Das iOS Update auf Version 9.3 ist seit 21. März 2016 verfügbar und bringt neue Funktionen im Bereich des Mobile Device Management (MDM) mit. Was ist Mobile Device Management? Unter MDM versteht man die Verwaltung von mobiler Hardware (z.B. Notebooks, Smartphones, Tablets) in der IT-Infrastruktur eines Unternehmens. Diese Verwaltung dient vornehmlich der Informationssicherheit und dem […]
Informationssicherheit
Informationssicherheit
Warum 3+1 nicht immer 4 ist und was man gegen Verschlüsselung tun kann
Manchmal wundert man sich, was man in der Zeitung liest: Schlecht geschredderte Patientenakten werden als Konfetti benutzt und Krankenhäuser werden wegen Schadsoftware vom Netz genommen. Unsere Blogautoren Sebastian Ertel und Sven Venzke-Caprarese sind diesen Themen im Detail nachgegangen und stellen in der Märzausgabe des Newsletters Datenschutz im Blick (PDF, 762,7 kB) dar, welche Besonderheiten bei der Vernichtung von Patientenakten zu […]
OWASP Top Ten: A7 – Fehlerhafte Autorisierung auf Anwendungsebene
Welche Auswirkungen eine fehlerhafte Autorisierung auf Anwendungsebene haben kann und was Sie dagegen unternehmen können, zeigt unser heutiger Beitrag aus der OWASP Top Ten Reihe. Grundsätzlich entsteht eine fehlerhafte Autorisierung auf Anwendungsebene durch eine fehlende oder unzureichende serverseitige Überprüfung von Zugriffsberechtigungen. Die Sicherheitslücke tritt weiterhin auf, wenn die Berechtigungsprüfung ausschließlich auf Parametern basiert, welche durch […]
Zur Sicherheit von PINs
Im Internet ist eine Liste mit allen vergebenen EC-Karten PINs aufgetaucht: 0000 0001 0002 0003 0004 … Auch wenn es sich dabei nur um einen Witz handelt, bleibt dennoch die Frage, welche PINs häufiger verwendet werden. Mit diesem Wissen ist es für einen Kriminellen deutlich leichter, bei einem Angriff die richtige PIN zu finden. Auf […]
Patientendaten als Geiseln
Im Februar wurde bekannt, dass zwei Krankenhäuser in Nordrhein-Westfalen von Ransomware befallen wurden. Fast zeitgleich hatte auch eine Klinik in Los Angeles mit diesem Problem zu kämpfen. Seit den ersten Fällen von Ransomware in 2012 ist die Verbreitung stetig gestiegen und mittlerweile gibt es fast wöchentlich neue Meldungen zu einer Infektion. Funktion von Ransomware Mit […]
OWASP Top Ten: A6 – Verlust der Vertraulichkeit sensibler Daten
Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erläutert die Gefahr der Preisgabe von sensiblen Daten und wie Sie Ihre Anwendung sowie deren Benutzer davor schützen können. Bei sensiblen Daten handelt es sich beispielsweise um Gesundheits-, Kreditkarten- oder auch Zugangsdaten, deren Vertraulichkeit sowohl bei der Speicherung als auch bei […]
Datenschutz-Grundverordnung – IT-Sicherheit
Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden. In unserem heutigen Beitrag gehen wir ausführlich auf die neuen Regelungen zur IT-Sicherheit ein. Das Thema IT-Sicherheit hat in der Datenschutz-Grundverordnung einen höheren Stellenwert erhalten als bisher […]
Hohl- und doch clever! – Bundestrojaner „Light“ kommt!
Das Bundesinnenministerium hat dem Bundeskriminalamt grünes Licht für den sogenannten Bundestrojaner gegeben. Hierbei handelt es sich um eine Software, die ausschließlich für die sogenannte Quellen-Telekommunikationsüberwachung eingesetzt werden soll. Die digitale Kommunikation per Smartphone oder Computer eines Verdächtigen soll dabei Ermittlern über das Internet zugänglich gemacht werden. Kurz gesagt, es soll eine Schadsoftware auf einem Computer […]
Sicherheitslücke in Standardbibliothek glibc
Unabhängig voneinander haben Sicherheitsexperten von Red Hat und Google eine Schwachstelle in der Standardbibliothek glibc gefunden, die das Ausführen von Schadcode ermöglichen kann. „glibc“ steht für die „Gnu C Library“ und ist die im Unix-Bereich am weitesten verbreitete Standardbibliothek für die Programmiersprache C. So enthält glibc häufig verwendete Funktionen für Ein- und Ausgabe, Speichermanagement, mathematische […]
Wie privat ist die Privatsphäre?
Erst vor wenigen Tagen haben wir uns mit dem „Problem“ vieler Strafverfolger, Geheimdienste etc. beschäftigt: Verschlüsselung. Als eine Reaktion auf Edward Snowdens Enthüllungen wird im Allgemeinen vermehrt verschlüsselt und viele Anbieter bieten inzwischen vorinstallierte Verschlüsselungssoftware an. Das „spürt“ zurzeit auch das FBI, das beispielsweise nicht an die Handydaten des Attentäters von San Bernadino kommt. Die […]
OWASP Top Ten: A5 – Sicherheitsrelevante Fehlkonfigurationen
Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, behandelt sicherheitsrelevante Fehlkonfigurationen. Sicherheitsrelevante Fehlkonfigurationen umfassen einen großen Bereich an Sicherheitslücken, die sowohl bei der Installation und Konfiguration als auch bei Administration und Wartung einer Webapplikation entstehen können. Dabei können alle Ebenen der Anwendung inklusive der zugrundeliegenden Web- und Datenbankserver betroffen […]
Again password of the year: 123456
Was wäre ein Jahreswechsel ohne Jahresrückblick. Nicht nur in Politik, Kultur, Sport und Boulevard, sondern auch in datenschutzrechtlichen Themen nutzen wir die Gelegenheit und lassen das vergangene Jahr Revue passieren. Wie in jedem Januar darf ein Überblick über die am häufigsten verwendeten Passwörter nicht fehlen. 2014 Wissen Sie noch, wer es in die Top 15 […]
OWASP Top Ten: A4 – Unsichere direkte Objektreferenzen
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erklären wir das Gefahrenpotential von sogenannten direkten Objektreferenzen (engl. „Insecure direct object references“). Dabei handelt es sich um eine simple, häufig übersehene Sicherheitslücke mit großen Auswirkungen. Sie kann überall dort auftreten, wo verschiedene Benutzer mit verschiedenen horizontalen Berechtigungsstufen auf die […]
Wann sind E-Mails „sicher“?
E-Mails begleiten uns durch unser alltägliches Leben und werden zur Kommunikation in verschiedensten Situationen verwendet, z.B. mit Freunden und Familie, Bestellungen von Artikeln und Dienstleistungen oder auch Anfragen an Unternehmen und Ämter. Häufig werden dabei auch sensible Informationen weitergegeben, die sicher transportiert und aufbewahrt werden sollen. Schutz von E-Mails – was ist zu beachten? Versandte […]
Rowhammer.js – Absturz per JavaScript
Die Sicherheitsforscher Clémentine Maurice und Daniel Gruss haben auf dem 32. Chaos Communication Congress in ihrem Vortrag „Rowhammer.js – Root privileges for web apps?“ ihre JavaScript-Umsetzung des Rowhammer-Angriffs vorgestellt. Rowhammer? Rowhammer ist eine Hardware-Sicherheitslücke, die es erlaubt, im Arbeitsspeicher eines Computers bestimmte Speicherstellen zu manipulieren. Die Lücke basiert darauf, dass Arbeitsspeicher, der auf physikalischer Ebene […]