Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Authentifizierung und dem Session-Management. Webapplikationen, die benutzerbezogene Dienste anbieten (z. B. Social-Media-Webseiten) sind darauf angewiesen, dass sich der Benutzer gegenüber der Webapplikation authentifiziert. Dies geschieht in den meisten Fällen per Benutzername und Passwort. Hat […]
IT-Sicherheit
IT-Sicherheit

OWASP Top 10 – A1 – Injection
In diesem Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigen wir uns mit Injections – also der Einschleusung von Schadcode. Injection-Sicherheitslücken nutzen eine ungesicherte Verarbeitung von Nutzereingaben aus, z. B. in Eingabefeldern für Namen und Adressen. Statt die vorgesehenen Daten einzugeben, kann ein Angreifer z. B. Programmcode oder […]

„App auf Rezept“ – Datenschutz und Informationssicherheit in digitalen Gesundheitsanwendungen
Durch das Digitale-Versorgung-Gesetz (DVG) möchte die Bundesregierung den Digitalisierungsprozess im deutschen Gesundheitswesen voranbringen. Im Dezember 2019 wurde dabei unter anderem die „App auf Rezept“ für Patientinnen und Patienten in der Gesundheitsversorgung ermöglicht. Diese „Digitalen Gesundheitsanwendungen“ (DiGA) sollen bei der Erkennung und Behandlung von Krankheiten unterstützen. Dabei ist eine Vielzahl medizinprodukterechtlicher Vorschriften zu beachten. Das Verfahren […]

ENISA Top 3 Threats Januar 2019 – April 2020
Die European Union Agency for Cybersecurity (ENISA) veröffentlicht jedes Jahr eine Liste mit den 15 häufigsten Cybersecurity Gefahren (wir berichteten dazu im Allgemeinen bereits hier). Die Top 3 Threats 2019-2020, welche in diesem Artikel näher betrachtet werden sollen, sind in absteigender Reihenfolge „#1 Malware“, „#2 Web-based Attacks“ und „#3 Phishing“. Im Vergleich zum Jahr zuvor […]

OWASP Top 10 – die 10 kritischsten Sicherheitsrisiken für Webapplikationen
Unsichere Software gefährdet die zunehmend komplexer und vernetzter werdende digitale Infrastruktur. Vor allem auch bei den kritischen Infrastrukturen (KRITIS), wie sie im Finanz-, Gesundheits-, Verteidigungs-, Energie-Sektor etc. vorliegen, steigt der zu betreibende Aufwand bezogen auf die Anwendungssicherheit immer weiter an. Es ist dabei zwingend notwendig bereits im Entwicklungsprozess von Webapplikationen die häufigsten Schwachstellen schnell und […]

ENISA Threat Landscape (ETL) Januar 2019 – April 2020
Die European Union Agency for Cybersecurity (ENISA) hat im vergangenen Monat in Zusammenarbeit mit der Europäischen Kommission, den EU-Mitgliedsstaaten und der „cyber threat intelligence“ (CTI) Stakeholder Gruppe den achten Bericht zur ENISA Threat Landscape (kurz: ETL) veröffentlicht. Darin identifiziert und bewertet die ENISA die 15 häufigsten Cybersecurity Gefahren im Zeitraum von Januar 2019 bis April […]

Schwerwiegende Sicherheitsprobleme bei Chrome!
Jetzt den Browser auf Version 86.0.4240.111 updaten. Wenn Sie den Google-Chrome-Browser auf Ihrem Windows, Mac oder Linux System nutzen, sollten Sie ihn umgehend auf die neueste, am 21.10.2020 veröffentlichte Version, updaten. Die Aktualisierung wurde notwendig, da schwerwiegende Sicherheitsprobleme, darunter eine Zero-Day-Schwachstelle behoben werden mussten. Die neue, stabile Version 86.0.4240.111 behebt fünf Sicherheitslücken, die ein hohes […]

Förderprogramm „go-digital“ – Finanzielle Unterstützung für Beratungsleistungen im Bereich IT-Sicherheit
Ihr Unternehmen der gewerblichen Wirtschaft oder des Handwerks benötigt eine Beratungs- und Umsetzungsleistung im Bereich der IT-Sicherheit? Sie möchten professionelle Unterstützung und von der staatlichen Förderung profitieren? Dann sollten Sie einen kurzen Blick auf die Möglichkeiten des Förderprogramms „go-digital“ werfen, für das wir als autorisiertes Beratungsunternehmen speziell für den Bereich IT-Sicherheit an Ihrer Seite stehen. […]

Exchange-Lücke bei zehntausenden Unternehmen auch nach Monaten noch immer nicht gepatcht
Seit dem 6. Oktober lässt das BSI betroffene Firmen über deren Provider informieren, dass dringender Handlungsbedarf besteht. Das Ausnutzen der Lücke mit der Bezeichnung CVE-2020-0688 ermöglicht die komplette Übernahme der Firmensysteme über das Internet. Die Administratoren von mehr als 40.000 Exchange-Servern sind daher dringend gefordert. Übernahme leichtgemacht Die gefährliche Lücke, für die es bereits seit […]

Schadsoftware kostet Menschenleben – da kann man nichts machen?
Während IT-Pannen es bis vor einigen Jahren kaum in die Presse abseits der IT-Nachrichten geschafft haben, hat in den letzten Jahren vermutlich jeder schon einmal von Zwischenfällen gehört, bei denen komplette Betriebe zum Stillstand gebracht wurden, weil die IT-Landschaft mehr oder weniger komplett ausgefallen ist. Oft hört man in diesem Zusammenhang von sogenannten „Ransomware-Angriffen“. Ransomware […]

Wie sicher ist der Versand personenbezogener Daten per Fax?
Rechtlicher Hintergrund Werden personenbezogene Daten übermittelt, müssen Verantwortliche geeignete Maßnahmen treffen, um unter anderem die Vertraulichkeit und Integrität dieser Daten sicherzustellen. Im Rahmen der sog. „Transportkontrolle“ ist dabei zu prüfen, ob die genutzte Technik einen angemessenen Schutz bietet. Dabei sind unter anderem die Implementierungskosten von Maßnahmen, Art und Umfang der Datenverarbeitung und die Eintrittswahrscheinlichkeit von […]

Wie sicher sind verschlüsselnde Cloud-Speicher-Dienste?
Die Verschlüsselung ist eine wirksame Maßnahme zur Sicherstellung von Vertraulichkeit von Daten. Insbesondere dient diese Maßnahme der Umsetzung der Anforderungen aus Art. 32 Abs. 1 lit. a DSGVO zum Schutz personenbezogener Daten. Im IT-Betrieb wird heute oft auf Dienstleister in der Cloud zurückgegriffen, um Arbeitslasten auszuführen und die verarbeiteten Daten remote zu speichern, insbesondere gilt […]

Cyberangriff – Notwendigkeit von konkreten Incident-Response-Plänen weiterhin vielfach unterschätzt.
Im aktuellen „Cyber Resilience Report 2020“ von IBM Security in Zusammenarbeit mit dem Ponemon Institut wird einmal mehr aufgezeigt, wie Unternehmen zum Thema „Security Maßnahmen“ aufgestellt sind. Eine Umfrage unter mehr als 3000 IT- und Sicherheitsverantwortlichen weltweit, mit dem Schwerpunkt aus den USA, Großbritannien und Deutschland, bietet ein ernüchterndes Bild. Lediglich ein Viertel der Befragten […]

Informationssicherheitsstandard hilft kleinen Unternehmen
Informationssicherheit ist keine statische Angelegenheit. Immer neue Bedrohungen stellen Unternehmen vor neue Herausforderungen. Laut einem Studienbericht 2020 der bitkom sind Spionage, Sabotage und Datendiebstahl weiter ein großes Thema, demnach sind drei von vier Unternehmen Opfer geworden. Dabei stehen kleine Unternehmen weiterhin im Fokus der Angreifer. Digitale Angriffe haben bei 70% der Unternehmen Schäden verursacht, 2017 […]

Kritischer SAP-Fehler ermöglicht Angreifern die Übernahme von Unternehmensservern
SAP hat eine kritische Schwachstelle in der Komponente LM-Konfigurationsassistent in der Java-Plattform des NetWeaver Application Server (AS) gepatcht, die es einem Angreifer ermöglicht, die Kontrolle über SAP-Anwendungen zu übernehmen. Der Fehler, der als RECON bezeichnet und als CVE-2020-6287 geführt wird, wird mit einer maximalen CVSS-Punktzahl von 10 von 10 bewertet und könnte laut dem Cybersicherheitsunternehmen […]