Der Arbeitsalltag ohne Internet und Computer ist schon lange nicht mehr denkbar. Doch viele Unternehmen unterschätzen weiterhin die Gefahr von Hackerangriffen auf ihre vertraulichen Unternehmensdaten – trotz regelmäßiger negativer Schlagzeilen. Zuletzt wurde ein Hackerangriff auf die Fluggesellschaft EasyJet bekannt bei dem neun Millionen Kundendaten erbeutet wurden. Auch interne Bedrohungen, welche von den eigenen Mitarbeitern eines […]
IT-Sicherheit
IT-Sicherheit
Fehlende IT-Sicherheitsmaßnahmen: 1,24 Millionen Bußgeld für 500 Werbe-Emails
Die AOK Baden-Württemberg kassierte jüngst dieses beachtliche Bußgeld , da sie 500 Gewinnspiel-Teilnehmer zu Werbezwecken kontaktierte, ohne, dass hierfür eine Einwilligung der Teilnehmer vorlag. Die AOK plant offenbar nicht, gegen dieses Bußgeld vorzugehen. Als Grund für das Bußgeld führte die Aufsichtsbehörde an, dass es an wirksamen technischen und organisatorischen Maßnahmen gefehlt habe und deshalb ein […]
E-Mail Authentisierung notwendig – aber wie?
E-Mails mit Schadsoftware gehören zu den größeren Risiken für die IT-Sicherheit. Sie haben in der Regel gefälschte Absender, denn die Täter wollen unerkannt bleiben: Zur Abwehr solcher Fälschungen („e-mail spoofing“) wird oft angenommen, die beste Maßnahme dagegen wäre, Benutzer zu sensibilisieren. Gegen ausgefeilte Angriffe ist das unzureichend. Raffiniert gefälschte E-Mail-Absender sind für Nutzer nur durch […]
Was sind die Aufgaben eines externen Informationssicherheitsbeauftragten?
Durch die COVID-19-Pandemie stellen immer mehr Organisationen aus den verschiedensten Branchen bei ihrem Vertrieb und der Kundenansprache auf Online-Dienste um und konzentrieren sich zunehmend auf ihre Webpräsenz. Plattformen für Lieferdienste, Online-Shops und die Nutzung von Kommunikationstools für digitale Meetings sind nur einige Beispiele. Auf den Unternehmen lastet nun ein besonderer Druck wirtschaftlich zu arbeiten um […]
Sichere E-Mail-Kommunikation nun auch mit der Datenschutzkonferenz
Mitte letzten Jahres hatten wir bereits über die Sicherheit der Kommunikation mittels E-Mail berichtet, nachdem etwas wenig differenziert im Tätigkeitsbericht von 2019 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein festgestellt wurde, dass die “unverschlüsselte” Verwendung von E-Mails nicht ausreichend sicher sei, ohne hierbei zu erklären, ob man sich auf die Transport- oder Inhaltsverschlüsselung bezieht. Nachdem bislang […]
Hitparade der Sicherheitslücken – Hacker wählen MS-Windows und -Office
In der Liste „Top 10 Routinely Exploited Vulnerabilities“ des CISA (Cybersecurity & Infrastructure Security Agency) in Zusammenarbeit mit dem FBI wurden vor kurzem die 10 bekanntesten und am meisten ausgenutzten Softwareschwachstellen der Öffentlichkeit präsentiert. In dieser Anleitung raten die Verfasser zur dringenden Behebung der Angriffspunkte, die Hacker in den vergangenen vier Jahren gerne nutzten. Ungepatcht […]
OWASP API Security Project: Die 10 häufigsten Schwachstellen in Schnittstellen
In einer früheren Blog Reihe haben wir bereits die Arbeit des OWASP (Open Web Application Security Project) und seine TOP 10 Liste für Webapplikationen angesprochen. Durch den technologischen Fortschritt und die wachsenden Anforderungen an die Flexibilität in der Entwicklung von Webapplikationen sowie der zunehmenden Komplexität in der Architektur, werden immer öfter eine oder mehrere APIs […]
Ende-zu-Ende Verschlüsselung von Videokonferenzen
Die Maßnahmen zur Eindämmung der Coronavirus-Pandemie haben zu einer erheblichen Zunahme der Nutzung von Videokonferenzen geführt, sei es für die Einbindung von Heimarbeitsplätzen oder um Präsenztreffen mit Geschäftspartnern zu ersetzen. Dabei spielt die Vertraulichkeit der Kommunikation eine große Rolle, um Datenschutz und Datensicherheit von Geschäftsgeheimnissen gerecht zu werden. Begriffsverwirrung Eine übliche Forderung ist dabei die […]
Die Tücken der Blockchiffren in TOMs
In der Beschreibung von technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 Abs. 1 lit. a DSGVO liest man oft den Namen der verwendeten Blockchiffren, mit deren Hilfe durch Verschlüsselung das Schutzziel der Vertraulichkeit gewährleistet wird. Blockchiffren sind Algorithmen, die aus einem Block Klartext einen Block Ciphertext erzeugen. Dafür empfohlene Algorithmen finden sich in der Technischen […]
Bedrohungsszenarien in Zeiten von Corona
Das Coronavirus trifft die Wirtschaft hart und schafft zusätzlich eine allgemeine Atmosphäre steigender Unsicherheit in den Unternehmen. Es zeigt sich nun, dass das Thema einen erheblichen Einfluss auf die Informationssicherheit entwickelt. Eine Vielzahl von Akteuren will die Krise nun zu ihrem Vorteil ausnutzen und entwickelt verschiedenste Bedrohungsszenarien, die in ihrer Technik jedoch nicht neu sind. […]
Penetrationstests für mehr Cybersicherheit
Penetrationstests sind seit langem als Sicherheitstools bekannt, die Schwachstellen durch simulierte Angriffe auf die IT-Umgebung eines Unternehmens aufdecken. Die Ergebnisse aus solchen Tests können helfen, Schwachstellen zu priorisieren und einen Fahrplan zur Behebung der Angriffspunkte zu erstellen. Die Ergebnisse leisten aber noch mehr: Sie identifizieren und quantifizieren Sicherheitsrisiken und können so als Schlüsselfaktor für Cybersicherheitsrichtlinien […]
Sichere, langlebige Passwörter – Das Ende der anlasslosen Passwortwechsel
Für viele von Ihnen gehört es zum Alltag, dass Sie sich beim Kennwort nicht nur Gedanken um Groß- und Kleinschreibung, sondern auch um Sonderzeichen und Ziffern machen müssen. Wenn man sich dann einmal ein Passwort hat einfallen lassen, dass sich nicht leicht erraten lässt, so sollte man es dann oft auch noch alle 90 Tage […]
Berliner Kammergericht im Klammergriff von Emotet
Mit einem lauten Knall wurde im letzten September bekannt, dass das Berliner Kammergericht Opfer eines Hackerangriffs wurde. Als Folge des Angriffs musste Berlins höchstes ordentliches Gericht vollständig vom Netz genommen werden – insgesamt ein bitterer Schlag für die Justiz der Hauptstadt. Die Hintergründe und Folgen des Angriffs waren lange unklar. Die in die Jahre gekommene […]
Avast verkauft Browserdaten
Medienangaben zu Folge hat Jumpshot, die Tochterfirma des Antiviren-Software-Anbieters Avast, massenhaft Daten von Nutzern verkauft. Dabei soll es sich ausschließlich um Kunden der kostenlosen Version von Avast handeln. Nach eigenen Angaben gibt es mehr als 435 Millionen aktive Nutzer pro Monat. Jumpshot gibt dagegen an, die Daten von 100 Millionen Geräten zu besitzen (vgl. hier). […]
Ist „die Cloud“ sicher?
Ein Argument für die Nutzung der Cloud eines Dienstanbieters ist der dadurch mögliche Verzicht auf einen Teil des Betriebs einer eigenen IT-Dienstinfrastruktur, beispielsweise zur Ablage von Daten. Doch wie steht es dann um die Informationssicherheit? Als Beispiel sei der kürzlich erschienene Reuters-Artikel https://reut.rs/37gt7GJ herangezogen. Dieser macht deutlich, dass wesentliche Teile der in der iCloud gespeicherten […]