< Zurück
News

HiSolutions Cybersecurity Digest Februar 2025

Security Consulting , Cybersecurity Newsletter

 

Liebe Leserinnen und Leser,

das Thema Post-Quantum-Kryptographie ist für viele noch nicht so richtig greifbar. Daher schauen wir uns diesmal Hardware an, die man sogar in die Hand nehmen kann, und die bereits quantensicher ist. Neben dieser ersten BSI-zertifizierten quantensicheren Smartcard haben wir folgende Themen:

  • Die Grand Challenges der Informatik 2025
  • Verschiedene Datenlecks
  • Seitenkanalangriff des Monats

Wir wünschen Ihnen viel Spaß beim Lesen. Wie immer ist Ihr Feedback herzlich willkommen.

Mit besten Grüßen
Holger von Rhein

 

HiSolutions IT-Sicherheit Digest Top-Thema

BSI zertifiziert quantensichere Smartcard

Unter der schwebenden Gefahr der Entwicklung eines kryptografisch relevanten Quantencomputers treiben unter anderem das BSI (Bundesamt für Sicherheit in der Informationstechnik) und auch das NIST (National Institute of Standards and Technology) seit geraumer Zeit die Ablösung der altbewährten asymmetrischen Verschlüsselungsalgorithmen (RSA, ECDSA, EdDSA, DH und ECDH) durch neue quantensichere Algorithmen voran.
https://www.forschung-it-sicherheit-kommunikationssysteme.de/dateien/forschung/2024-03-impulspapier-quanten-cybersicherheit.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2024/NIST.IR.8547.ipd.pdf

Aber auch Europol hat Finanzinstitute und politische Entscheidungsträger weltweit aufgefordert, dem Übergang zur quantensicheren Verschlüsselung Priorität einzuräumen und Lösungen einzusetzen.
https://www.heise.de/news/Europol-Finanzinstitute-sollten-rasch-auf-quantensichere-Kryptografie-umsatteln-10274967.html

Das BSI hat nun das weltweit erste Common-Criteria-Sicherheitszertifikat (EAL6+, ALC_FLR.1) für eine konkrete Implementierung des (neuen) PQC-Verfahrens ML-KEM (https://csrc.nist.gov/pubs/fips/203/final) auf einer Smartcard erteilt.

Die quantensichere Smartcard soll damit langfristig die Sicherheit verschlüsselter Daten auch bei der Entwicklung eines kryptografisch relevanten Quantencomputers gewährleisten und kann in verschiedenen Anwendungen wie Personalausweis, Gesundheitskarte, Kreditkarte und SIM-Karte eingesetzt werden.

Die vom BSI zertifizierte Smartcard setzt auf einen Infineon-IC auf 32-bit Arm v8-M CPUBasis, der das PQC-Verfahren FIPS203 (ML-KEM) umsetzt.
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/250121_erste_quantensichere_Smartcard.html
https://www.heise.de/news/BSI-zertifiziert-erste-Smartcard-mit-Post-Quanten-kryptografischem-Algorithmus-10250779.html
https://www.it-finanzmagazin.de/bsi-zertifiziert-erste-quantensichere-smartcard-mit-post-quanten-kryptografischen-algorithmus-221558/ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte/Reporte1200/1249a_pdf

 

HiSolutions IT-Sicherheit Digest Neuigkeiten

Die Grand Challenges der Informatik 2025

Die GI (Gesellschaft für Informatik e. V.) hat die „Grand Challenges der Informatik 2025“ vorgestellt. Es sollen die größten Herausforderungen sein, denen sich die Informatik in den kommenden Jahren stellen muss. Die GI hat fünf Herausforderungen identifiziert:

  1. Internet of Everything – Die Vernetzung aller Elemente des täglichen Lebens erfordert effiziente und belastbare Lösungen für Industrie 4.0, Smart Cities und Telemedizin.
  2. Dezentrale KI – KI-Modelle sollen direkt dort trainiert und ausgeführt werden, wo die Daten anfallen, was neue Forschungsfragen zu Handhabung und Sicherheit aufwirft.
  3. Digitale Selbstbestimmung – Der Schutz der Selbstbestimmung der Nutzerinnen und Nutzer und die Förderung ihrer kritischen Kompetenz sind angesichts der Datenflut und der systematischen Verwertung von zentraler Bedeutung.
  4. Vollautomatisierte Softwareentwicklung – Die Automatisierung in der Softwareentwicklung muss zuverlässig und ethisch reflektiert erfolgen.
  5. World Wide Metaverse – Das Metaverse soll als erweiterter digitaler Lebensraum offen, frei und sicher gestaltet werden.

https://gi.de/grand-challenges

 

HiSolutions Veranstaltung

Know-how to go: Sicherheit in der Softwareentwicklung

In einer zunehmend digitalen Welt wird Software zur treibenden Kraft hinter Innovationen – aber auch zur Zielscheibe für Cyberangriffe. Wie können wir sicherstellen, dass Sicherheit nicht erst ein nachträglicher Gedanke, sondern integraler Bestandteil jedes Schrittes im Softwareentwicklungsprozess ist?

Diese Veranstaltung bietet einen umfassenden Überblick über den Software-Entwicklungs-Lifecycle und die sicherheitsrelevanten Aspekte in jeder Phase. Von der Anforderungsanalyse über die Planung und Implementierung bis hin zum Testen und Deployment werden alle Schritte erklärt. Besonderes Augenmerk liegt auf der Integration von Sicherheitsmaßnahmen, um potenzielle Bedrohungen frühzeitig zu erkennen und zu mitigieren. Ziel ist es, die Grundlagen für eine sichere und effiziente Softwareentwicklung zu legen.

Die Teilnahme an unserem Wissensfrühstück ist kostenfrei.

Wann: 02.04.2025 | Wo: Bonn

https://www.hisolutions.com/knowhow

 

Datenlecks

In den letzten Wochen gab es weltweit eine Reihe bedeutender Cybersicherheitsvorfälle, die verschiedene Branchen und Unternehmen betrafen. Hier sind einige Ereignisse, die es in die Presse geschafft haben, zusammengefasst.

Potenzielles Datenleck bei OpenAI

OpenAI untersucht derzeit ein mögliches Datenleck, bei dem die Daten von 20 Millionen Nutzern gestohlen worden sein sollen. Cyberkriminelle behaupten, Zugangsdaten von ChatGPT-Nutzern im Darknet zum Verkauf anzubieten. Obwohl der Wahrheitsgehalt dieser Behauptungen noch unklar ist, nimmt OpenAI die Situation ernst und führt umfangreiche Untersuchungen durch.
https://www.heise.de/news/Cyberangriff-OpenAI-untersucht-potenzielles-Leck-von-20-Millionen-Nutzerdaten-10275538.html
https://www.golem.de/news/cybersicherheit-openai-benutzerdatenbank-angeblich-gehackt-2502-193173.html

 

Datenleck bei Thermomix

Ein Datenleck im Rezeptforum des Thermomix-Herstellers Vorwerk hat dazu geführt, dass die Daten von mehr als einer Million deutscher Nutzer im Darknet gelandet sind. Betroffen sind E-Mail-Adressen, Telefonnummern und andere persönliche Informationen. Vorwerk hat die Sicherheitslücke inzwischen geschlossen und die betroffenen Nutzer informiert.
https://www.heise.de/news/Datenleck-bei-Thermomix-Daten-von-1-Million-deutscher-Nutzer-im-Darknet-10273696.html
https://www.golem.de/news/thermomix-forum-hacker-erbeuten-millionenfach-nutzerdaten-von-vorwerk-2502-193119.html

 

Sicherheitslücken bei Legaltech-Unternehmen

Sicherheitsexperten haben triviale Datenlecks bei zwei Legaltech-Unternehmen aufgedeckt. Die Unternehmen, die automatisierte Rechtsdienstleistungen anbieten, hatten ungeschützte Daten im Netz, die leicht zugänglich waren. Nach Hinweisen des Chaos Computer Clubs (CCC) haben die betroffenen Firmen die Sicherheitslücken schnell geschlossen.
https://www.heise.de/news/Sicherheitsexperten-enthuellen-triviale-Datenlecks-bei-Legaltechs-10272273.html ​​​​​​​
https://www.ccc.de/de/updates/2025/ccc-deckt-datenlecks-bei-legal-tech-plattformen-auf

 

Datenleck in Reha-Kliniken

Ein massives Datenleck bei den ZAR-Reha-Kliniken in Deutschland hat potenziell Hunderttausende von Patienten betroffen. Hochsensible medizinische Daten waren ungeschützt zugänglich. Die betroffenen Kliniken haben die Sicherheitslücke inzwischen geschlossen und arbeiten an weiteren Sicherheitsmaßnahmen.
https://www.heise.de/news/Datenleck-in-Reha-Kliniken-Hunderttausende-Patienten-potenziell-betroffen-10262109.html

 

Ransomware-Angriff auf Tata Technologies

Der indische Technologiekonzern Tata Technologies wurde Opfer eines Ransomware-Angriffs, der zum vorübergehenden Ausfall einiger IT-Dienste führte. Das Unternehmen hat die betroffenen Dienste inzwischen wiederhergestellt und führt eine detaillierte Untersuchung durch, um die Ursache des Angriffs zu ermitteln und künftige Risiken zu minimieren.
https://therecord.media/tata-ransomware-attack-report-incident

 

Stealer-Apps im App Store

Zum ersten Mal wurden im Apple App Store Stealer-Apps entdeckt, die Passwörter aus Screenshots stehlen. Die unter dem Namen SparkCat bekannte Malware zielt auf Android- und iOS-Benutzer ab und durchsucht deren Foto-Bibliotheken nach sensiblen Informationen wie Krypto-Wallet-Seed-Phrasen. Apple hat die betroffenen Apps mittlerweile entfernt.
https://www.heise.de/news/Klaut-Passwoerter-aus-Screenshots-Stealer-Apps-erstmals-im-App-Store-gesichtet-10273411.html

 

Fazit

Diese Vorfälle unterstreichen die Bedeutung robuster Cybersecurity-Maßnahmen und die Notwendigkeit, ständig wachsam zu bleiben, um Datenlecks und Cyberangriffe zu verhindern. Auch wenn der folgende Artikel schon ein paar Jahr alt ist, bringt dieser die Problematik rund um Datenlecks auf den Punkt.
https://www.ccc.de/en/updates/2022/web-patrouille-ccc

Wo Unternehmen aufgrund eines Fehlers Daten abhandenkommen, will die britische Sicherheitsbehörde auf Basis des “Investigatory Powers Act“ einen dauerhaften Datenzugriff auf Benutzerdaten erhalten.
https://www.heise.de/news/Britische-Regierung-erzwingt-Zugriff-auf-Apples-verschluesselte-Cloud-Daten-10273896.html

Menschen, die gerne mal wissen wollen, ob ihr Passwort bei einem der vielen Datenlecks betroffen ist, können Seiten wie https://haveibeenpwned.com/Passwords verwenden. Doch Vorsicht mit der Eingabe von eigenen Passwörtern auf fremden Webseiten. Im Zweifel hat man sein Passwort gerade aus der Hand gegeben.

 

Seitenkanalangriff des Monats

Forscher vom Georgia Institute of Technology und von der Ruhr University Bochum haben zwei neue Seitenkanal-Schwachstellen in modernen Apple-Prozessoren entdeckt, die als „FLOP“ und „SLAP“ bezeichnet werden. Beide Seitenkanalangriffe zielen auf Funktionen ab, die die Verarbeitung beschleunigen sollen, indem sie zukünftige Anweisungen erraten, anstatt auf sie zu warten, und so Spuren im Speicher hinterlassen, um sensible Informationen zu extrahieren.

FLOP (False Load Output Prediction) ist ein Problem mit Apples neuesten M3-, M4- und A17-Prozessoren, die nicht nur die Speicheradressen vorhersagen, auf die sie zugreifen werden, sondern sogar die tatsächlich im Speicher gespeicherten Werte.
https://predictors.fail/files/FLOP.pdf

SLAP (Speculative Load Address Prediction) betrifft Apples M2- und A15-Prozessoren und viele der späteren Modelle. Anstelle von FLOP, bei dem es darum geht, zu erraten, welchen Wert eine Speicherladung zurückgeben wird, geht es bei SLAP um die Vorhersage der Speicheradresse, auf die als Nächstes zugegriffen wird, genannt Load Address Prediction (LAP). https://predictors.fail/files/SLAP.pdf

Die FLOP- und SLAP-Angriffe sind von Bedeutung, da sie moderne und weitverbreitete Hardware betreffen und aus der Ferne ausgeführt werden können, ohne dass physischer Zugang erforderlich ist.

Hat ein Angreifer ein Opfer auf eine bösartige Seite locken können, kann der Angreifer mit diesen Schwachstellen Daten aus Webbrowsern stehlen.

Die Forscher haben auf ihrer Webseite Videos veröffentlicht, mit denen der Angriff demonstriert wird: https://predictors.fail/

https://www.bleepingcomputer.com/news/security/new-apple-cpu-side-channel-attack-steals-data-from-browsers/​​​​​​​

 

Der nächste HiSolutions Cybersecurity Digest erscheint Mitte März 2025.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: