Das OWASP-Projekt ist vor allem bekannt für seine regelmäßig aktualisierten Top Ten der häufigsten Schwachstellen in Webapplikationen. Mittlerweile gibt es jedoch auch ein Team, das sich mit der Zusammenstellung einer Liste der häufigsten Schwachstellen im Internet of Things (IoT) beschäftigt. Von Glühbirnen, über die Hausautomatisierung bis hin zu Connected Cars haben diese smarten Produkte eins […]
IT-Sicherheit
IT-Sicherheit
IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG – Betreiber von Energieanlagen
Der „neue“ IT-Sicherheitskatalog ist da. Am 18. Dezember 2018 veröffentlichte die Bundesnetzagentur den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz (EnWG‘) für Betreiber von Energieanlagen, den sogenannten Sicherheitskatalog 2. Zum Hintergrund: Bereits 2016 wurden mit dem IT-Sicherheitskatalog 1 (gem. §11 Abs. 1a EnWG) und dem IT-Sicherheitsgesetz zwei gesetzliche Vorgaben für Netzbetreiber und Kritische Infrastrukturen veröffentlicht, […]
#35C3 Ausgewählte Talks vom 35C3 aus (nicht allein) datenschutzrechtlicher Sicht
Es ist mal wieder so weit. Ich versuche mich an einer höchst subjektiven Auswahl an interessanten Talks vom nun mittlerweile 35. Chaos Communication Congress. Dabei habe ich festgestellt, dass es mir nicht nur von Jahr zu Jahr leichter fällt, datenschutzrechtlich relevante Talks auszusuchen, nein, mittlerweile kann ich von dem ein oder anderen interessanten Talk gar […]
#35C3 Der steinige Weg zur besseren Verschlüsselung
Der Einsatz von Verschlüsselung bei der Kommunikation mit Webseiten oder beim Abrufen der eigenen Mails ist in den letzten Jahren selbstverständlich geworden. Auf diese Weise werden sensible Daten wie personenbezogene Daten oder Anmeldeinformationen nicht im Klartext übertragen, was bei der Verbreitung von kostenlosen WLAN-Hotspots und der zunehmenden Anzahl an Teilnehmen im Firmen- oder Heimnetzwerk wichtig […]
#35C3 Handvenenerkennung vor dem Aus?
Die Handvenenerkennung gilt als eine der letzten sicheren Methoden der biometrischen Verifikation und Identifikation, die noch nicht gehackt wurde. Bei dieser wird die Anordnung der Venen der Handinnenfläche, des Handrückens oder eines Fingers mit einem Referenzmuster des Betroffenen abgeglichen. Ein solches Muster stellt regelmäßig ein genetisch bestimmtes personenbezogenes Unikat dar, das vermeintlich fälschungssicher ist, auch […]
Automatisierung des Social Engineerings – Emotet
Schadsoftware bedroht im Prinzip jeden Rechner und ihre Entwicklung schreitet stetig voran. Die derzeit besonders in den Medien präsente Schadsoftware Emotet, die sogar in der Tagesschau Erwähnung fand, ist in der Lage, Phishing-Angriffe zu automatisieren und erreicht dabei Berichten zufolge ein beeindruckend hohes Maß an Plausibilität: So berichtet z.B. heise.de über durch Emotet ausgeführte Analysen […]
Datenleck im Marriottkonzern
Vor wenigen Tagen wurde bekannt, dass dem Hotellkonzern Marriott Daten von bis zu 500 Millionen Gästen abhandengekommen sind. Nach eigenen Angaben sollen Hacker Zugriff auf die Reservierungsdatenbank des 2016 übernommenen Tochterunternehmens Starwood gehabt haben. Wie nun festgestellt wurde, waren die ersten Hackerzugriffe bereits 2014 zu verzeichnen, blieben aber jahrelang unentdeckt. Erst Anfang September wurde der […]
Office 365 – neuer Datenschutz-GAU für Microsoft?
Ende 2016 war bekannt geworden, dass Microsoft bei Windows 10 in erheblichem Maße Ereignisdaten aus der Nutzung von Windows 10 an eigene Server weiterleitet. Sinn dieser Datenweitergabe ist die Weiterentwicklung von Windows durch Verfolgung von Fehler- und Problemsituationen in Echtzeit. Wir berichteten darüber. Man kann bei Windows 10 diese Datenübertragung zwar jetzt abschalten, hat dann aber […]
Mangelnde IT-Sicherheit – 20.000 Euro Bußgeld
Der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit macht ernst. Die Social-Media-Plattform „Knuddels“ wurde wegen einer erheblichen Datenpanne mit einer Geldbuße in Höhe von 20.000 Euro belegt. Hierzulande hat damit erstmals seit dem Inkrafttreten der DSGVO eine Aufsichtsbehörde vom Sanktionsinstrument des Art. 83 DSGVO Gebrauch gemacht. Geleakte Nutzerdaten Als am 8. September 2018 bekannt wurde, dass […]
Gefährliche Bewerbermails – GandCrab erneut massiv im Umlauf
Erneut sorgt die Ransomeware GandCrab für Aufsehen und Ärger in vielen Unternehmen. Zuhauf wird der Erpressungstrojaner als Bewerbung via E-Mail an Unternehmen verschickt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer aktuellen Pressemitteilung vor der Ransomware. Im aktuellen Fall werden E-Mails mit dem Betreff „Bewerbung auf die Angebotene Stelle bei der Agentur […]
Das Verbot von Standardpasswörtern in Kalifornien – Ein Anfang
Standardpasswörter sind des Hackers Freud und des Nutzers Leid! Passwörter wie “123456”, “admin” oder “password” sind nicht erst seit dem Internet-of-Things ein Problem in der IT-Sicherheit. Kriminelle Hacker verwenden solche einfachen Passwörter bereits seit Jahren, um in Systeme einzudringen. Seit dem Erscheinen des Internet-of-Things hat das Problem der Standardpasswörter jedoch ein bisher unbekanntes Ausmaß erreicht. […]
Gandcrab – Ransomware tarnt sich als potenzieller Bewerber
Das Ransomware-Framework Gandcrab in der Version 4 sorgt seit ca. einer Woche für Aufregung in deutschen Unternehmen. Zu tausenden wird der recht klassische Erpressungstrojaner als Bewerbung via Mail an die verschiedensten Unternehmen geschickt. Die Täter zielen darauf ab, dass diese Mails durch die zuständigen Abteilungen geöffnet werden und sich der Trojaner dort einnisten kann. Die […]
Schwachstelle Multifunktionsdrucker – per Fax ins Netz
Das BSI warnt aktuell vor einer Sicherheitslücke, mit der Angreifer über Multifunktionsdrucker in interne Netze eindringen könnten. Betroffen seien “All-in-One”-Drucker von HP, auf denen mehrere Schwachstellen das entfernte Ausführen von beliebigem Programmcode ermöglichen. Das Risiko wird vom BSI als „sehr hoch“ eingestuft. Häufig werden Multifunktionsdrucker in interne Netzwerke integriert und gleichzeitig auch als Faxgerät verwendet. […]
Vorsicht vor Missbrauch beim Video-Ident
Die Themen Datenschutz und IT-Sicherheit sind seit einiger Zeit Gesprächsthema wie selten zuvor. Meldungen über und Warnungen vor Hackerangriffen und Datenklau nehmen zu und seit der Einführung der DSGVO beschäftigen sich alle vom Großkonzern bis zum Bäcker mit dem Thema Datenschutz. Es werden Konzepte erstellt, Verfahren dokumentiert und Sicherheitsmaßnahmen geprüft. Dabei ist einer der wichtigsten […]
Der schnelle Weg zum Datenleck
Datenpannen beziehungsweise Datenlecks bei großen Firmen oder Webseiten sind mittlerweile fast alltäglich geworden. Zu den prominentesten Opfern in der näheren Vergangenheit zählen DomainFactory, LinkedIn, Dropbox, Yahoo oder auch die Deutsche Post. Die Webseite haveibeenpwned.com des australischen Sicherheitsexperten Troy Hunt, welche Datenlecks aufbereitet und registrierte Nutzer über die Kompromitierung der eigenen Benutzerkonten informiert, listet mittlerweile über […]