Die Entwicklungen des Exchange HAFNIUM-Hacks sind haarsträubend. Mindestens zehn weitere Hacker-Gruppen sind zwischenzeitlich aufgesprungen. Zehntausende Server weltweit sind eine zu große Verlockung. “DearCry” heißt die erste Ransomware1. Im Klartext: Eine Tsunami-Welle rollt auf Microsoft AD-Netzwerke mit Exchange-Servern zu. Persönlich rechne ich ab diesem Wochenende mit der ersten Welle. Sie wird zuerst die Standard-Installationen befallen, wo die Hacker leichtes Spiel haben und anhand der Dokumente Ihre Ziele schnell identifizieren konnten. Ich tippe auf “lohnenswerte” - sprich zahlungsbereite - Behörden, Kommunen sowie große Unternehmen. Weiterlesen

Drei Amazon Angestellte, einer aus Europa, zwei aus den USA der “High-Level” Informationssicherheit wenden sich als Whistleblower an die Öffentlichkeit. Sie warnen vor schwerwiegenden, internen Missständen bei Amazon. Dem Nachrichten-Portal POLITICO1 liegen die Aussagen sowie interne Memos und Dokumente vor. Diesem Gang in die Öffentlichkeit ging offenbar ein längerer Weg durch die betrieblichen Eskalationsebenen bis zum obersten Management in Seattle voraus. Im Ergebnis skizzieren die Drei aus unterschiedlichen Konzernbereichen unabhängig voneinander ein gemeinsames Bild. Weiterlesen

Meldungen zu großen Hacks und Datenleaks hinterlassen ein ungutes Gefühl. Bin ich auch betroffen? Leak Checker versprechen Antworten. Das Hasso-Plattner-Institut (HPI) in Potsdam betreibt eine medial bekannte1 Plattform - die Lösung der Universität Bonn2 ist etwas weniger bekannt. Beide teilen sich das gleiche Funktionsprinzip: Email eingeben, Abgleich mit einer Datenbank aller Leaks, Antwort zurücksenden. Die Unterschiede liegen in den Details und sind leider weniger erfreulich. Einbindung von Google Ressourcen Das HPI disqualifiziert sich mit Einbindung einer extern verlinkter Javascript-Ressource von ajax. Weiterlesen

Auf der Suche nach einer griffigen Beschreibung komplexer Systeme reichte mir der karge Wikipedia-Artikel1 nicht. Auch die komplexen adaptiven Systeme2 wollten nicht passen. Ich fand Professor Emeritus Richard Cook. Sein Forschungsgebiet war das “Resilience Engineering” und er begann dort, wo James Reason 1990 mit seinem Buch “Human Error” aufhörte. Wem das Buch nichts sagt: Wenn Menschen mit 100%ig funktionierender Technik katastrophale Unfälle bauen, wird es als Standardwerk zitiert. Das Schweizer-Käse-Modell3 ist nichts als eine bildhafte Umschreibung seiner “Defence-in-Depth”. Weiterlesen