Aktuelle Prozessoren enthalten eine hardwarebasierte Sicherheitslücke, die nur durch Sicherheits-Updates des Betriebssystems behoben werden kann. Die Schwachstelle erlaubt das Auslesen von sensiblen Daten aus dem Arbeitsspeicher des Computers. Hintergrund Eine Grundlage der Sicherheit von Computersystemen und Software ist die Trennung von Speicherbereichen. Programm A darf nicht auf den Speicherbereich von Programm B zugreifen, Programme dürfen […]
IT-Sicherheit
IT-Sicherheit
Ausgewählte Talks vom #34C3:“Known Beacons Wi-Fi Automatic Association Attack“
Mobile Geräte wie Smartphones, Tablets oder Notebooks verbinden sich gewöhnlich automatisch mit bekannten WLAN-Hotspots oder Heimroutern. Eine Komfortfunktion, die auch ein Sicherheitsrisiko birgt. Vortäuschung bekannter WLANs Ein Mobilgerät, das aktiv nach bekannten Verbindungen sucht, sendet Anfragen (sog. „probe requests“), ob ein bekannter Hotspot in der Nähe ist. Antwortet dieser, kann eine Verbindung zustande kommen. Angreifer […]
AUDITOR – Entwicklung einer EU-weit anwendbaren Zertifizierung für Cloud-Dienste
Der Einsatz von Cloud-Diensten eröffnet neue Möglichkeiten der effizienten Ressourcennutzung. Insbesondere kleine und mittelständische Unternehmen profitieren von ausgelagerten IT-Strukturen. Kurz gesagt, der Cloud-Markt boomt. Die damit verbundenen Risiken, wie der mögliche Kontrollverlust, mangelnde Transparenz oder IT-Sicherheitsfragen, beschäftigen jedoch sowohl Anbieter als auch Nutzer von Cloud-Diensten. Die Anforderungen der Datenschutzgrundverordnung (DSGVO) und die implizierten Verpflichtungen für […]
beA geht offline ins neue Jahr
beA, das besondere elektronische Anwaltspostfach, sollte ab dem 1.1.2018 für Rechtsanwälte verpflichtend sein. Die hierzu erlassenen Regelungen finden sich in den §§ 19 ff der Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer (RAVPV), die ebenfalls ab dem 1.1.2018 gelten. Bisher war die Nutzung des beA freiwillig innerhalb der Testphase. Jetzt ist beA offline […]
Weihnachtshilfe für Admins
Wie heißt es doch so schön: „Und es begab sich zu der Zeit, dass alle Admins nach Hause zogen, um dort die IT-Probleme ihrer Familien zu lösen.“ Doch nun gibt es (Teil-)Hilfe. Für Einsteiger … Das Citizen Lab der University of Toronto hat die Webseite securityplanner.org gestartet. Auf dieser Webseite werden Tipps zur Absicherung der […]
Durchblick im Dschungel von Verschlüsselung und Schlüssellängen – was ist der Stand der Technik?
Unternehmen und datenverarbeitende Stellen müssen sich stets Gedanken machen, wie sie die drei Ziele der IT-Sicherheit (Verfügbarkeit, Vertraulichkeit und Integrität) gewährleisten. Insbesondere zur Gewährleistung des Schutzziels der Vertraulichkeit kommt schnell das Thema Verschlüsselung ins Spiel. Doch Verschlüsselung ist nicht gleich Verschlüsselung und oftmals stellt sich die Frage: Welche Verschlüsselungsmethode entspricht eigentlich dem Stand der Technik? […]
Sicherer Windows 10-Betrieb: Sandkasten-Spielchen mit Microsoft
Kennen Sie das? Die Stirn wird in Falten gelegt, die Augenbrauen nähern sich einander an und die Unterlippe, die zuvor mit ihrer artverwandten oberen Hälfte noch dicht zusammengepresst war, schiebt sich ein leichtes Stück nach vorne. Eine solche Reaktion erntet man entweder unter kleinen Kindern, wenn z.B. im Sandkasten die entscheidende Schlacht um das jeweils […]
Cyber-Sicherheits-Umfrage
Sehr geehrte Leserinnen und Leser, heute möchten wir wieder unseren Blog dazu nutzen, unsere Leser dazu aufzufordern, an der jährlich stattfindenden anonymen Cyber-Sicherheits-Umfrage der Allianz für Cyber-Sicherheit teilzunehmen. Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. […]
Die Modernisierung des IT-Grundschutzes
Rund 100 verschiedene Bausteine, mehr als 1.600 Empfehlungen und umzusetzende Maßnahmen auf über 5.000 Seiten. Der bis dato gültige IT-Grundschutzkatalog in der 15. Ergänzungslieferung (EL) 2016 scheint nicht nur inhaltlich stellenweise in die Jahre gekommen zu sein, sondern offenbart sich dem Anwender ebenso in einer Komplexität, die kaum zu bändigen scheint. Doch was ist der […]
IT-Sicherheit macht fit
Wer sich kurz nach der letzten Jahrtausendwende mit der Einführung der sogenannten DRGs (Diagnostic Related Groups) im Gesundheitswesen und insbesondere in Krankenhäusern beschäftigte, konnte beobachten, wie sich die Einführung von Fallkostenpauschalen negativ auf die gesundheitliche Versorgung auswirkte. Nahezu buchstäblich „um´s Verrecken“ taten Krankenhäuser alles, um die durchschnittliche Verweildauer von Patienten zu reduzieren. Umso kürzer der […]
Eindrücke zur Automotive Security
Am 27.09 und 28.09 hat der VDI eine Fachtagung zum Thema Automotive Security veranstaltet. Hinter dem Begriff Automotive Security versteckt sich dabei die Informationssicherheit innerhalb des Autos sowie der verbauten Schnittstellen nach außen. Nicht betrachtet werden der Datentransport zu und die Verarbeitung auf Backend-Systemen der Hersteller. Durch die Vorträge hat sich gezeigt, dass auch im […]
Enormes Datenleck bei Yahoo! noch größer als gedacht
Yahoo! hat am 3. Oktober bekanntgemacht, dass das bislang größte Datenleck noch größer als gedacht ist. Der Datenklau geschah bereits im August 2013, wurde aber erst im Dezember 2014 entdeckt. Laut Aussage der Datenschutzbehörde Großbritanniens, sei die Kommissarin Elizabeth Denham von dieser Information „enttäuscht“. Denham kritisiert vor allem, die zu lange Zeitspanne zwischen dem Auftreten […]
Ein Softwareupdate für die Bundestagswahl?
In den vergangenen Monaten wurde viel über potenzielle Manipulationen durch Hackerangriffe auf die bevorstehende Bundestagswahl diskutiert. Kürzlich häuften sich dann Berichte, welche durch die vom Chaos Computer Club (CCC) veröffentlichte „Analyse einer Wahlsoftware“ ausgelöst wurden. In vielen Kommunen wird für das Zusammenzählen und Auswerten der vorläufigen Ergebnisse aus den Wahllokalen die Software „PC Wahl“ eingesetzt, […]
Unsichere Smartphone-Komponenten
Mobile Geräte wie Smartphones und Tablets enthalten eine Vielzahl an Hardware-Komponenten wie Beschleunigungssensoren, Controller für das kabellose Aufladen der Akkus oder NFC-Lesegeräte für Funkkommunikation auf kurzen Strecken. Diese Hardware kommt meist von Drittanbietern, die sowohl die Hardware als auch die Software zum Betrieb der Komponenten an Smartphone-Hersteller ausliefern. Da die Komponenten fest verbaut sind, vertraut […]
Echtdaten sind keine Testdaten – Was bei Softwaretests zu beachten ist
In der Praxis stellt sich immer wieder die Frage, ob Echtdaten als Testdaten Verwendung finden können. Häufig taucht diese Fragestellung auf, wenn ein Unternehmen oder eine Behörde die Entwicklung einer Software bei einem Dienstleister in Auftrag geben möchte. Nicht selten fehlt seitens der Unternehmen und Behörden das Bewusstsein für die datenschutzrechtliche Problematik bei der Verwendung […]