Am 07.02.2020 haben wir unser Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen auf der DefensiveCon in Berlin vorgestellt.
https://ag.kritis.info/wp-content/uploads/2020/02/dcon_ijon.jpg12981731Michael Wiesnerhttps://ag.kritis.info/wp-content/uploads/2019/08/horizontal_color.pngMichael Wiesner2020-02-07 12:12:312020-02-16 22:04:24Vorstellung des CHW-Konzepts auf der DefensiveCon
Am 02.10.2019 haben wir uns mit Vertretern des Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit Vertretern des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) getroffen und unsere Ideen gemeinsam diskutiert. Besprochen wurde in dem Fachgespräch auf Arbeitsebene das Thema der Bewältigung von Großschadenslagen, die durch Cyber-Vorfälle entstehen können. Unsere Idee eines „Cyber-Hilfswerk“ (CHW – […]
https://ag.kritis.info/wp-content/uploads/2020/02/jason-coudriet-c-7iDdmWvF4-unsplash-scaled.jpg18292560Manuel Atughttps://ag.kritis.info/wp-content/uploads/2019/08/horizontal_color.pngManuel Atug2020-02-02 15:23:292020-02-02 16:11:26Ergebnisprotokoll des ersten Behördenworkshops zum Cyber-Hilfswerk (CHW)
@neuspreeland von @dlfkultur hat in ihrem Podcast @breitband den „digitalen Winter“ vom Australier Paul Gardner-Stephen auf dem 36c3 des CCC thematisiert und vor Ort auch unsere Expertise zu Kritischen Infrastrukturen und ganzheitlichen Lösungsansätzen besprochen und diese im Podcast mit eingebracht. „…Eigentlich brauche es so etwas wie eine freiwillige Feuerwehr, ein „digitales THW”, sagt @HonkHase von […]
Seit dem 07.01.2020 hat das CERT-Bund des BSI deutsche Netzbetreiber, die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und andere -Nutzergruppen über verwundbare Citrix-Systeme informiert. Darüber hinaus wurde beispielsweise am 16.01.2020 nochmal verschärft darauf hingewiesen, dass seit dem 10.01.2020 verstärkt Exploit-Code zur Ausnutzung der Schwachstelle veröffentlicht wurde. Trotzdem sind heute immer noch viele Systeme verwundbar und werden aktiv […]
https://ag.kritis.info/wp-content/uploads/2020/01/camilo-jimenez-vGu08RYjO-s-unsplash-scaled.jpg17072560Manuel Atughttps://ag.kritis.info/wp-content/uploads/2019/08/horizontal_color.pngManuel Atug2020-01-26 13:36:112020-01-29 09:11:44#Shitrix: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?
Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Bei FM4 von ORF in Österreich betonen wir, wie gefährlich es ist, sich in falscher Sicherheit zu wiegen. „Das österreichische ELAK-System wurde erst 13. Jänner mit einem Provisorium des Herstellers gesichert. Dieser Workaround dürfte zudem bei mehreren neueren Versionen des Citrix-Betriebssystems nicht wirksam sein. Deshalb […]
https://ag.kritis.info/wp-content/uploads/2020/01/man-holding-laptop-computer-with-both-hands-2036656-scaled.jpg25601709Manuel Atughttps://ag.kritis.info/wp-content/uploads/2019/08/horizontal_color.pngManuel Atug2020-01-26 13:23:052020-01-26 20:58:13FM4 ORF Artikel: Immer mehr Citrix-Systeme mit Schadsoftware verseucht
@Linuzifer und @timpritlove haben in ihrem Podcast unseren Beitrag und die zugehörigen Analysen zur Citrix Schwachstelle #Shitrix wegen der Relevanz bezogen auf die Kritischen Infrastrukturen referenziert und besprochen. Hier ein paar Auszüge aus dem Podcast: „Ab in die Securtiy Hölle… von Citrix gibt es eine wunderschöne Schwachstelle.“ „Aber wo Citrix sehr viel Anwendung findet, ist […]
Update zum Thema: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern? Was haben elliptische Kurven, Zertifikate und Windows-Updates mit Kritischen Infrastrukturen zu tun? Mehr als man zunächst denken mag. Was ist passiert? Am 14. Januar 2020 veröffentlichte Microsoft ein Update, das bereits im Vorfeld viel Aufmerksamkeit erhalten hat. Der amerikanische […]
https://ag.kritis.info/wp-content/uploads/2020/01/robert-anasch-y_ZPwFTCp84-unsplash-scaled.jpg17072560Jan Hoffhttps://ag.kritis.info/wp-content/uploads/2019/08/horizontal_color.pngJan Hoff2020-01-18 18:18:352020-01-26 13:38:23Implikationen für KRITIS durch Schwachstelle in Microsoft Krypto-Bibliothek
Wir berichteten über die aktuelle Sicherheitslücke #Shitrix in VPN-Gateways von Citrix. Bei Deutschlandfunk Forschung aktuell – Computer und Kommunikation zieht es die politische Diskussion nach sich: Braucht es eine gesetzliche Meldepflicht für Sicherheitslücken?. Diese Sicherheitslücken müssten nach dem Dafürhalten vieler Sicherheitsexperten längst geschlossen sein. Bereits seit Jahren fordern sie eine Meldepflicht für Sicherheitslücken. Manuel Atug: […]
Wir waren beim SWR Netzagent Podcast zu Gast und haben dort über die Citrix #Shitrix Schwachstelle im Zusammenhang mit Kritischen Infrastrukturen diskutiert. Die Citrix Sicherheitslücke zeigt, wie schwerfällig und langsam in Deutschland auf IT Sicherheitslücken reagiert wird. Auch nach einem Monat haben längst nicht alle Unternehmen ihre Systeme geschützt. Dabei sind die ersten Firmen bereits […]
https://ag.kritis.info/wp-content/uploads/2020/01/anita-jankovic-KGbX1f3Uxtg-unsplash-scaled.jpg19202560Manuel Atughttps://ag.kritis.info/wp-content/uploads/2019/08/horizontal_color.pngManuel Atug2020-01-17 23:23:222020-06-28 19:11:54SWR Netzagent: Wie gefährlich ist die Citrix Sicherheitslücke? | Gespräch mit IT-Experten
Wir waren auf dem #36c3 vom CCC bei @ra_stiegler zu Gast und haben dort eine Podcast-Serie über Kritische Infrastrukturen eingeleitet. Warum sind Kritische Infrastrukturen so kritisch? HonkHase schildert potenzielle Kettenreaktionen und die Betroffenheit der Bevölkerung. Als Beispiel nehmen wir einen Stromausfall und sprechen auch über die Schwellenwerte für die Sicherheitsabschaltung von Umspannwerken und darüber, wie […]
https://ag.kritis.info/wp-content/uploads/2020/01/robin-sommer-wnOJ83k8r4w-unsplash-scaled.jpg17072560AG KRITIShttps://ag.kritis.info/wp-content/uploads/2019/08/horizontal_color.pngAG KRITIS2020-01-17 09:37:332020-05-03 16:04:15LEGALBITS Podcast - KRITIS: Was das ist und warum sie so kritisch sind
#Citrix Workaround durch zahlreiche Betreiber erst sehr spät oder bis heute nicht implementiert! Angesichts der Tatsache, dass seit der vergangenen Woche mehrere Exploits frei im Internet verfügbar sind, ist das geradezu fahrlässig #KRITIS #shitrix — AG KRITIS (@AG_KRITIS) January 16, 2020 Spiegel-Artikel: Kompromittiert mit Ansage Unter ihnen Behörden, Parteien, Banken, Kraftwerksbetreiber, Universitäten, Krankenhäuser und Gemeinden. […]
Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Der SPIEGEL hebt heraus, dass Citrix nun für Kriminelle ein Jackpot ist. „Wer nicht den Workaround von Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug. Er leitet die unabhängige Arbeitsgruppe AG KRITIS, die […]
Vorstellung des CHW-Konzepts auf der DefensiveCon
/in Vorträge /von Michael WiesnerAm 07.02.2020 haben wir unser Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen auf der DefensiveCon in Berlin vorgestellt.
Ergebnisprotokoll des ersten Behördenworkshops zum Cyber-Hilfswerk (CHW)
/in Protokoll /von Manuel AtugAm 02.10.2019 haben wir uns mit Vertretern des Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit Vertretern des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) getroffen und unsere Ideen gemeinsam diskutiert. Besprochen wurde in dem Fachgespräch auf Arbeitsebene das Thema der Bewältigung von Großschadenslagen, die durch Cyber-Vorfälle entstehen können. Unsere Idee eines „Cyber-Hilfswerk“ (CHW – […]
Deutschlandfunk Kultur Breitband: Überleben im digitalen Winter
/in Podcast /von Manuel Atug@neuspreeland von @dlfkultur hat in ihrem Podcast @breitband den „digitalen Winter“ vom Australier Paul Gardner-Stephen auf dem 36c3 des CCC thematisiert und vor Ort auch unsere Expertise zu Kritischen Infrastrukturen und ganzheitlichen Lösungsansätzen besprochen und diese im Podcast mit eingebracht. „…Eigentlich brauche es so etwas wie eine freiwillige Feuerwehr, ein „digitales THW”, sagt @HonkHase von […]
#Shitrix: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?
/in Artikel /von Manuel AtugSeit dem 07.01.2020 hat das CERT-Bund des BSI deutsche Netzbetreiber, die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und andere -Nutzergruppen über verwundbare Citrix-Systeme informiert. Darüber hinaus wurde beispielsweise am 16.01.2020 nochmal verschärft darauf hingewiesen, dass seit dem 10.01.2020 verstärkt Exploit-Code zur Ausnutzung der Schwachstelle veröffentlicht wurde. Trotzdem sind heute immer noch viele Systeme verwundbar und werden aktiv […]
FM4 ORF Artikel: Immer mehr Citrix-Systeme mit Schadsoftware verseucht
/in Externe Publikationen /von Manuel AtugWir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Bei FM4 von ORF in Österreich betonen wir, wie gefährlich es ist, sich in falscher Sicherheit zu wiegen. „Das österreichische ELAK-System wurde erst 13. Jänner mit einem Provisorium des Herstellers gesichert. Dieser Workaround dürfte zudem bei mehreren neueren Versionen des Citrix-Betriebssystems nicht wirksam sein. Deshalb […]
Logbuch Netzpolitik 327: Dienste der Informationsgesellschaft – Citrix Vulnerability
/in Podcast /von Manuel Atug@Linuzifer und @timpritlove haben in ihrem Podcast unseren Beitrag und die zugehörigen Analysen zur Citrix Schwachstelle #Shitrix wegen der Relevanz bezogen auf die Kritischen Infrastrukturen referenziert und besprochen. Hier ein paar Auszüge aus dem Podcast: „Ab in die Securtiy Hölle… von Citrix gibt es eine wunderschöne Schwachstelle.“ „Aber wo Citrix sehr viel Anwendung findet, ist […]
Implikationen für KRITIS durch Schwachstelle in Microsoft Krypto-Bibliothek
/in Artikel /von Jan HoffUpdate zum Thema: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern? Was haben elliptische Kurven, Zertifikate und Windows-Updates mit Kritischen Infrastrukturen zu tun? Mehr als man zunächst denken mag. Was ist passiert? Am 14. Januar 2020 veröffentlichte Microsoft ein Update, das bereits im Vorfeld viel Aufmerksamkeit erhalten hat. Der amerikanische […]
DLF-Radio: Citrix-Sicherheitslücke- Schwachstelle bereitet Sicherheitsexperten Kopfzerbrechen
/in Externe Publikationen /von Manuel AtugWir berichteten über die aktuelle Sicherheitslücke #Shitrix in VPN-Gateways von Citrix. Bei Deutschlandfunk Forschung aktuell – Computer und Kommunikation zieht es die politische Diskussion nach sich: Braucht es eine gesetzliche Meldepflicht für Sicherheitslücken?. Diese Sicherheitslücken müssten nach dem Dafürhalten vieler Sicherheitsexperten längst geschlossen sein. Bereits seit Jahren fordern sie eine Meldepflicht für Sicherheitslücken. Manuel Atug: […]
SWR Netzagent: Wie gefährlich ist die Citrix Sicherheitslücke? | Gespräch mit IT-Experten
/in Podcast /von Manuel AtugWir waren beim SWR Netzagent Podcast zu Gast und haben dort über die Citrix #Shitrix Schwachstelle im Zusammenhang mit Kritischen Infrastrukturen diskutiert. Die Citrix Sicherheitslücke zeigt, wie schwerfällig und langsam in Deutschland auf IT Sicherheitslücken reagiert wird. Auch nach einem Monat haben längst nicht alle Unternehmen ihre Systeme geschützt. Dabei sind die ersten Firmen bereits […]
LEGALBITS Podcast – KRITIS: Was das ist und warum sie so kritisch sind
/in Podcast /von AG KRITISWir waren auf dem #36c3 vom CCC bei @ra_stiegler zu Gast und haben dort eine Podcast-Serie über Kritische Infrastrukturen eingeleitet. Warum sind Kritische Infrastrukturen so kritisch? HonkHase schildert potenzielle Kettenreaktionen und die Betroffenheit der Bevölkerung. Als Beispiel nehmen wir einen Stromausfall und sprechen auch über die Schwellenwerte für die Sicherheitsabschaltung von Umspannwerken und darüber, wie […]
Umsetzung des Citrix Workaround verläuft schleppend
/in Twitterthreads /von AG KRITIS#Citrix Workaround durch zahlreiche Betreiber erst sehr spät oder bis heute nicht implementiert! Angesichts der Tatsache, dass seit der vergangenen Woche mehrere Exploits frei im Internet verfügbar sind, ist das geradezu fahrlässig #KRITIS #shitrix — AG KRITIS (@AG_KRITIS) January 16, 2020 Spiegel-Artikel: Kompromittiert mit Ansage Unter ihnen Behörden, Parteien, Banken, Kraftwerksbetreiber, Universitäten, Krankenhäuser und Gemeinden. […]
SPIEGEL-Artikel: Kompromittiert mit Ansage
/in Externe Publikationen /von Stephan SpringerWir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Der SPIEGEL hebt heraus, dass Citrix nun für Kriminelle ein Jackpot ist. „Wer nicht den Workaround von Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug. Er leitet die unabhängige Arbeitsgruppe AG KRITIS, die […]