Das BSI zur Absicherung von Telemediendiensten Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein „Diskussionspapier: Absicherung von Telemediendiensten“ für Internet-Dienstleister veröffentlicht. In diesem Dokument werden Empfehlungen gegeben, wie die Anforderungen aus § 13 Abs. 7 TMG erfüllt werden können. Die Maßnahmen Das BSI hat für die verschiedenen Providertypen (Content Provider, Host Provider, Access Provider […]
IT-Sicherheit
IT-Sicherheit
Aus SigG wird eIDAS
Ist die Aussage so korrekt: „Aus SigG wird eIDAS“? Formaljuristisch vermutlich nicht. Aber dennoch ist etwas dran. Zum 01. Juli 2016 starten die eIDAS-Vertrauensdienste. Und eIDAS genießt einen sogenannten „Anwendungsvorrang“ vor dem deutschen Signaturgesetz, so dass diejenigen Regelungen, die im SigG enthalten sind, durch eIDAS abgelöst werden. Was sich sonst noch ändert und welche Möglichkeiten […]
Windows 10 im Gesundheitswesen – was bei einem Umstieg zu beachten ist
Viele Gesundheitseinrichtungen fragen sich aktuell, welches Betriebssystem sie in Zukunft einsetzen werden und wann der richtige Zeitpunkt für einen Umstieg ist. Bei der Überlegung ob und wann ein Wechsel erfolgen soll, muss u.a. beachtet werden, bis wann der Anbieter des Betriebssystems Sicherheitsupdates bereitstellt. Gesundheitseinrichtungen, die auf das aktuellste Microsoft-Betriebssystem setzen wollen, werden schnell feststellen, dass […]
Ein Leben ohne Passwörter
Toll, oder? Gehören Sie eher zu den Menschen, die auf allen Endgeräten einen Passwortsafe installiert haben oder zu denen, die häufig (immer?) das gleiche Passwort für die verschiedensten Anwendungen benutzen? Schlechtes Gewissen? Das brauchen Sie, wenn es nach Google geht, bald nicht mehr zu haben. Google möchte die Welt verändern und Passwörter überflüssig machen. Wir […]
Ransomware 2.0: Petya y Mischa
„Unbekannte Anhänge sind nicht zu öffnen! Halten Sie Rücksprache mit der IT“ Diesen Leitsatz kennen Sie sicher aus verschiedenen Awareness-Kampagnen. Und Sie sind sicher sensibilisiert. Die Entwickler der Schadsoftware sind aber auch nicht untätig und entwickeln immer neue Modifikationen. Neuester Stand: Onlinebewerbungen (von und mit) Petya y Mischa. Auf Unternehmenswebseiten oder Bewerbungsplattformen wird nach Stellenausschreibungen […]
Gefährlicher Virenscanner
Im Rahmen einer Herz-Operation in den USA ist es zu einem Ausfall eines medizinischen Diagnosegeräts gekommen; Ursache war der Virenscanner. Der Fall Der Merge Hemo Monitor misst und überwacht die Gesundheitsdaten eines Patienten währen einer Herz-OP und kann diese auf einem angeschlossenen PC anzeigen. Während einer OP wurde die Kommunikation zwischen den Komponenten unterbrochen und […]
Verizon veröffentlich jährlichen Sicherheitsbericht
Zum neunten Mal hat der Kommunikationskonzern Verizon seinen jährlichen Bericht über Datenlecks und deren Untersuchung herausgegeben. Der knapp 80-seitige „2016 Data Breach Investigations Report“ (DBIR) analysiert Untersuchungsergebnisse zu über 100.000 Sicherheitsvorfällen, darunter 2.260 bestätigte Datenlecks. Außentäter mit finanziellem Interesse Ein zentrales Ergebnis kündigt der Bericht bereits auf seiner Titelseite an: 89% aller Angriffe (mit unautorisiertem […]
OWASP Top Ten: A8 – Cross-Site-Request-Forgery
In diesem Beitrag aus unserer OWASP Top Ten Reihe, welche die 10 größten Sicherheitsrisiken für Webapplikationen sowie entsprechende Gegenmaßnahmen näher erläutert, geht es um sogenannte Cross-Site-Request-Forgery-Angriffe (kurz CSRF). Ein Cross-Site-Request-Forgery (zu deutsch seitenübergreifende Aufrufmanipulation) führt eine – meist sicherheitskritische – Funktion einer Webanwendung im Kontext eines gerade angemeldeten Nutzers aus. Sofern wir CSRF-Schwachstellen im Rahmen […]
Gefährliche Neugierde: Gefundene USB-Sticks
Sie gehen über einen Parkplatz, als Ihnen in einer Parklücke ein USB-Stick auffällt, der auf dem Boden liegt. Sie heben ihn auf. Auf ihm klebt ein kleines Etikett mit der Aufschrift „VERTRAULICH“. Was tun Sie? Was viele Finder eines solchen Datenträgers tun, haben Sicherheitsforscher der Universitäten Illinois und Michigan in einer Peer-Review-Studie ermittelt: Ihn in […]
Mobile Device Management in iOS 9.3
Das iOS Update auf Version 9.3 ist seit 21. März 2016 verfügbar und bringt neue Funktionen im Bereich des Mobile Device Management (MDM) mit. Was ist Mobile Device Management? Unter MDM versteht man die Verwaltung von mobiler Hardware (z.B. Notebooks, Smartphones, Tablets) in der IT-Infrastruktur eines Unternehmens. Diese Verwaltung dient vornehmlich der Informationssicherheit und dem […]
Warum 3+1 nicht immer 4 ist und was man gegen Verschlüsselung tun kann
Manchmal wundert man sich, was man in der Zeitung liest: Schlecht geschredderte Patientenakten werden als Konfetti benutzt und Krankenhäuser werden wegen Schadsoftware vom Netz genommen. Unsere Blogautoren Sebastian Ertel und Sven Venzke-Caprarese sind diesen Themen im Detail nachgegangen und stellen in der Märzausgabe des Newsletters Datenschutz im Blick (PDF, 762,7 kB) dar, welche Besonderheiten bei der Vernichtung von Patientenakten zu […]
OWASP Top Ten: A7 – Fehlerhafte Autorisierung auf Anwendungsebene
Welche Auswirkungen eine fehlerhafte Autorisierung auf Anwendungsebene haben kann und was Sie dagegen unternehmen können, zeigt unser heutiger Beitrag aus der OWASP Top Ten Reihe. Grundsätzlich entsteht eine fehlerhafte Autorisierung auf Anwendungsebene durch eine fehlende oder unzureichende serverseitige Überprüfung von Zugriffsberechtigungen. Die Sicherheitslücke tritt weiterhin auf, wenn die Berechtigungsprüfung ausschließlich auf Parametern basiert, welche durch […]
Zur Sicherheit von PINs
Im Internet ist eine Liste mit allen vergebenen EC-Karten PINs aufgetaucht: 0000 0001 0002 0003 0004 … Auch wenn es sich dabei nur um einen Witz handelt, bleibt dennoch die Frage, welche PINs häufiger verwendet werden. Mit diesem Wissen ist es für einen Kriminellen deutlich leichter, bei einem Angriff die richtige PIN zu finden. Auf […]
Patientendaten als Geiseln
Im Februar wurde bekannt, dass zwei Krankenhäuser in Nordrhein-Westfalen von Ransomware befallen wurden. Fast zeitgleich hatte auch eine Klinik in Los Angeles mit diesem Problem zu kämpfen. Seit den ersten Fällen von Ransomware in 2012 ist die Verbreitung stetig gestiegen und mittlerweile gibt es fast wöchentlich neue Meldungen zu einer Infektion. Funktion von Ransomware Mit […]
OWASP Top Ten: A6 – Verlust der Vertraulichkeit sensibler Daten
Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erläutert die Gefahr der Preisgabe von sensiblen Daten und wie Sie Ihre Anwendung sowie deren Benutzer davor schützen können. Bei sensiblen Daten handelt es sich beispielsweise um Gesundheits-, Kreditkarten- oder auch Zugangsdaten, deren Vertraulichkeit sowohl bei der Speicherung als auch bei […]