Mit der ISO/IEC 27002:2022 ist im Februar eine neue Version der internationalen Norm erschienen, welche eine Neustrukturierung von Referenzmaßnahmenzielen sowie -maßnahmen für Informationssicherheit vornimmt und zudem auch ganz neue Referenzmaßnahmen (auch „Controls“ genannt) einführt. Unser Blogbeitrag „Die neue ISO/IEC 27002“ klärte diesbezüglich auf. Das Control „7.4 Physical security monitoring“ zählt zu den neuen präventiven („Preventive“) […]
Fabian Mangels
Posts by Fabian Mangels:
Sicherheitskonzept nach § 166 Abs. 1 TKG
Betreiber öffentlich zugänglicher Telekommunikationsnetze und -dienste müssen sich an die Anforderungen des Telekommunikationsgesetzes (TKG) halten. Zwar gehören sie zu den Kritischen Infrastrukturen – genauer zum Sektor Informationstechnik (IT) und Telekommunikation (TK). Die im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, kurz BSIG) genannten Anforderungen sind für diese KRITIS-Anlagen jedoch nicht umzusetzen, sondern, […]
„8.23 Web filtering“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Mit der ISO/IEC 27002:2022 ist im Februar eine neue Version der internationalen Norm erschienen, welche eine Neustrukturierung von Referenzmaßnahmenzielen sowie -maßnahmen für Informationssicherheit vornimmt und zudem auch ganz neue Referenzmaßnahmen (auch „Controls“ genannt) einführt. Unser Blogbeitrag „Die neue ISO/IEC 27002“ klärte diesbezüglich auf. Das Control „8.23 Web filtering“ zählt zu den neuen präventiven („Preventive“) Referenzmaßnahmen […]
OWASP Top 10 – A10 – Unzureichendes Logging & Monitoring
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit unzureichendem Logging und Monitoring. Um effektiv auf Sicherheitsvorfälle reagieren zu können und andauernde oder wiederholte Angriffe zu vermeiden, ist es essentiell ein entsprechendes Logging und Monitoring zu etablieren. Wird dies nur unzureichend umgesetzt, dann können Angreifer in […]
OWASP Top 10 – A9 – Nutzung von Komponenten mit bekannten Schwachstellen
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Platz 9: Nutzung von Komponenten mit bekannten Schwachstellen. Webapplikationen wie Onlineshops, Portale oder Content Management Systeme haben mittlerweile einen großen Funktionsumfang und damit eine hohe Komplexität. In der Entwicklung wird daher auf fertige Komponenten zurückgegriffen, die allenfalls […]
Aktuelle Entwicklungen zur Ukraine-Krise – BSI warnt vor Cyberattacken
Am frühen Morgen des 24. Februar 2022 kam es zu einer Invasion russischer Streitkräfte in das Staatsgebiet der Ukraine. Diese militärische Operation soll durch Verfügbarkeitsangriffe auf Webseiten sowie Sabotage-Angriffe (Wiper) auf ausgewählte ukrainische Institutionen begleitet worden sein. Die DDoS-Angriffe (Distributed Denial of Service) sollen auf Webseiten ukrainischer Banken und Ministerien sowie des Parlamentes beschränkt gewesen […]
Warnstufe Rot: Zero-Day-Schwachstelle Log4Shell
Eine kritische Schwachstelle in der Programmbibliothek „log4j“ hat möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe dieses Frameworks Protokolldaten generieren. Auch auf internen IT-Systemen kann der unter CVE-2021-44228 (Common Vulnerabilities and Exposures) dokumentierte Angriffsvektor ausgenutzt werden, sofern diese externe Daten entgegennehmen oder verarbeiten. Die weitverbreitete Java-Programmbibliothek „log4j“ für die performante Aggregation […]
Was ist eigentlich KRITIS und welche Verpflichtungen gehen damit einher?
Kritischer Infrastrukturen (KRITIS) sind genauso attraktive Angriffsziele für Cyber-Attacken wie jedes andere Unternehmen, nur haben sie einen besonders hohen Einfluss auf die Versorgungssicherheit der Bevölkerung. Gerade deshalb existieren für KRITIS-Betreiber in Deutschland mit dem BSI-Gesetz (Bundesamt für Sicherheit in der Informationstechnik), der BSI-Kritisverordnung und dem IT-Sicherheitsgesetz gesetzliche Vorgaben, um die Informationssicherheit in diesem Umfeld zu […]
OWASP Top 10 – A8 – Unsichere Deserialisierung
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit dem Thema der unsicheren Deserialisierung. In der Informatik wird unter Deserialisierung die Umwandlung einer persistierbaren Byte-Folge (Zusammenstellung von Nullen und Einsen) in den ursprünglichen Zustand eines programmierbaren Objektes im Arbeitsspeicher verstanden. Persistierbare Daten sind Daten in einem […]
OWASP Top 10 – A7 – Cross-Site Scripting (XSS)
In diesem Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
OWASP Top 10 – A6 – Sicherheitsrelevante Fehlkonfiguration
Dieser Blogbeitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, behandelt sicherheitsrelevante Fehlkonfigurationen. Sicherheitsrelevante Fehlkonfigurationen umfassen einen großen Bereich an Sicherheitslücken, die sowohl bei der Installation und Konfiguration als auch bei Administration und Wartung einer Webapplikation entstehen können. Dabei können alle Ebenen der Anwendung inklusive der zugrundeliegenden Web- und Datenbankserver […]
OWASP Top 10 – A5 – Fehler in der Zugriffskontrolle
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Zugriffskontrolle und der damit verbundenen horizontalen oder vertikalen Rechteausweitung. Zugriffsrechte für authentifizierte Nutzer werden in Webapplikationen häufig nicht korrekt um- bzw. durchgesetzt. Dieser Umstand ermöglicht es schließlich Angreifern, auf Funktionen oder Daten zuzugreifen, für […]
Sicheres Cloud Computing für Unternehmen
Für die sichere Cloud-Nutzung sollte Informationssicherheit beginnend bei der IT-Strategie bis zum letztendlichen Vertragsabschluss berücksichtig werden. Dazu kann sich z. B. an der Vorgehensweise der Veröffentlichung „Sichere Nutzung von Cloud-Diensten“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert werden. Ähnlich wie die Verankerung der Informationssicherheit in einem Unternehmen, bspw. durch die Etablierung eines ISMS […]
OWASP Top 10 – A4 – XML External Entities (XXE)
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit „XML External Entities“ (kurz XXE, zu Deutsch „Externe XML-Entitäten“). XML-Prozessoren, die veraltet oder einfach nur schlecht konfiguriert sind, verarbeiten ungefilterte Referenzen auf externe Entitäten innerhalb von XML-Dokumenten. Solche externen Entitäten können dann dazu eingesetzt werden, um externen […]
OWASP Top 10 – A3 – Verlust der Vertraulichkeit sensibler Daten
Dieser Blogbeitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, erläutert die Gefahr der Preisgabe von sensiblen Daten und wie Sie Ihre Anwendung sowie deren Benutzer davor schützen können. Bei sensiblen Daten handelt es sich beispielsweise um Gesundheits-, Kreditkarten- oder auch Zugangsdaten, deren Vertraulichkeit sowohl bei der Speicherung als auch […]