Inhaltsverzeichnis <kes> 2020#5

(mit zugangsgeschützten Links für Abonnenten)

 

 

Titelthema: Malware 2020

Bei der Malware könnte man bisweilen denken, es tue sich eigentlich nur wenig, das ewige Wettrüsten geht als Katzund- Maus-Spielchen immer weiter und so richtig kriegen Anbieter und Security das Problem nicht in den Griff. Tatsächlich haben viele Techniken in Angriff und Abwehr recht alte Wurzeln – dennoch ist bei Trends im Malwareschutz auch „echter“ Fortschritt zu beobachten.

Seite 60

 

Ransomware geht 2020 ungewohnte Wege, findet neue Ziele und verläuft in gezielteren Kampagnen. Erpressung durch Malware bleibt offenbar lukrativ, wie steigende Opferzahlen und Lösegeldforderungen nahelegen.

Seite 64

 

Aktuelle Aufhänger für Social-Engineering sowie die Modularität der Malware sorgen für regelmäßige Comebacks von Emotet, das bereits seit 2014 sein Unwesen treibt. Im Juli/August 2020 startete der Schädling mit großen Kampagnen in die aktuelle „Saison“.

Seite 64

 

Anders als beispielsweise Ransomware und Kryptominer erfahren die Malware-Klassen der Infostealer und Loader eher wenig öffentliche Aufmerksamkeit – zu Unrecht, wie unser Autor warnt.

Seite 70

 

Management und Wissen

Kampagnen mit fingierten Phishing-Nachrichten besitzen nur begrenzte Aussagekraft und können negative Auswirkungen auf das Image der Security sowie die Vertrauens- und Fehlerkultur haben, warnen unsere Autorinnen. Lohnt sich also der Aufwand?

Seite 6

 

Penetrationstests erfassen neben Problemen der konkreten Implementierung und Konfiguration auch Sicherheitslücken, die auf Fehler der Anbieter oder Hersteller zurückzuführen sind. Kann man hierfür anfallende Kosten zumindest anteilig auf die letztlichen Verursacher umlegen?

Seite 12

 

Was wollen Angreifer und wie erreichen sie ihre Ziele? Mit einem Profiling der Gegenseite können Securityteams ihr leichter einen Schritt voraus sein. Wie das Mitre ATT&CK Framework bei der Vorsorge und Abwehr von Angriffen helfen kann, erläutert unser Beitrag ab

Seite 15

Der zweite Teil auf dem Weg zum Branchenstandard mit flexibler Umsetzung stellt eine vermeintlich triviale Forderung in den Mittelpunkt: Wer nicht alles schafft, was verlangt wird, muss sich auf das Wichtigste konzentrieren. Diese Weisheit könnte vielen Institutionen helfen, sich allen Kapazitätsgrenzen zum Trotz systematisch an gängige oder neue Security-Standards anzunähern und wird hier am Beispiel Krankenhaus betrachtet.

Seite 20

Bild: Andrey Zharkikh, "2014.05.01_13.05.36_DSCN0905"
(Darkthroat shootingstar, Primrose family, ... hanging by its roots from the
wet wall), CC-BY-2.0, https://flic.kr/p/nB4tqU

E-Mail-Verschlüsselung und -Signatur sind noch immer die große Ausnahme und fristen meist ein eher kümmerliches Nischendasein. Die <kes> hat diverse Verbände, Unternehmen und Experten gefragt, warum das so ist und wie es sich ändern könnte – einige, scheint es, haben bereits die Hoffnung verloren.

Seite 32

Eine Forschungsarbeit legt nahe, dass begrenzte Datenschutzbrüche durchaus positive Effekte auf die öffentliche Wahrnehmung von Unternehmen haben könnten – besonders bei exponierten Marken. Die größten Pannen führen demnach allerdings doch zu negativen Auswirkungen auf die Reputation.

Seite 55

Recht

Unsere Rechtsrubrik erklärt, wie das Urteil des Europäischen Gerichtshofs den transatlantischen Datentransfer auf der Basis des EU-US-Datenschutzschilds (kurz: Privacy Shield) ins Stocken bringt.

Seite 27

IT-Grundschutz

 

Rubriken

Editorial

Seite 03

Termine

Seite 41

News und Produkte

Seite 74

Impressum

Seite 80

Wer bietet was? (Anz.)

Seite 79

 

BSI-Forum