Die Norm ISO/IEC 27002 ist in einer neuen Version erschienen, wie im Artikel „Die neue ISO/IEC 27002“ vom 13.04.2022 in diesem Blog dargestellt. Neben der Neustrukturierung wurden auch vollständig neue Referenzmaßnahmen (auch „Control“ genannt) eingeführt, die in dieser Blogreihe vorgestellt werden. Das erste der neuen Controls, „5.7 Threat intelligence“, befasst sich mit der zielgerichteten Sammlung, […]
Informationssicherheit
Iformationssicherheit
OWASP Top 10 – A10 – Unzureichendes Logging & Monitoring
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit unzureichendem Logging und Monitoring. Um effektiv auf Sicherheitsvorfälle reagieren zu können und andauernde oder wiederholte Angriffe zu vermeiden, ist es essentiell ein entsprechendes Logging und Monitoring zu etablieren. Wird dies nur unzureichend umgesetzt, dann können Angreifer in […]
OWASP Top 10 – A9 – Nutzung von Komponenten mit bekannten Schwachstellen
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Platz 9: Nutzung von Komponenten mit bekannten Schwachstellen. Webapplikationen wie Onlineshops, Portale oder Content Management Systeme haben mittlerweile einen großen Funktionsumfang und damit eine hohe Komplexität. In der Entwicklung wird daher auf fertige Komponenten zurückgegriffen, die allenfalls […]
Die neue ISO/IEC 27002
Im Februar dieses Jahres wurde die neue ISO/IEC 27002:2022-02 veröffentlicht. Sie ersetzt die ISO/IEC 27002:2013-10 und praktisch auch die deutsche Norm DIN EN ISO/IEC 27002:2017. Was ist überhaupt die ISO/IEC 27002? Die ISO/IEC 27002 ist ein Leitfaden, in dem diverse Informationssicherheitsmaßnahmen beschrieben werden, die in vielen verschiedenen Organisationen üblicherweise angewendet werden können. Sie ist für […]
BSI warnt vor dem Virenscanner von Kaspersky
Der Krieg zwischen Russland und der Ukraine hat Auswirkungen auf vielen Ebenen, auch im Bereich der Informationstechnik. Aus diesem Grund hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am heutigen Tag eine offizielle Warnung „vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky“ ausgesprochen. Die Berechtigung, derartige Warnungen auszusprechen, folgt aus § 7 BSI-Gesetz. […]
Aktuelle Entwicklungen zur Ukraine-Krise – BSI warnt vor Cyberattacken
Am frühen Morgen des 24. Februar 2022 kam es zu einer Invasion russischer Streitkräfte in das Staatsgebiet der Ukraine. Diese militärische Operation soll durch Verfügbarkeitsangriffe auf Webseiten sowie Sabotage-Angriffe (Wiper) auf ausgewählte ukrainische Institutionen begleitet worden sein. Die DDoS-Angriffe (Distributed Denial of Service) sollen auf Webseiten ukrainischer Banken und Ministerien sowie des Parlamentes beschränkt gewesen […]
Datenpannen vorbeugen – mit Penetrationstests
Im Blog beschäftigen wir uns in dieser Woche mit Datenpannen und der folgende Beitrag beleuchtet das Thema aus der Sicht der Informationssicherheit. Unternehmen werden täglich viele personenbezogene Informationen anvertraut: Adressen, persönliche Angaben und Finanzdaten werden übermittelt, in dem Vertrauen darauf, dass diese gut geschützt und sicher aufgehoben sind. Nun gibt es auf der anderen, „dunklen“ […]
Warnstufe Rot: Zero-Day-Schwachstelle Log4Shell
Eine kritische Schwachstelle in der Programmbibliothek „log4j“ hat möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe dieses Frameworks Protokolldaten generieren. Auch auf internen IT-Systemen kann der unter CVE-2021-44228 (Common Vulnerabilities and Exposures) dokumentierte Angriffsvektor ausgenutzt werden, sofern diese externe Daten entgegennehmen oder verarbeiten. Die weitverbreitete Java-Programmbibliothek „log4j“ für die performante Aggregation […]
Prüfgrundlagen nach §8a BSI-Gesetz
Der Begriff „KRITIS“ aka „kritische Infrastrukturen“ taucht oftmals im Kontext von Datenschutz und Informationssicherheit auf und sorgt dabei häufig für Verwirrung. Die aktuelle Ausgabe der Fachzeitschrift Datenschutz und Datensicherheit (DuD) beschäftigt sich mit genau diesem Thema und beleuchtet einige grundlegende, aber auch spezifischere Aspekte, rund um das Thema KRITIS. In dem Artikel „Prüfgrundlagen nach §8a“ […]
OWASP Top 10 – A8 – Unsichere Deserialisierung
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit dem Thema der unsicheren Deserialisierung. In der Informatik wird unter Deserialisierung die Umwandlung einer persistierbaren Byte-Folge (Zusammenstellung von Nullen und Einsen) in den ursprünglichen Zustand eines programmierbaren Objektes im Arbeitsspeicher verstanden. Persistierbare Daten sind Daten in einem […]
Änderung der BSI-Kritisverordnung
Die BSI-Kritisverordnung definiert über sog. Schwellenwerte, ab wann Anlagen und Einrichtungen verschiedener Sektoren als Kritische Infrastrukturen, kurz KRITIS, gelten. Um diese zu schützen, verpflichtet das BSI die KRITIS-Betreiber verschiedene Sicherheitsmaßnahmen zu implementieren. Dazu zählen z. B. die Benennung einer Kontaktstelle für IT-Störungen und Sicherheitsvorfälle und das Melden ebendieser. Es wird ein Zuwachs von 252 Betreibern […]
OWASP Top 10 – A7 – Cross-Site Scripting (XSS)
In diesem Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
Notfallmanagement – jetzt weiterentwickeln
Das Notfallmanagement, auch Business Continuity Management (BCM) genannt, ist nicht nur seit vielen Jahren fester Bestandteil des IT-Grundschutzes, sondern aufgrund aktueller Herausforderungen und Neuerungen auch ein Thema, mit dem sich Unternehmen und Organisationen beschäftigen sollten. Im Folgenden erfahren Sie mehr zum neuen BSI-Standard 200-4 und welche Synergien Sie bei der Weiterentwicklung Ihres Notfallmanagements nutzen können. […]
223 Milliarden Euro Schaden durch Cyberangriffe
Die deutsche Wirtschaft ist aktuell mehr denn je von Cyberangriffen betroffen. Insgesamt 223 Milliarden Euro beträgt der wirtschaftliche Schaden, welcher im vorangegangenen Jahr durch Cyberattacken in Deutschland verursacht wurde. Dies geht aus einer Studie des Digitalverbands Bitkom hervor, für die mehr als 1000 Unternehmen aus unterschiedlichen Branchen befragt wurden. Mittelstand gerät zunehmend in das Visier […]
OWASP Top 10 – A6 – Sicherheitsrelevante Fehlkonfiguration
Dieser Blogbeitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, behandelt sicherheitsrelevante Fehlkonfigurationen. Sicherheitsrelevante Fehlkonfigurationen umfassen einen großen Bereich an Sicherheitslücken, die sowohl bei der Installation und Konfiguration als auch bei Administration und Wartung einer Webapplikation entstehen können. Dabei können alle Ebenen der Anwendung inklusive der zugrundeliegenden Web- und Datenbankserver […]