Penetrationstests sind seit langem als Sicherheitstools bekannt, die Schwachstellen durch simulierte Angriffe auf die IT-Umgebung eines Unternehmens aufdecken. Die Ergebnisse aus solchen Tests können helfen, Schwachstellen zu priorisieren und einen Fahrplan zur Behebung der Angriffspunkte zu erstellen. Die Ergebnisse leisten aber noch mehr: Sie identifizieren und quantifizieren Sicherheitsrisiken und können so als Schlüsselfaktor für Cybersicherheitsrichtlinien […]
IT-Sicherheit
IT-Sicherheit
Sichere, langlebige Passwörter – Das Ende der anlasslosen Passwortwechsel
Für viele von Ihnen gehört es zum Alltag, dass Sie sich beim Kennwort nicht nur Gedanken um Groß- und Kleinschreibung, sondern auch um Sonderzeichen und Ziffern machen müssen. Wenn man sich dann einmal ein Passwort hat einfallen lassen, dass sich nicht leicht erraten lässt, so sollte man es dann oft auch noch alle 90 Tage […]
Berliner Kammergericht im Klammergriff von Emotet
Mit einem lauten Knall wurde im letzten September bekannt, dass das Berliner Kammergericht Opfer eines Hackerangriffs wurde. Als Folge des Angriffs musste Berlins höchstes ordentliches Gericht vollständig vom Netz genommen werden – insgesamt ein bitterer Schlag für die Justiz der Hauptstadt. Die Hintergründe und Folgen des Angriffs waren lange unklar. Die in die Jahre gekommene […]
Avast verkauft Browserdaten
Medienangaben zu Folge hat Jumpshot, die Tochterfirma des Antiviren-Software-Anbieters Avast, massenhaft Daten von Nutzern verkauft. Dabei soll es sich ausschließlich um Kunden der kostenlosen Version von Avast handeln. Nach eigenen Angaben gibt es mehr als 435 Millionen aktive Nutzer pro Monat. Jumpshot gibt dagegen an, die Daten von 100 Millionen Geräten zu besitzen (vgl. hier). […]
Ist „die Cloud“ sicher?
Ein Argument für die Nutzung der Cloud eines Dienstanbieters ist der dadurch mögliche Verzicht auf einen Teil des Betriebs einer eigenen IT-Dienstinfrastruktur, beispielsweise zur Ablage von Daten. Doch wie steht es dann um die Informationssicherheit? Als Beispiel sei der kürzlich erschienene Reuters-Artikel https://reut.rs/37gt7GJ herangezogen. Dieser macht deutlich, dass wesentliche Teile der in der iCloud gespeicherten […]
Lücke in Citrix wird massenweise ausgenutzt
Mitte Dezember 2019 wurde eine Sicherheitslücke in den Produkten “Citrix Application Delivery Controller” (ADC, früher “NetScaler ADC” genannt) und “Citrix Gateway” (früher “Netscaler Gateway” genannt) entdeckt. Die Lücke betrifft alle noch unterstützten Versionen dieser Produkte. Die verwundbaren Produkte werden als Load Balancer zur Verteilung von Netzwerkpaketen resp. als zentrale Anmeldeplattform für eine Vielzahl von Diensten […]
Was Wirtschaftsprüfer als Grundlage sehen, um den Stand der Technik zu schaffen
Die steigende Anzahl von Cyberangriffen und Datenschutzvorfällen macht die IT-Sicherheit zu einem grundlegenden Thema in jeder Branche. Wie auf diesem Blog schon häufiger erwähnt wurde, bietet der Aufbau eines Informationssicherheitsmanagementsystems nach ISO 27001 und einer entsprechenden Zertifizierung einen umfassenden Schutz gegen jegliche Art von Angriffen auf Informationstechnologie. Ist ein Unternehmen nach ISO 27001 zertifiziert, erfüllt […]
Russische Staatsduma nimmt massiv Einfluss durch Pflichtsoftware auf Smartphones und Computern
Die russische Regierung will per Gesetz Hersteller von in Russland angebotenen Smartphones, Computern und Smart TVs dazu verpflichten, Software russischer Hersteller auf den Geräten vorzuinstallieren. Als Grund wird hier eine Hilfestellung gegen dominante internationale Hersteller angeführt. Höchst ehrenwert ist ein weiterer Grund, der für die Installation von verschiedenen App´s steht: Es soll unversierten Anwendern (hier […]
#36C3 Was ist eigentlich Kryptographie?
Keine Ahnung von Mathe? Keine Ahnung von Informatik? Aber ihr wolltet schon immer einmal wissen, was es mit diesem Spuk „Kryptographie“ auf sich hat? Der Speaker oots gibt in seinem Foundation-Talk „Cryptography demystified – An introduction without maths“ in schlanken sechzig Minuten eine leicht verständliche Übersicht zum Thema und das eben auch für Leute, die […]
#36C3 „Die ganze Gesundheit auf einen Blick!“ – Sicherheitsmängel der elektronischen Patientenakte
Nach seinem im letzten Jahr viel beachteten Talk zum Thema Gesundheitsapps und Co. hat sich Martin Tschirsich vorgenommen unser Gesundheitssystem – genauer: die elektronische Patientenakte (ePA) und die unterliegende Telematikinfrastruktur – aus IT Sec Sicht näher unter die Lupe zu nehmen. Für seinen Talk „‘Hacker hin oder her‘: Die elektronische Patientenakte kommt!“ hat er sich […]
BSI findet Sicherheitslücke im Code von VeraCrypt und verschweigt sie 10 Jahre
Diese Woche veröffentliche die Plattform Golem.de – IT News für Profis einen Artikel, in dem sie berichtete, dass das BSI in 2010 eine umfangreiche Analyse der Verschlüsselungssoftware TrueCrypt durchgeführt hat. Die dabei gefundenen Ergebnisse zu verschiedenen Sicherheitslücken und Schwachstellen wurden nie veröffentlicht. Bis jetzt. Nur durch Zufall wurde jetzt über eine allgemeine Anfrage über das […]
BSI-Studie zu sicherheitskritischen Funktionen in Windows 10
Derzeit führt das BSI ein Projekt mit dem etwas sperrigen Namen „SiSyPHuS Win10“ durch. Nicht minder diffizil ist das Thema, mit dem sich das BSI hier beschäftigt. Es geht um die sicherheitskritischen Funktionen in Windows10 (Version 1607, 64 Bit) und den entsprechenden Härtungsempfehlungen. Ziel soll sein, zukünftig verlässliche Aussagen zum sicheren Einsatz von Windows10 machen […]
USB Sticks im Unternehmen – Die Gefahren
Im Rahmen des Trojaner-Befalls des Berliner Kammergerichts mit Emotet gegen Ende September, wurde bekannt, dass die Richter und Mitarbeiter jahrelang leichtfertig mit sensiblen Daten umgegangen seien und der Austausch dienstlicher Daten via USB Sticks zwischen Privat- und Arbeitsrechnern zum Alltag gehört haben solle (Der Tagesspiegel berichtete). Bei einem solchen Umgang kann grundsätzlich das Risiko bestehen, […]
North-German Research School for Information Security, Computer Forensics and Privacy
Einladung zur Auftaktveranstaltung von NorShiP am 6.11.19 um 18 Uhr, Handwerkskammer Bremen, großer Saal Zur Gründung der neuen Research School NorShiP am 6. November 2019 um 18 Uhr im großen Saal der Handwerkskammer Bremen wird herzlich eingeladen. NorShiP steht für „North-German Research School for Information Security, Computer Forensics and Privacy“ und ist ein Zusammenschluss der […]
Der öffentliche Patient
Bei persönlichen Daten, die im Gesundheitssektor erhoben werden, handelt es sich ausnahmslos um hoch sensible, persönliche Informationen, auf die die Anwendung des Art. 9 Abs. 1 DSGVO zutreffen. Ihr Schutz und ein maximal verantwortungsvoller Umgang ist Aufgabe aller Beteiligten, sollte man meinen. Meldungen der jüngsten Zeit (freiverfügbare Daten auf PACS Servern, gravierende Sicherheitsprobleme bzgl. der […]