Noch ein kleiner Sammelbeitrag, in dem ich einige Meldungen zu IT-Störungen und Sicherheitsvorfälle zusammen ziehe. Der Ausfall von McDonald's-Terminals war wohl auf eine Konfigurationsänderung zurückzuführen. Bei Worthmann scheint es Probleme im Rechenzentrum zu geben, wodurch die TerraCloud hackt. Und Fujitsu musste Ende letzter Woche eingestehen, dass bei einen Cyberangriff wohl Daten abgezogen werden. In den USA schlägt ein Senator Alarm, weil es in den elektronischen Schlössern von Tresoren "Hintertüren" gibt. Und ChatGPT-Plugins stellen ein Sicherheitsrisiko dar.
Anzeige
Grund für den McDonald's-Ausfall
Beim Burger-Bräter McDonald's gab es die Tage ja einen weltweiten Ausfall der Kassenterminals. Alle Kassen- und Kiosksysteme in den Filialen der Franchise-Nehmer waren nicht mehr bedienbar. Ich hatte im Blog-Beitrag MCDonald's: Weltweiter Ausfall wegen technischer Probleme über den Vorfall berichtet. Es war schnell klar, dass es kein Cybervorfall als Ursache war, was den Ausfall bewirkte.
Die Kollegen von Bleeping Computer schreiben in diesem Artikel, dass eine Konfigurationsänderung "eines Drittanbieters" der Grund für die weltweite Störung gewesen sei.
Schwerwiegende Störung der TerraCloud
Ein Blog-Leser hat mich gerade auf Facebook per Direktnachricht auf eine massive Störung im Rechenzentrum bei Wortmann hingewiesen. Wortmann betreibt die Infrastruktur für die TERRA CLOUD in diesem Rechenzentrum. Auf der Statusseite der TERRA CLOUD wird eine "Schwerwiegende Störung in einem IaaS-Teilbereich" vermeldet.
Anzeige
Es hieß ursprünglich, dass einige virtuelle Maschinen nicht zur Verfügung stehen. Inzwischen kristallisiert sich heraus, dass diese Störung schwerwiegende Auswirkungen hat. Die betroffenen virtuellen Maschinen sind nach wie vor nicht verfügbar und Aufgrund des Fehlerbildes geht der Betreiber derzeit davon aus, dass die virtuellen Maschinen nicht wieder ordnungsgemäß durch die Techniker wiederhergestellt werden können und dauerhaft ausfallen könnten.
Aktuell arbeiten die Techniker selbstverständlich weiterhin mit allen verfügbaren Ressourcen an der Behebung und Prüfung der noch vorhandenen Möglichkeiten. Für mich ist unklar, was der Grund für diese Störung ist und warum es kein Backup gibt.
Hack bei Fujitsu
Sicherheitsforscher Kevin Beaumont weist in nachfolgendem Post auf Mastodon auf eine Meldung des japanischen Unternehmens Fujitsu hin. Auf der japanische Webseite gesteht Fujitsu zum 15. März 2024 ein, dass man Schadsoftware auf mehreren seiner Geschäftscomputer gefunden habe.
Die Computer wurden zwar nach dem Fund der Malware umgehend abgeschaltet und es wurden Maßnahmen wie eine verstärkte Überwachung anderer Geschäfts-PCs ergriffen. Die Ermittlungen darüber, wie die Malware eingeschleust wurde und ob Informationen abgeflossen sind, dauern noch an. Aber Fujitsu kann nicht ausschließen, dass Informationen, einschließlich personenbezogener Daten, abgeflossen sind. Konkret heißt es: "Als Ergebnis einer internen Untersuchung wurde festgestellt, dass Dateien mit persönlichen Daten und kundenbezogenen Informationen illegal entnommen worden sein könnten." Betroffene Personen und Kunden wurden einzeln informiert.
IT-Ärger in Rostocks Rathaus
In der IT des Rathauses der Stadt Rostok gab es einige IT-Probleme, die die Ostseezeitung hier anspricht (leider Paywall). In Kurzfassung: In der Telefonanlage gab es ein "Datenschutzproblem" in Form einer Mithörmöglichkeit. Insider konnten sich monatelag mit einem Telefon in der Stadtverwaltung verbinden und Gespräche im betreffenden Büro mithören. Diese Funktion ist inzwischen deaktiviert. Weiterhin führte die Corona-Pandemie zu mehr Home-Office, und Mitarbeiter nutzen auch private E-Mail-Konten für dienstliche Belange. So konnten Bürgerdaten zu E-Mail-Konten, die auch von Familienmitgliedern oder Dritten eingesehen werden konnten. Und schließlich gab es noch einen erfolgreichen Phishing-Angriff auf ein Konto, der aber nach wenigen Stunden bemerkt und durch Änderung der Zugangsdaten abgefangen werden konnte.
Cyberangriff auf Deutsches Meeresmuseum
Auf das Deutsche Meeresmuseum gab es einer Meldung auf der Webseite zufolge in der Nacht vom 14.03. zum 15.03. 2024 einen Cyberangriff. Als Folge ist der Online-Ticketshop momentan nicht erreichbar. Eintrittskarten sind ausschließlich an den Kassen und gegen Barzahlung erhältlich. Das Museum scheint aber weiterhin geöffnet zu sein.
Phishing im Namen der IHK
Aktuell gibt es wohl eine Phishing-Welle, die Firmen in ganz Deutschland trifft. Die Empfänger werden angeblich "im Namen der IHK" angesprochen und um die Aktualisierung ihrer Daten gebeten. Die Deutsche Industrie- und Handelskammer warnt in diesem Artikel von der neuen Masche zum Datenklau.
Die Phishing-Mails kursieren wohl seit der ersten Märzhälfte, und fordern die "sehr geehrten Geschäftspartner" mit Fristsetzung auf, ihre Kontaktdaten zu aktualisieren. Sofern die Empfänger der Nachrichten mit dem Betreff "Deutsche Industrie und Handelskammer Daten Aktualisierung" und der Absenderadresse d-ihk@firmenaktualisierung.com bis zum Stichtag nicht aktuelle Daten ihres Unternehmens meldeten, so die Drohung, "wird Ihre HRB-Nummer vorübergehend gesperrt und es kann eine Geldstrafe verhängt werden". Die DIHK weist darauf hin, dann man nicht Absender dieser Mails sei und fordert die Empfänger auf, die Nachrichten einfach zu löschen. Man solle keinesfalls auf den Button "Unternehmensdaten aktualisieren" klicken. Golem hat das Thema in diesem Artikel aufgegriffen.
Elektronische Schlösser an Safes mit Backdoor
Kürzlich ist mir noch eine in höchsten Tönen lobpreisende Pressemitteilung über ein elektronisches Schloss ins Postfach geflattert. Ich hab die Meldung unter den Tisch fallen lassen, weil ich den Sinn noch nicht so sah und mir die Frage "und welche Schwachstellen gibt es dort" durch den Kopf ging. Bei Hotel-Safes kenne ich es, dass es einen "Generalcode" gibt, um die Gäste-Safes im Notfall öffnen zu können. Musste ich kürzlich sogar in Anspruch nehmen, weil der Safe zwar offen, aber vom Verschluss her verriegelt war. Beide Episoden fielen mir wieder ein, als ich nachfolgenden Tweet zum Thema elektronische Schlösser von Safes las.
Zwei der größten Hersteller von Schlössern für gewerblich genutzte Tresore werden in einem neuen Schreiben des US-Senators Ron Wyden beschuldigt, zumindest in einige ihrer Produkte Hintertüren eingebaut zu haben, schreibt 404 Media hier. Wyden fordert die US-Regierung auf, die Öffentlichkeit ausdrücklich vor diesen Schwachstellen zu warnen, die laut Wyden von ausländischen Gegnern ausgenutzt werden könnten, um die in den Tresoren von US-Unternehmen gespeicherten Daten, wie z. B. Geschäftsgeheimnisse, zu stehlen.
Die wenig bekannten "Hersteller"- oder "Manager"-Reset-Codes könnten Dritten (Spionen oder Kriminellen) das Öffnen der Tresore ermöglichen, ohne das die Besitzer das überhaupt ahnen. Wydens Büro fand auch heraus, dass das US-Verteidigungsministerium (DoD) solche Schlösser für sensible und als geheim eingestufte Anwendungen der US-Regierung verbietet, zum Teil wegen der Sicherheitslücke, die die Rückstellcodes darstellen. Die US-Regierung warnt die Öffentlichkeit bewusst nicht vor der Existenz dieser Hintertüren.
ChatGPT-Plugins als Risiko
Sicherheitsforscher haben eine neue Bedrohung in Plugins von Drittanbietern für OpenAIs ChatGPT aufgedeckt. Dies ermöglichen es Angreifern, bösartige Plugins ohne Zustimmung der Nutzer zu installieren und Konten auf Websites von Drittanbietern wie GitHub zu kapern. The Hacker News weist in diesem Artikel auf den Sachverhalt hin.
Automodelle wegen Cybersecurity vor Ausmusterung
Und noch ein besonderes Schmankerl: Die EU hat neue Regeln für Cybersecurity in Neuwagen erlassen, die ab Juli 2024 gelten sollen. Das hat den Effekt, dass einzelne Fahrzeugmodelle vom EU-Markt verschwinden, weil die Nachrüstung für die Hersteller schlicht zu teuer wäre. Die Wirtschaftswoche nennt in diesem Artikel von Porsche den Macan, den Cayman und den Boxter. Bei VW hat es den Kleinwagen Up sowie den Transporter T6.1 betroffen. Jetzt fahren also einige VW- und Porsche-Besitzer mit einem Cyberrisiko durch die Lande.
Entra Conditional Access
Abschließend noch ein Link zum Artikel Top things that you might not be doing (yet) in Entra Conditional Access – Advanced Edition, der sich mit der Absicherung des Zugriffs auf Microsofts Entra ID befasst.
Sachen
Anzeige
Bzgl. der Cybersecurity könnte das KBA die Hersteller einfach zwingen, bestehende Modelle entsprechend nachzurüsten.
Machen die ja auch bei anderen Sachen, wie z.B. den Takata Airbags.
Da haben selbst 25 Jahre alte Autos einen neuen Airbag bekommen.
Leistet man dem vom KBA eingeleiteten Rückrufverfahren keine Folge, wird das Auto von Amts wegen zwangsweise still gelegt.
Wäre für die Hersteller ein grandioser Imageschaden, da davon u.U. Millionen Fahrzeuge betroffen wären.
Und was heißt "zu teuer"?
Geld haben die doch genug.
Fällt eben die Dividende für die Aktionäre und die Boni für die Führungsebene etwas weniger üppig aus.
Zu McDonalds:
Vor ca. 2 Jahren war ich mal da und da war eines der Bestell- und Bezahlterminals am neu booten.
Ich war sehr erstaunt, was ich da sehen konnte: Das Terminal lief mit Windows XP Embedded!
R.S.: Es geht nicht um Nachrüstung sondern um Managementsysteme ausgerichtet an Cybersecurity in der Lieferkette. Für ältere Fahrzeuge nicht mehr lösbar bzw. müssten überall neue Teile mit entsprechender Zertifizierung der Hersteller/Händler eingebaut werden. Da lässt man die Autos lieber auslaufen … die Erstzulassung der Autos ist älter als die EU-VO (ich glaub es ist ne VO, gerne korrigieren). Passenden Artikel dazu habe ich nicht an der Hand. Benutze die Suchmaschine deiner Wahl.
Beim Airbag ist ein potentiell lebensbedrohlicher Umstand gegeben. Vernetzte Autos können vermutlich maximal unberechtigt geöffnet oder geklaut werden. Das sehe ich nicht als Sicherheitsrisiko, das die sofortige Stilllegung erfordert.
Up und T6 sind doch mit die einzigen VW-Modelle, die überhaupt noch jemand kaufen würde… ob da die Prioritäten richtig gesetzt worden sind…? In zehn Jahren ist VW ohnehin nur noch eine Badge-Engineering-Submarke irgendeines chinesischen Herstellers…
"Jetzt fahren also einige VW- und Porsche-Besitzer mit einem Cyberrisiko durch die Lande. "
Relativ unwahrscheinlich, denn dazu müsste sich ein Angreifer ja wahrscheinlich erstmal mit dem Fahrzeug verbinden. Mein Wlanfähiges Auto hab ich im Heim-WLAN schonmal per nmap gescannt und weiß daher, das Auto niemals mit einem fremden WLAN verbinden…
Darüber hinaus sehe ich das erstmal gelassen…
Angeblich kommt man auch über die Schnittstelle der Funkreifendrucksensoren in die Fahrzeugelektronik
Cyberrisk gibt's aber auch bei der Funkverbindung, der Autoschlüssel.
Recherchetipp: Port Knocking
Backdoors bzw. nicht dokumentierte Zugänge gern auch direkt in den Baseband Chips werden erst nach bestimmten Sequenzen zugänglich.
nmap ist da hilflos.
Mails von der IHK haben wir nicht bekommen, dafür Mails, die angeblich vom MS Teams kommen würden "Sie wurden zu einer neuen Arbeitsgruppe hinzugefügt.". Optisch gar nicht so schlecht gemacht (im Vergleich zu dem, was man sonst so sieht), ist auch nicht vom Spamfilter erkannt worden. Mailadresse war dafür aber offenkundiger Unsinn.
Hallo Zusammen
Hat jemand aktuell gerade auch Fehlermeldungen, dass ionos Mails nicht an M365 versenden kann?
Der Absender kriegt eine "allgemeine" Fehlermeldung zurück:
451 Requested action aborted: local error in processing
Server temporary busy
Auf dem Zieltenant ist nichts von der Nachricht zu finden…
Danke
4xy ist ein temporärer Fehler, der sendende Server ist gehalten, den Versuch abzubrechen und es später erneut zu versuchen (wie viel später ist Entscheidung des sendenden Postmasters).
Also entweder eine 2. Mail zum Test hinterherschicken oder halt ein wenig warten.
Manche Server melden solche Fehler auch während des Greylistings, um Spammer zu blockieren.
bzgl der Hotelsafes, die sind idR eh nur Spielzeug. Entweder leicht aufzubrechen oder man nimmt die einfach mit da recht klein und leicht und meist lächerlich billig mit dem Schrank verschraubt. Der "Vorteil" für den Besitzer des Inhalts ist dann aber zumindest das man den Zugriff bemerkt.
Und dass man den Diebstahl sehr klar nachweisen kann… Einbrüche ohne Spuren (und das wäre ein Diebstahl, bei dem der Safe mittels Master-Code "geknackt" wird) sind einer Versicherung immer ganz schwer zu vermitteln.
Mal abgesehen davon, dass ein Hotelsafe doch noch etwas schwieriger unauffällig durch das Hotel zu schleppen ist, als ein Laptop oder Bargeld.
Bei Terra wäre natürlich interessant zu wissen, was die mit Nicht-Wiederherstellung bzw. dauerhafter Ausfall der Virtuellen Maschine meinen. Boot der aktuellen Maschine oder auch das Backup.
Wenn das Backup auch Schrott ist, dann mal gute Nacht.
Zitat: Aktuell arbeiten die Techniker selbstverständlich weiterhin mit allen verfügbaren Ressourcen an der Behebung und Prüfung der noch vorhandenen Möglichkeiten. Für mich ist unklar, was der Grund für diese Störung ist und warum es kein Backup gibt.
Bei IaaS muss man als Kunde sebst für das Backup sorgen. Wenn man das nicht macht, hat man im Ernstfall die A….karte gezogen.
bei Wortmann ist so ziemlich alles wieder online.
Wäre aber schon gut zu wissen, was die Ursache war.
Ich werfe mal meinen Beitrag Crasht Securepoint Antivirus Windows Terminal-Server? (18. März 2024) in die Debatte. Mag daneben liegen – aber ein Leser schrieb mir:
> In der Telefonanlage gab es ein "Datenschutzproblem" in Form einer Mithörmöglichkeit. Insider konnten sich monatelag mit einem Telefon in der Stadtverwaltung verbinden und Gespräche im betreffenden Büro mithören. Diese Funktion ist inzwischen deaktiviert.
Deaktiviert? Glaube ich nicht. Vorher war wohl versehentlich 'everyone full' berechtigt, jetzt darf vermutlich nur noch Teamleiter und höher mithören.
Möbelsafes in Hotelzimmern haben einen Generalcode, der sich ändern lässt. Da das Sicherheitsbewusstsein oft niedrig und die Zimmersafes ohnhin nur dafür da sind, einen Punkt auf der Ausstattungs-Checklist abzuhaken, wird der oft aus Bequemlichkeit nicht geändert. Abgesehen davon ist das Ändern bei potenziell mehreren zig oder hundert Safes richtig Arbeit.
Von vielen Modellen sind die ab Werk eingestellten Generalcodes im Internet zu finden. Ich mach mir bei Hotelaufenthalten fast immer den Spaß, den Safe mit einem eigenen Code zu versperren und dann ein paar der bekannten Codes (und Dinge wie "0000" auszuprobieren. Es gibt immer wieder welche, bei denen das funktioniert.
die IHK… schlechtes SPF, kein DKIM, kein DMARC, immerhin eine security.txt.
Wenn Amateure am Werk sind, braucht man sich nicht wundern. IT-Sec in Deutschland ist weiterhin ein Trauerspiel, leider.
Und nein, die Technikern verhindern das ganze nicht komplett, erschwert aber den Missbrauch derer Maildomain.
Das zuerst geschriebene "Kein SPF" ist ja leicht verständlich, aber was habe ich mir unter "schlechtes SPF" vorzustellen?
SoftFail ist schlecht. Recject wäre richtig.
Immerhin gab es schon Empfänger der Security.txt schon Feedback, dass sie es prüfen.
die Parameter bei SPF sollten verdeutlichen
"Alle Kassen- und Kiosksysteme in den Filialen der Franchise-Nehmer waren nicht mehr bedienbar."
Betraf das tatsächlich nur die Franchisenehmer oder alle Stores (Franchise + Companyeigene)*?
* in DE am Ehesten erkennbar am "Eigentümer"-Aufkleber an der Eingangstür
Ich denke beide.
OT:
Ende Februar gab es einen Sicherheitsvorfall bei der Jagenberg-Gruppe bzw. deren Tochterfirma Kampf GmbH.
Lt. Eigenangaben wurden bei einer „Attacke" Systeme teilweise verschlüsselt.
Hier eine News von deren Website:
*ttps://www.kampf.de/de/newsroom/news/einzel-news/cyber-attacke-auf-die-kampf-gmbh-3/
Vielleicht kann das noch in einen Sammelartikel aufgenommen werden.
Viele Grüße!
—
GB: Der verlinkte Artikel ist aus dem Web verschwunden und auch in Way Back Machine nicht mehr auffindbar.