Das Protokoll OpenPGP, zum Absichern von elektronischer Kommunikation und Speicherdaten, ist eigentlich gar nicht so kompliziert. In diesem Artikel wird ein kurzer Einblick in die Welt von „Pretty Good Privacy“ (PGP) gegeben, sodass die Leichtigkeit der Benutzung und die kleinen Tücken, die es zu beachten gibt, nachvollzogen werden können. Abgeschlossen wird mit der Thematisierung mit […]
IT-Sicherheit
IT-Sicherheit
Kritische Schwachstelle bei Microsoft
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Schwachstelle im Remote-Desktop-Protocol-Dienst (RDP) einiger Windows-Versionen. Die Schwachstelle, die ohne Zutun des Nutzers ausnutzbar ist, ermöglicht einen Angriff mit Schadsoftware, die sich wurmartig ausbreitet. „Diese kritische Schwachstelle kann zu ähnlich verheerenden Angriffen führen, wie wir sie 2017 mit WannaCry erleben mussten.“, so der […]
Alles neu macht der Mai – TLS anstatt SSL und eTLS
In einer kürzlich vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen Veröffentlichung mit Ratschlägen zum Einsatz von Verschlüsselungsstandards, die aus mehreren Gründen nötig geworden sind, wird die ausschließliche Verwendung des TLS-Standards Version 1.2 und 1.3 empfohlen. Die Abkürzung TLS steht für Transport Layer Security, ein Verschlüsselungsprotokoll zur sicheren Datenübertragung in Datennetzwerken. Insbesondere die Vertraulichkeit, die […]
Ärzte und Kliniken: Wo der Schutz endet und die Nachlässigkeit beginnt
Jeder Mensch muss hin und wieder mal zum Arzt, wird aufgefordert seine Daten mit der aktuellen gesundheitlichen Beschwerde anzugeben und lässt seine Krankenkassenkarte einlesen. Alles personenbezogene Daten, die in das System beim Arzt seines Vertrauens aufgenommen werden. Das kann jeder nachvollziehen, wer denkt schon lange darüber nach, man möchte ja seine Beschwerden loswerden. Wenn jedoch […]
Wie erklär´ ich´s meinem Kinde: Internetsicherheit
Wer selbst Kinder hat, sollte sich frühzeitig mit der Frage beschäftigen, wie man dem Nachwuchs das Thema Sicherheit im Internet näherbringt. Es ist keine gute Idee, sich darauf zu verlassen, dass dies im Kindergarten oder etwa der Schule passiert. Wenn Bildungseinrichtungen zunehmend Probleme damit haben, Grundwissen zu vermitteln, kann nicht davon ausgegangen werden, dass besondere […]
Zugangssicherung für Online-Dienste
Die Datenschutzkonferenz (DSK), ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat in ihrer „Hambacher Erklärung“ unter anderem ein Positionspapier zu “Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung” veröffentlicht. Das Papier versteht sich als Guideline für Provider, welches als Reaktion auf den „Hackerangriff“ auf Politiker und Prominente im Januar 2019 veröffentlicht wurde. […]
Vernetztes Fahren – Daten als Treibstoff in eine neue Zeit
Das Internet hat schon vor Jahren Einzug in die Fahrzeugindustrie gehalten. Das Auto wird zukünftig noch massiver Daten erfassen und speichern. Dabei werden nicht nur die Menge an technischen Daten und die Übertragungsgeschwindigkeit dank 5G ansteigen, sondern auch die Menge an personenbezogenen Daten. Denn personenbezogen sind die Daten allemal, da sie sie sich auf eine […]
IT-Sicherheitsgesetz 2.0 – Massive Ausweitung
Am 29.3.2019 hat das Bundesinnenministerium einen Referentenentwurf zum geplanten IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung eingebracht. Neue KRITIS-Sektoren und Bereiche Eine zentrale Änderung ist die Ausweitung der Unternehmen, die als Kritische Infrastruktur betrachtet werden. So wird der Bereich der Abfallentsorgung neu in die Liste der Sektoren aufgenommen. Die bisher schon bestehende Kategorie „Unternehmen mit hoher Bedeutung […]
Hohe Schäden durch IT-Ausfälle in Unternehmen
Der aktuelle Fall des Hacker-Angriffs auf den norwegischen Aluminiumhersteller Norsk Hydro zeigt einmal mehr auf eindringliche Weise, wie aufgrund eines digitalen IT-Angriffs maximaler Schaden für ein weltweit operierendes Großunternehmen verursacht werden kann. Mittels einer Ransomware-Attacke wurde höchstwahrscheinlich der Erpressungstrojaner LockerGoga im Unternehmensnetz platziert und zur Ausführung gebracht. Die Folgen sind massive Störungen des Geschäftsbetriebes durch […]
IT-Forensik – spielte der letzte Tatort in Ihrem Unternehmen?
Trotz einer guten Präventionsstrategie und bester Sicherheitsvorkehrungen lassen sich Angriffe auf IT-Systeme nicht vollständig ausschließen. Oftmals bleiben diese Einbrüche in die Systeme sogar über lange Zeit völlig unbemerkt. So geschehen Ende letzten Jahres bei der Hotelkette Marriott. Schon im Jahre 2014 sind Hacker hier in ein zum Hotelverbund zählendes Unternehmen eingedrungen und haben über die […]
Passwörter – Eine unendliche Geschichte
Passwörter sind seit ewigen Zeiten ein beliebtes Streitthema in der Informationssicherheit. Der einzige Zweck von Passwörtern ist die Schutz vor unauthorisiertem Zugriff. Gelangt ein Angreifer in den Besitz eines Passwortes, ist der Schutz nicht mehr gewährleistet. Die “Password Guidance” des National Cyber Security Center (NCSC) listet die gängigsten Angriffstechniken zur Erlangung eines Passwortes auf. Neben […]
Cyber-Sicherheits-Umfrage der Allianz für Cyber-Sicherheit
Sehr geehrte Leserinnen und Leser, heute möchten wir wieder unseren Blog dazu nutzen, unsere Leser dazu aufzufordern, an der jährlich stattfindenden anonymen Cyber-Sicherheits-Umfrage der Allianz für Cyber-Sicherheit teilzunehmen. Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. […]
Bedrohungen für Industriesteuerungsanlagen ICS/SCADA
Industriesteuerungen (ICS) und Supervisory Control and Data Acquisition (SCADA) sind Systeme, die zunehmend Cyber-Risiken ausgesetzt sind. Durch ungerichtete Schadsoftware aber ebenso durch „Hacker“ werden sie wie konventionelle IT angegriffen. Diese Systeme werden nicht nur in Fabriken eingesetzt, sondern auch in der Energieerzeugung und -verteilung über Gas- und Wasserversorgung bis hin zur Fabrikautomation, Verkehrsleittechnik und modernem Gebäudemanagement. Somit […]
Konfigurierst Du noch oder bist Du schon sicher?
Sicherheitsrelevante Fehlkonfiguration Über mehrere Jahre waren aufgezeichnete Anrufe der schwedischen Gesundheitshotline unverschlüsselt auf völlig ungeschützten Servern gespeichert und für jeden erreichbar. Diese hochsensiblen Daten waren weder durch Passwörter noch andere Sicherheitsmaßnahmen geschützt. Nach erster Einschätzung von schwedischen Informationssicherheits-Experten ist dieser Vorfall auf eine sicherheitsrelevante Fehlkonfiguration zurückzuführen. Auf der OWASP-Top-10 Liste der Risiken für die Anwendungssicherheit […]
Kritische Lücke bedroht containerbasierte Virtualisierung
Container-Anwendungen sollen normalerweise keinen Zugriff auf das Hostsystem haben. Eine Sicherheitslücke ermöglicht es Eindringlingen derzeit allerdings aus priviligierten Containern auszubrechen um das komplette System / Host zu übernehmen. Schadcode Durch diese Sicherheitsanfälligkeit kann ein Angreifer aufgrund des Bugs in runc, der Container-Runtime von Docker, Kubernetes, containerd und weiteren Container-Systemen mittels eines schädlichen Containers die Host-Runc-Binärdatei […]