Security News Folge 7

Hallo und herzlich Willkommen! Schön, dass Sie wieder dabei sind!

In der Cybersicherheit kommt es auf den Faktor Zeit an. Das gilt bei der Erkennung und Abwehr von Attacken und für die fortlaufende Information über das dynamische Thema Cybersecurity. Hierbei will der Security News Podcast helfen.

Jetzt reinhören, abonnieren und mit Sicherheit immer gut informiert sein, in weniger als zehn Minuten!

Und schon geht es los!

Beginnen wir mit einer weiteren internationalen Sicherheitswarnung: Die National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und weiteren Partnern einen Sicherheitshinweis zu den Aktivitäten des Cyber-Akteurs SALT TYPHOON veröffentlicht.

SALT TYPHOON greift primär Ziele im Bereich der Telekommunikation an, wobei der Fokus auf Telekommunikationsinfrastruktur liegt. Bei SALT TYPHOON handelt es sich um einen komplexen APT-Akteur, welcher weltweit Aktivitäten entfaltet. Die im Sicherheitshinweis und in den Show-Notes dieser Folge enthaltenen Empfehlungen können aus Sicht des BSI wichtige präventive Wirkung entfalten.

Der Sicherheitshinweis beschreibt maßgeblich die technische Vorgehensweise des Akteurs. Dabei werden für jede Stufe der sogenannten Killchain – von der initialen Kompromittierung bis zur Exfiltration von Daten – im Hinblick auf die Taktiken, Techniken und Prozeduren des Angreifers Hinweise geliefert.

Weiter geht es dieser Meldung des BSI:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Whitepaper zum Thema „Usable Security – Handlungsfelder menschzentrierter Cybersicherheit“ veröffentlicht. Es beleuchtet die Frage, wie Sicherheitsmechanismen in digitalen Produkten und Anwendungen stärker an den Bedürfnissen der Verbraucherinnen und Verbraucher und ihrem digitalen Alltag ausgerichtet werden können, um das IT-Schutzniveau grundsätzlich zu erhöhen.

Dabei werden vier zentrale Handlungsfelder skizziert: Gebrauchstauglichkeit, Zugänglichkeit, Transparenz und Akzeptanz. Das Whitepaper definiert Usable Security als zentrales Qualitätsmerkmal von digitalen Produkten und Anwendungen. Es bildet eine Blaupause und Grundlage zu deren Gestaltung und Bewertung. Sie findenden Link zu diesem Whitepaper in den Show-Notes.

Und nun eine Meldung von ENISA:

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) und die Europäische Kommission haben eine Beitragsvereinbarung unterzeichnet, durch die die Kommission ENISA mit der Verwaltung und dem Betrieb der EU-Cybersicherheitsreserve betraut und ENISA zu diesem Zweck einen finanziellen Beitrag gewährt.

Die in Artikel 14 des EU-Cybersolidaritätsgesetzes vorgesehene EU-Cybersicherheitsreserve besteht aus Incident-Response-Diensten von vertrauenswürdigen Managed-Security-Service-Providern. Dieser Unterstützungsmechanismus wird genutzt, wenn es zu erheblichen und groß angelegten Cybersicherheitsvorfällen kommt, um auf solche Vorfälle zu reagieren und sich davon zu erholen.

Die EU-Cybersicherheitsreserve soll Ende 2025 voll einsatzfähig sein. Da die ENISA-Maßnahme zur Unterstützung der Cybersicherheit 2026 endet, kommt der bevorstehende Start der EU-Cybersicherheitsreserve genau zum richtigen Zeitpunkt, so ENISA. Mitgliedstaaten, die das laufende Programm noch durchführen, haben so Zeit, sich vorzubereiten und Dienste der Cybersicherheitsreserve anzufordern.

Die nächste Meldung stammt von NIST:

NIST überarbeitet den Sicherheits- und Datenschutzkontrollkatalog, um Software-Updates und Patch-Releases zu verbessern. Die meisten Softwareprogramme müssen nach ihrer Erstveröffentlichung aktualisiert werden, um Fehler und neu erkannte Schwachstellen zu beheben und Funktionen zu verbessern. Software-Patches und andere Änderungen können jedoch neue Risiken für die Cybersicherheit und den Datenschutz mit sich bringen und den Betrieb beeinträchtigen, wenn sie nicht effektiv verwaltet werden. Um erfolgreiche und sichere Software-Updates und -Patches zu unterstützen, hat das National Institute of Standards and Technology (NIST) Änderungen an seinem Katalog von Sicherheits- und Datenschutzmaßnahmen vorgenommen. Diese sollen sowohl die Entwickler, die Patches erstellen, als auch die Organisationen unterstützen, die diese erhalten und in ihren eigenen Systemen implementieren.

Die Änderungen betreffen verschiedene Aspekte des Softwareentwicklungs- und -bereitstellungsprozesses, darunter die konzeptionelle Belastbarkeit von Software und Systemen, Entwicklertests, die Bereitstellung und Verwaltung von Updates sowie die Integrität und Validierung von Software. Zu den Änderungen gehören auch drei völlig neue Kontrollen:

Die Protokollierungssyntax definiert ein elektronisches Format zur Aufzeichnung sicherheitsrelevanter Ereignisse, um eine bessere Reaktion auf Vorfälle zu ermöglichen. Die Definition von Datenformaten erleichtert die Automatisierung und hilft Teams, sicherheitsrelevante Vorfälle schneller zu rekonstruieren.

Die Ursachenanalyse beschreibt die Durchführung einer Überprüfung, um die Ursache eines Problems oder Fehlers bei der Softwareaktualisierung zu ermitteln, sowie die Ausarbeitung und Umsetzung eines Aktionsplans.

Design for Cyber ​​Resiliency empfiehlt die Entwicklung von Systemen für die Überlebensfähigkeit – die Fähigkeit, Angriffe vorherzusehen, ihnen standzuhalten, darauf zu reagieren und sich davon zu erholen, während gleichzeitig kritische Funktionen aufrechterhalten werden.

Die NIST-Dokument ist in den Show-Notes verlinkt.

Weiter geht es mit dieser Meldung von CISA:

Die Cybersecurity and Infrastructure Security Agency (CISA) hat den Software Acquisition Guide: Supplier Response Web Tool veröffentlicht, eine kostenlose, interaktive Ressource, die Entscheidungsträgern in der Informationstechnologie (IT) und der Industrie, Beschaffungsexperten und Softwarelieferanten dabei helfen soll, ihre Cybersicherheitspraktiken während des gesamten Lebenszyklus der Softwarebeschaffung zu stärken.

Das Webtool basiert auf dem „Software Acquisition Guide for Government Enterprise Consumers“ und soll es Benutzern erleichtern, Software Assurance und Lieferantenrisiken zu bewerten.

– Diese Folge wird Ihnen präsentiert von Marktplatz IT-Sicherheit und dem Angebot Interaktive Listen zu Backups:

Backups – Datensicherung als Fundament digitaler Resilienz: Der Marktplatz IT-Sicherheit beleuchtet das Thema „Backup“ umfassend aus technischer, organisatorischer, rechtlicher und strategischer Sicht. Ziel ist es, nicht nur einen Überblick über die wichtigsten Methoden und Technologien zu geben, sondern auch praxisnahe Empfehlungen zu liefern, wie eine zeitgemäße, effiziente und rechtssichere Backup-Strategie entwickelt und umgesetzt werden kann.

In einer Tabelle finden Sie zudem Informationen zu Unternehmen, die Backup Technologien und Services anbieten, die Sie nach Ihren eigenen Bedürfnissen filtern können.

Sie finden den Link zu diesem Angebot von Marktplatz IT-Sicherheit sowie alle anderen Links zu dieser Folge in den Show-Notes zu diesem Podcast.

Das war es für heute.

Vielleicht sehen wir uns ja auf den Internet Security Days 2025 von eco Verband der Internetwirtschaft. Das würde mich freuen!

Und ich freue mich, wenn wir uns bald wieder hören, besuchen Sie den Marktplatz IT-Sicherheit und abonnieren Sie diesen Podcast und die anderen Formate auf dem Marktplatz IT-Sicherheit! Hier werden Sie mit Sicherheit gut informiert! Das war Oliver Schonschek, der News-Analyst vom Marktplatz IT-Sicherheit