Sicherheitsforschern, Ausbildern und bei Standard-entwickelnden Organisationen Zuarbeitenden dabei helfen, Risiken einzudämmen. An der diesjährigen Spitzenposition findet sich ein alter Bekannter: die Fehlerkategorie Buffer Overlow.

 https://www.heise.de/

Wegen beschränkten Warenverkehrs von Russland nach Kaliningrad hat eine pro-russische Cybergang Überlastungsangriffe auf litauische Webseiten gestartet.

Das litauische Verteidigungsministerium meldete in der Nacht auf Dienstag dieser Woche auf Twitter schwere Distributed-Denial-of-Service-Attacken gegen Webseiten staatlicher Einrichtungen und privatwirtschaftlicher Unternehmen. Die schlimmsten Angriffe seien inzwischen unter Kontrolle und die Dienste wiederhergestellt. Da Litauen Transitland für Warenlieferungen von Russland in die russische Exklave Kaliningrad ist und EU-Sanktionen diese einschränken, ist das Land ins Visier russischer Cybergangs geraten.

 https://www.heise.de/

Unternehmen und Organisationen werden zunehmend Ziel von Cyberangriffen, wie der jüngste Fall aus Südhessen zeigt, wo ein IT-Dienstleister betroffen war. Es können enorme Schäden entstehen.

Experten raten deswegen zu strenger Hygiene in der IT-Sicherheit. Der jüngste Hackerangriff auf einen IT-Dienstleister in Südhessen lässt aufhorchen. Denn zu seinen Kunden zählen auch Energieversorger, die wiederum Teil der sogenannten kritischen Infrastruktur sind: Dazu gehört die Versorgung mit Wasser, Gas oder Strom, die aber nach Angaben der betroffenen Unternehmen nicht von der Cyberattacke betroffen war, da sie über andere IT-Systeme betrieben wird. Dennoch nehmen solche Angriffe zu, die Schäden sind beträchtlich.

 https://www.security-insider.de/

In Firmware von Synology-Geräten hat der Hersteller Sicherheitslücken gefunden. Angreifer könnten unter anderem unberechtigt auf Dateien zugreifen.

Der Netzwerkausrüster Synology warnt vor Sicherheitslücken im Router-Betriebssystem Synology Router Manager (SRM). Angreifer könnten laut Fehlerbeschreibung mehrere Schwachstellen missbrauchen, um SQL-Befehle einzuschleusen oder beliebige Dateien zu lesen und schreiben. Eine Anmeldung ist dafür erforderlich. Der Hersteller stuft die Sicherheitslücke als „Wichtig“ ein, was auf der üblichen Skala nach CVSS-Risikoeinstufung dem Schweregrad „hoch“ entspricht. In der Sicherheitsmeldung schreibt Synology, dass es keine Workarounds gebe.

 https://www.heise.de/

Der Europäische Gerichtshof (EuGH) hat Verbraucherschutz­verbände als Wächter bei Datenschutz­verstößen gestärkt. Die Verbraucherzentrale Bundesverband (vzbv) bekam grünes Licht aus Luxemburg, um gegen den Facebook-Mutterkonzern Meta im Falle von Datenschutzverstößen vorzugehen.

Sie müssen dafür nicht von betroffenen Nutzern beauftragt werden. Was große Internetkonzerne und Social-Media-Plattformen dürfen und was nicht, ist immer wieder Gegenstand von Gerichtsentscheidungen auf EU-Ebene. Der vzbv hatte schon im Jahre 2012, damals noch gegen Facebook Irland, beanstandet, dass das Angebot kostenloser Spiele von Drittanbietern in einem App-Zentrum der Plattform gegen Datenschutzrecht und andere Regelungen verstoße. Die Unterlassungsklage der Verbraucherschützer hatte in erster und zweiter Instanz Erfolg. 

 https://www.security-insider.de/

Mit dem Sprung auf das 103er-Release dichtet Google im Webbrowser Chrome 14 Schwachstellen ab. Auch für Android und iOS steht die neue Version bereit.

Google hat die Version 103.0.5060.53 für Linux, Mac und Windows veröffentlicht und schließt darin insgesamt 14 Sicherheitslücken – davon bewerten die Entwickler mindestens eine als kritisch. Auch für Android (103.0.5060.53) und iOS (103.0.5060.54) stehen die neuen 103er-Versionen bereit. Zudem hat der Hersteller den Browser im Extended-Stable-Channel auf den Stand 102.0.5005.134 gehievt. Da Google zum Schutz der Nutzerinnen und Nutzer Details zu den abgedichteten Sicherheitslücken für einen längeren Zeitraum unter Verschluss hält, lassen sich nur die ausgewählten Kurzbeschreibungen auswerten.

 https://www.heise.de/

Ob großes oder kleines Unternehmen: Welche Cyberrisiken welche Assets betreffen, und welchen Schaden dann bei Angriffen Geschäftsprozesse nehmen können, wissen die meisten nicht.

Also fällt es den Firmen schwer, eine stringente Sicherheitsstrategie zu entwickeln. Diesem Problem rückt jetzt das Startup RIMIAN aus dem Allgäu zu Leibe. In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit innovativen Ideen die IT-Sicherheit voran bringen wollen. Das Startup RIMIAN („RIMIAN“ steht für „Risk Mitigate & Analysing“), aus Füssen im Allgäu unterstützt mit seiner Lösung Lifeblood Anwender dabei, Cyberrisiken ins Verhältnis zu den davon betroffenen Geschäftsprozessen zu setzen und die möglichen Schäden hinsichtlich der Wichtigkeit für die Wertschöpfung, aber auch monetär zu bewerten.

 https://www.security-insider.de/

Mehrere Adobe-Anwendungen sind über als kritisch eingestufte Schwachstellen attackierbar. Sicherheitsupdates schaffen Abhilfe.

Wer Anwendungen von Adobe nutzt, sollte diese aus Sicherheitsgründen auf den aktuellen Stand bringen. Die meisten Lücken stuft der Softwarehersteller als „kritisch“ ein. In Illustrator haben die Entwickler insgesamt 17 Lücken geschlossen. Setzen Angreifer erfolgreich an den Schwachstellen an, könnten sie in den meisten Fällen Speicherfehler auslösen und Schadcode ausführen. Wie das im Detail funktioniert, führt Adobe in seiner Warnmeldung nicht aus. Gegen solche Attacken sind die Versionen Illustrator 2021 25.4.6 und Illustrator 2022 26.3.1 unter macOS und Windows gerüstet.

 https://www.heise.de/

Die Frage aus der Überschrift stellt sich heute wohl jede IT. Es gibt einfache Antworten: „gar nicht“, „Entnetzung / Abhängigkeit von der IT reduzieren“ und „neue Tools kaufen“.

Leider gilt hier ähnliches, wie bei vielen anderen komplexen Themen: Eine schnelle einfache Lösung („silver bullet“) gibt es nicht. Aber dafür gibt es ein bewährtes, dreistufiges Vorgehen aus dem Krisenmanagement, das sich einfach übertragen lässt. Bevor man anfängt in technischen Lösungen zu denken, ist es wichtig die eigene Gefährdungslage zu kennen. Im Fall von Cybercrime muss man dazu die Täter und die aktuell benutzten Vorgehensweisen kennen. Begriffe wie „initial compromise“, „lateral movement“, „rights elevation“, “data exfiltration” sollten einer IT ebenso geläufig sein wie „Patient Zero“ oder „double extortion scheme”. 

 https://www.security-insider.de/

PC-Welt spricht mit einem Mann, der vor wenigen Tagen Opfer von Telefonbetrug wurde: Von einer roten Ampel, einem über zweistündigen Dauertelefonat mit einem angeblichen Polizisten, dem Abwiegen von Gold mit der Küchenwaage, der Wichtigkeit eines Römertopfes. 

Und von einem „Polizei-Kurier“, der kaum Deutsch spricht. So schützen Sie Ihre Eltern und Großeltern vor solchem Telefonbetrug. Morgens um 11.49 Uhr klingelt das Telefon bei Erwin H. Der knapp über 80 Jahre alte Mann lebt allein in einer kleinen Stadt in Bayern. Er nimmt ab, obwohl das Display seines Telefons keine Telefonnummer anzeigt: Der Anruf ist also anonym. Der perfekt Deutsch sprechende Anrufer stellt sich als Polizeibeamter von der Polizeiinspektion einer rund 30 Auto-Minuten entfernten Großstadt vor. Er behauptet, dass die Enkelin des Angerufenen, die tatsächlich mit ihren Eltern in dieser Großstadt lebt, den Tod eines Menschen verursacht habe. 

 https://www.pcwelt.de/