Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit „XML External Entities“ (kurz XXE, zu Deutsch „Externe XML-Entitäten“). XML-Prozessoren, die veraltet oder einfach nur schlecht konfiguriert sind, verarbeiten ungefilterte Referenzen auf externe Entitäten innerhalb von XML-Dokumenten. Solche externen Entitäten können dann dazu eingesetzt werden, um externen […]
Informationssicherheit
Iformationssicherheit
OWASP Top 10 – A3 – Verlust der Vertraulichkeit sensibler Daten
Dieser Blogbeitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, erläutert die Gefahr der Preisgabe von sensiblen Daten und wie Sie Ihre Anwendung sowie deren Benutzer davor schützen können. Bei sensiblen Daten handelt es sich beispielsweise um Gesundheits-, Kreditkarten- oder auch Zugangsdaten, deren Vertraulichkeit sowohl bei der Speicherung als auch […]
Hacker-Angriff auf Microsoft Exchange-Installationen – ProxyLogon
Am 2. März hat Microsoft in seinem Security-Blogbeitrag „HAFNIUM targeting Exchange Servers with 0-day exploits“ bekannt gegeben, dass vier gravierende Schwachstellen in Microsoft Exchange-Servern aktiv ausgenutzt werden und daraufhin Updates bereitgestellt. Tätern ermöglicht die Kombination der vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) zielgerichtete Angriffe auf die weitverbreitete Groupware, um Daten abzugreifen und weitere Schadsoftware zu […]
Manipulierte Browser Erweiterungen infizieren 3 Millionen Nutzer mit Malware
Wenn Sie in letzter Zeit häufig auf andere Seiten umgeleitet wurden, als sie ursprünglich angeklickt hatten oder Sie sich über diffuse Google-Suchergebnisse gewundert haben, finden Sie hier möglicherweise eine Erklärung dafür. Das Schadprogramm CacheFlow wurde im Dezember letzten Jahres in verschiedenen Browser-Erweiterungen für Google Chrome und Microsoft Edge entdeckt. Nach dem Download einer dieser Erweiterungen […]
Homeoffice – Es geht nicht nur um Technik
Seit der Corona-Krise arbeiten immer mehr Menschen im Homeoffice, sofern ihre Tätigkeiten oder technische und organisatorische Voraussetzung dies zulassen. Die Corona-Krise zwingt uns hier neue Wege zu gehen und im Umgang mit neuen Technologien zusätzliche Kompetenzen aufzubauen. In vielen Beiträgen, Blogs und Artikeln (zum Beispiel der Bitkom oder des BSI) wurden bereits technische und organisatorische […]
Anforderungen an die IT- bzw. Informationssicherheit in Krankenhäusern
Durch das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) vom Oktober 2020 werden Krankenhäuser in § 75c SGB V verpflichtet, ab dem 1. Januar 2022 nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen zu treffen. Dabei sind […]
OWASP Top 10 – A2 – Fehler in der Authentifizierung
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Authentifizierung und dem Session-Management. Webapplikationen, die benutzerbezogene Dienste anbieten (z. B. Social-Media-Webseiten) sind darauf angewiesen, dass sich der Benutzer gegenüber der Webapplikation authentifiziert. Dies geschieht in den meisten Fällen per Benutzername und Passwort. Hat […]
OWASP Top 10 – A1 – Injection
In diesem Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigen wir uns mit Injections – also der Einschleusung von Schadcode. Injection-Sicherheitslücken nutzen eine ungesicherte Verarbeitung von Nutzereingaben aus, z. B. in Eingabefeldern für Namen und Adressen. Statt die vorgesehenen Daten einzugeben, kann ein Angreifer z. B. Programmcode oder […]
„App auf Rezept“ – Datenschutz und Informationssicherheit in digitalen Gesundheitsanwendungen
Durch das Digitale-Versorgung-Gesetz (DVG) möchte die Bundesregierung den Digitalisierungsprozess im deutschen Gesundheitswesen voranbringen. Im Dezember 2019 wurde dabei unter anderem die „App auf Rezept“ für Patientinnen und Patienten in der Gesundheitsversorgung ermöglicht. Diese „Digitalen Gesundheitsanwendungen“ (DiGA) sollen bei der Erkennung und Behandlung von Krankheiten unterstützen. Dabei ist eine Vielzahl medizinprodukterechtlicher Vorschriften zu beachten. Das Verfahren […]
ENISA Top 3 Threats Januar 2019 – April 2020
Die European Union Agency for Cybersecurity (ENISA) veröffentlicht jedes Jahr eine Liste mit den 15 häufigsten Cybersecurity Gefahren (wir berichteten dazu im Allgemeinen bereits hier). Die Top 3 Threats 2019-2020, welche in diesem Artikel näher betrachtet werden sollen, sind in absteigender Reihenfolge „#1 Malware“, „#2 Web-based Attacks“ und „#3 Phishing“. Im Vergleich zum Jahr zuvor […]
OWASP Top 10 – die 10 kritischsten Sicherheitsrisiken für Webapplikationen
Unsichere Software gefährdet die zunehmend komplexer und vernetzter werdende digitale Infrastruktur. Vor allem auch bei den kritischen Infrastrukturen (KRITIS), wie sie im Finanz-, Gesundheits-, Verteidigungs-, Energie-Sektor etc. vorliegen, steigt der zu betreibende Aufwand bezogen auf die Anwendungssicherheit immer weiter an. Es ist dabei zwingend notwendig bereits im Entwicklungsprozess von Webapplikationen die häufigsten Schwachstellen schnell und […]
ENISA Threat Landscape (ETL) Januar 2019 – April 2020
Die European Union Agency for Cybersecurity (ENISA) hat im vergangenen Monat in Zusammenarbeit mit der Europäischen Kommission, den EU-Mitgliedsstaaten und der „cyber threat intelligence“ (CTI) Stakeholder Gruppe den achten Bericht zur ENISA Threat Landscape (kurz: ETL) veröffentlicht. Darin identifiziert und bewertet die ENISA die 15 häufigsten Cybersecurity Gefahren im Zeitraum von Januar 2019 bis April […]
Schwerwiegende Sicherheitsprobleme bei Chrome!
Jetzt den Browser auf Version 86.0.4240.111 updaten. Wenn Sie den Google-Chrome-Browser auf Ihrem Windows, Mac oder Linux System nutzen, sollten Sie ihn umgehend auf die neueste, am 21.10.2020 veröffentlichte Version, updaten. Die Aktualisierung wurde notwendig, da schwerwiegende Sicherheitsprobleme, darunter eine Zero-Day-Schwachstelle behoben werden mussten. Die neue, stabile Version 86.0.4240.111 behebt fünf Sicherheitslücken, die ein hohes […]
Förderprogramm „go-digital“ – Finanzielle Unterstützung für Beratungsleistungen im Bereich IT-Sicherheit
Ihr Unternehmen der gewerblichen Wirtschaft oder des Handwerks benötigt eine Beratungs- und Umsetzungsleistung im Bereich der IT-Sicherheit? Sie möchten professionelle Unterstützung und von der staatlichen Förderung profitieren? Dann sollten Sie einen kurzen Blick auf die Möglichkeiten des Förderprogramms „go-digital“ werfen, für das wir als autorisiertes Beratungsunternehmen speziell für den Bereich IT-Sicherheit an Ihrer Seite stehen. […]
Exchange-Lücke bei zehntausenden Unternehmen auch nach Monaten noch immer nicht gepatcht
Seit dem 6. Oktober lässt das BSI betroffene Firmen über deren Provider informieren, dass dringender Handlungsbedarf besteht. Das Ausnutzen der Lücke mit der Bezeichnung CVE-2020-0688 ermöglicht die komplette Übernahme der Firmensysteme über das Internet. Die Administratoren von mehr als 40.000 Exchange-Servern sind daher dringend gefordert. Übernahme leichtgemacht Die gefährliche Lücke, für die es bereits seit […]