In der Vorweihnachtszeit lohnt sich ein Blick in den App-Store des Smartphones. So finden sich dort verschiedenste, auf das Weihnachtsfest zugeschnittene Applikationen. Von Rabattaktionen in Form von verschiedenen Adventskalendern, über Rezepte-Apps mit Weihnachtsgebäck, bis hin zu diversen Spielen mit besonderen Weihnachts-Themes ist alles vertreten. Diese besinnliche Phase des Jahres ruft jedoch offenbar vermehrt Betrüger auf […]
IT-Sicherheit
IT-Sicherheit
OWASP Top Ten: A3 – Cross-Site Scripting (XSS)
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (kurz XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
OWASP Top Ten: A2 – Fehler in Authentifizierung und Session-Management
Dieser Beitrag unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Authentifizierung und dem Session-Management. Webapplikationen, die benutzerbezogene Dienste anbieten (z.B. Social-Media-Webseiten) sind darauf angewiesen, dass sich der Benutzer gegenüber der Webapplikation authentifiziert. Dies geschieht in den meisten Fällen per Benutzername und Passwort. Hat sich der Benutzer […]
Online ausgeraubt beim Weihnachtsshopping
Mit dem Ziel noch eben schnell ein Geschenk zu kaufen, werden aktuell und insbesondere an den Tagen vor Weihnachten viele Leute unterwegs sein. Da trifft es sich doch, dass die passende E-Mail mit „Blitzangeboten“ von Amazon und anderen namhaften Online-Shops direkt an die eigene E-Mail-Adresse gesendet wird und sofort eine Fülle an überwältigenden Angeboten zur […]
Verschlüsselt! Oder nicht?
Spätestens seit der NSA-Affäre ist den Benutzern die Geheimhaltung bei der Kommunikation, z.B. über E-Mail, immer wichtiger geworden. Daher ist die Verschlüsselung von E-Mails mittlerweile ein wichtiges Werbemerkmal für die E-Mail-Provider. Allerdings zeigt sich immer wieder, dass die Werbebotschaften der Unternehmen zur sicheren Verschlüsselung hinterfragt werden sollten. Aktuelles Beispiel dafür sind die Anbieter von „E-Mail […]
OWASP Top Ten: A1 – Injection
In diesem Beitrag aus unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigen wir uns mit Injections, also „Injektionen“. Injection-Sicherheitslücken nutzen eine ungesicherte Verarbeitung von Nutzereingaben aus, z.B. in Eingabefeldern für Namen und Adressen. Statt die vorgesehenen Daten einzugeben, kann ein Angreifer z.B. Programmcode oder Datenbankbefehle in das Feld eingeben. Eine unsichere […]
Kennt Google auch dein WLAN-Passwort?
Dass WLAN-Verbindungen grundsätzlich verschlüsselt werden sollten, ist unumstritten – nicht erst seit der Diskussion um öffentliche WLAN-Zugänge und Störerhaftung. Kaum jemand von Ihnen wird sein eigenes WLAN-Netz zu Hause unverschlüsselt haben (von Freifunkern abgesehen). Firmen ist naturgemäß noch mehr daran gelegen, ihr WLAN zu schützen. Soweit so gut. Doch was viele Nutzer von Android-Geräten nicht […]
Sicherheit im World Wide Web: Die OWASP Top 10
Webapplikationen sind allgegenwärtig: Online-Banking und -Shopping, soziale Netzwerke und Mails, aber auch spezielle Anwendungen wie Vereinsverwaltung, Foren oder kollaborative Dokumentenbearbeitung finden hauptsächlich im Webbrowser statt. Wie jede andere Software müssen auch Webapplikationen programmiert werden. Sie werden danach je nach genutzer Architektur ganz oder teilweise auf dem Webserver, teilweise auf dem Client (Browser) ausgeführt. Programmierfehler können […]
Werbeblocker als Sicherheitsfeature
Viele Websites finanzieren sich über Werbung und übertreiben es dabei gelegentlich. Insbesondere wenn sich Nutzer häufig über aggressive Werbung ärgern, ist der Griff zum Werbeblocker vorprogrammiert. Doch unabhängig von der Frage, ob Werbung nervt oder notwendig ist, gibt es auch einen Sicherheits- und Datenschutzaspekt. Malvertising Malvertising bezeichnet die Verbreitung von Computerviren und ähnlicher Schadsoftware über […]
Krypto – Und wer verschlüsselt nun?
Eine Forschergruppe hat sich mit dem aktuellen Stand der Verschlüsselung bei E-Mails (und Chat) beschäftigt und dazu eine Inventur im Internet durchgeführt. Sie kommen zu einem durchaus schlechten Ergebnis und publizieren dies nun bei Arxiv.org. Methode In einem großangelegten Scan über das gesamte IPv4-Internet sammelten die Forscher für E-Mmail- und Chatdienste die verwendeten PKI Zertifikate, […]
(K)ein Geheimnis
Eine einfache Methode, um Daten auf externen USB-Platten zu schützen, sind selbstverschlüsselnde Festplatten. Hierbei werden die Daten hardwareseitig ohne Zutun der Benutzer verschlüsselt, um sie vor Fremdzugriffen zu schützen. Funktionsweise von selbstverschlüsselnden Festplatten Zur Umsetzung der automatischen Verschlüsselung wird diese hardwareseitig durch die USB-Bridge oder den HDD-Controller durchgeführt. Die Daten werden dabei mit einem „Data […]
Neue Herausforderungen für Webseitenbetreiber
Im Sommer wurde viel über das IT-Sicherheitsgesetz diskutiert, doch scheinbar ist nur wenigen Lesern aufgefallen, dass es auch eine Änderung im TMG gegeben hat, die alle Betreiber von Webseiten betrifft. In §13 „Pflichten des Diensteanbieters“ wurde ein neuer 7. Absatz eingefügt: (7) Diensteanbieter haben (…) durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff […]
Alles neu beim IT-Grundschutz
Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird in Deutschland seit vielen Jahren genutzt, um die IT-Sicherheit in Unternehmen und Behörden zu verbessern. Besonders die Maßnahmenkataloge sind jedoch zu einem ungeheuren Umfang von fast 5.000 Seiten angewachsen. Damit ist das Vorgehen für die meisten Unternehmen kaum noch nutzbar, da die Vielzahl an […]
Zertifiziertes Cloud Computing – nun springt auch Google auf
Heise online Meldungen zu Folge sind die Google „Apps for Work“ und „Apps for Education“ nun nach der relativ neuen ISO-Norm ISO/IEC 27018 zertifiziert. Die Norm beschäftigt sich ausschließlich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud. Es gibt sie seit Ende 2014. Google möchte mit der Zertifizierung natürlich herausstellen, dass seine […]
Das Internet der Dinge
Das „Internet der Dinge“ ist ein nicht mehr aufzuhaltender Technologiemegatrend, der auch das gesellschaftliche Zusammenleben in Zukunft erheblich beeinflussen wird. Die datenschutzrechtlichen Auswirkungen auf den Einzelnen sind dabei noch kaum absehbar, hängen sie doch stark mit der tatsächlichen Umsetzung dieser sich in der Entwicklung befindlichen Technologie zusammen. Dieser Beitrag, der auf einen Vortrag des Autors […]