Eine kritische Schwachstelle in der Programmbibliothek „log4j“ hat möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe dieses Frameworks Protokolldaten generieren. Auch auf internen IT-Systemen kann der unter CVE-2021-44228 (Common Vulnerabilities and Exposures) dokumentierte Angriffsvektor ausgenutzt werden, sofern diese externe Daten entgegennehmen oder verarbeiten. Die weitverbreitete Java-Programmbibliothek „log4j“ für die performante Aggregation […]
Informationssicherheit
Iformationssicherheit
Prüfgrundlagen nach §8a BSI-Gesetz
Der Begriff „KRITIS“ aka „kritische Infrastrukturen“ taucht oftmals im Kontext von Datenschutz und Informationssicherheit auf und sorgt dabei häufig für Verwirrung. Die aktuelle Ausgabe der Fachzeitschrift Datenschutz und Datensicherheit (DuD) beschäftigt sich mit genau diesem Thema und beleuchtet einige grundlegende, aber auch spezifischere Aspekte, rund um das Thema KRITIS. In dem Artikel „Prüfgrundlagen nach §8a“ […]
OWASP Top 10 – A8 – Unsichere Deserialisierung
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit dem Thema der unsicheren Deserialisierung. In der Informatik wird unter Deserialisierung die Umwandlung einer persistierbaren Byte-Folge (Zusammenstellung von Nullen und Einsen) in den ursprünglichen Zustand eines programmierbaren Objektes im Arbeitsspeicher verstanden. Persistierbare Daten sind Daten in einem […]
Änderung der BSI-Kritisverordnung
Die BSI-Kritisverordnung definiert über sog. Schwellenwerte, ab wann Anlagen und Einrichtungen verschiedener Sektoren als Kritische Infrastrukturen, kurz KRITIS, gelten. Um diese zu schützen, verpflichtet das BSI die KRITIS-Betreiber verschiedene Sicherheitsmaßnahmen zu implementieren. Dazu zählen z. B. die Benennung einer Kontaktstelle für IT-Störungen und Sicherheitsvorfälle und das Melden ebendieser. Es wird ein Zuwachs von 252 Betreibern […]
OWASP Top 10 – A7 – Cross-Site Scripting (XSS)
In diesem Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
Notfallmanagement – jetzt weiterentwickeln
Das Notfallmanagement, auch Business Continuity Management (BCM) genannt, ist nicht nur seit vielen Jahren fester Bestandteil des IT-Grundschutzes, sondern aufgrund aktueller Herausforderungen und Neuerungen auch ein Thema, mit dem sich Unternehmen und Organisationen beschäftigen sollten. Im Folgenden erfahren Sie mehr zum neuen BSI-Standard 200-4 und welche Synergien Sie bei der Weiterentwicklung Ihres Notfallmanagements nutzen können. […]
223 Milliarden Euro Schaden durch Cyberangriffe
Die deutsche Wirtschaft ist aktuell mehr denn je von Cyberangriffen betroffen. Insgesamt 223 Milliarden Euro beträgt der wirtschaftliche Schaden, welcher im vorangegangenen Jahr durch Cyberattacken in Deutschland verursacht wurde. Dies geht aus einer Studie des Digitalverbands Bitkom hervor, für die mehr als 1000 Unternehmen aus unterschiedlichen Branchen befragt wurden. Mittelstand gerät zunehmend in das Visier […]
OWASP Top 10 – A6 – Sicherheitsrelevante Fehlkonfiguration
Dieser Blogbeitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, behandelt sicherheitsrelevante Fehlkonfigurationen. Sicherheitsrelevante Fehlkonfigurationen umfassen einen großen Bereich an Sicherheitslücken, die sowohl bei der Installation und Konfiguration als auch bei Administration und Wartung einer Webapplikation entstehen können. Dabei können alle Ebenen der Anwendung inklusive der zugrundeliegenden Web- und Datenbankserver […]
BNetzA ändert Ausnahmeregelung für Netzbetreiber ohne eigene Betriebsführung
Bereits am 19.01.2021 hatte die Bundesnetzagentur eine Mitteilung zur „Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte“ veröffentlicht. Wir wollen diese Mitteilung nun noch mal in Erinnerung rufen, da die betroffenen Strom- und Gasnetzbetreiber für die Einhaltung der Umsetzungsfrist zum 30.11.2022 rechtzeitig mit der Einführung ihres ISMS gemäß […]
Die Tücken der Transportverschlüsselung in TOMs
Im Zusammenhang mit geeigneten technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 Abs. 1 lit. a und lit. b DSGVO wird regelmäßig die Transportverschlüsselung eingesetzt. Dieser Artikel beleuchtet aus der Perspektive der Informationssicherheit, was darunter zu verstehen ist und wo die Tücken in der datenschutzrechtlichen Bewertung liegen. Vertraulichkeit und Integrität: Schutzziele der Informationssicherheit Informationssicherheit hat […]
Krankenhäuser im Fokus von Cyberkriminellen – B3S-KH als Basis für Maßnahmen
Krankenhäuser werden immer häufiger zum Ziel von Hackerangriffen. In Corona-Zeiten ein besonders perfides Unterfangen, dort anzugreifen, wo es um Menschenleben geht und das Pflegepersonal sowie Ärzte schon am Limit arbeiten. “Cyberkriminelle passen sich schnell gesellschaftlichen Notlagen an und nutzen diese gekonnt für ihre Zwecke aus”, heißt es dazu im Bundeslagebild des Bundeskriminalamts (BKA). Sie griffen […]
VdS 10000 – Informationssicherheits-Managementsystem für KMU
Für kleine und mittlere Unternehmen (KMU) sind die omnipräsenten Standards der Informationssicherheit ISO/IEC 27001 oder BSI IT-Grundschutz oft prozessual und monetär nicht zu stemmen. Um KMU dahingehend nicht zu überfordern, hat sich eine weitere, speziell auf KMU angepasste Norm in Deutschland etabliert: die VdS 10000. Inhalt der Norm Die Richtlinie wurde von der VdS Schadenverhütung […]
Have I Been Pwned erhält Unterstützung vom FBI
Datendiebstahl ist leider allgegenwärtig. Für Sie und mich als Benutzer von Internetdiensten, Webseiten u. ä. stellt sich quasi täglich die Frage, ob ein persönlicher Account von einem Hack betroffen ist. Genau für diese Fälle bietet Troy Hunt die Webseite Have I Been Pwned (HIBP) unter https://haveibeenpwned.com/ an. Auf der Webseite werden Daten zu Hacks gesammelt […]
OWASP Top 10 – A5 – Fehler in der Zugriffskontrolle
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Zugriffskontrolle und der damit verbundenen horizontalen oder vertikalen Rechteausweitung. Zugriffsrechte für authentifizierte Nutzer werden in Webapplikationen häufig nicht korrekt um- bzw. durchgesetzt. Dieser Umstand ermöglicht es schließlich Angreifern, auf Funktionen oder Daten zuzugreifen, für […]
Optimierung der Informationssicherheit im Krankenhaus – Ein Überblick
Das Thema Digitalisierung und Informationssicherheit wird in Krankenhäusern dieser Tage großgeschrieben. Denn es gibt ein vom Gesetzgeber vorgegebenes Datum, den 1. Januar 2022, zu dem Informationssicherheits-Anforderungen umzusetzen sind. Vor dem Hintergrund der derzeitig erschwerten Bedingungen und personellen Belastungen, auch hervorgerufen durch Corona, müssen nun finanzielle Mittel des Krankenhauszukunftsgesetzes sinnvoll für die eigene Infrastruktur eingesetzt werden. […]