Mittlerweile vergehen kaum Tage, an denen keine Meldungen zu Datendiebstählen oder Datenpannen in der Presse zu finden sind. Meldungen in der Presse behandeln dabei meistens Vorfälle, in denen sehr viele Benutzer betroffen sind, besonders sensible Daten abgeflossen sind oder die betroffene Webseite bzw. Firma besonders bekannt ist. Für den Benutzer steht bei diesen Meldungen im […]
IT-Sicherheit
IT-Sicherheit
OWASP Top Ten: A10 – Ungeprüfte Um- und Weiterleitungen
Mit diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den zehn häufigsten Sicherheitslücken in Webapplikationen, sind wir auf Platz 10 angekommen. Dabei geht es um ungeprüfte Um- und Weiterleitungen. Um- und Weiterleitungen werden in Webapplikationen häufig eingesetzt, um den Nutzer automatisch auf die gewünschte Zieladresse zu navigieren. Hierbei wird zwischen externen und internen Weiterleitungen […]
OWASP Top Ten: A9 – Nutzung von Komponenten mit bekannten Schwachstellen
Dieser Beitrag aus unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Platz 9: Nutzung von Komponenten mit bekannten Schwachstellen. Webapplikationen wie Onlineshops, Portale oder Content Management Systeme haben mittlerweile einen großen Funktionsumfang und damit eine hohe Komplexität. In der Entwicklung wird daher auf fertige Komponenten zurückgegriffen, die allenfalls noch […]
Unterschied zwischen Anonymisierung, Pseudonymisierung und Verschlüsselung
Immer wieder tauchen in Gesetzen, vor allem im Bereich Datenschutz, die Begriffe Anonymisierung, Pseudonymisierung und Verschlüsselung auf. Ich musste feststellen, dass diese Begriffe häufig von Juristen, Behörden und IT-lern unterschiedlich verwendet werden bzw. für die jeweiligen Beteiligten eine unterschiedliche Bedeutung haben. Wie komme ich eigentlich auf das Thema? Schauen wir uns beispielsweise §11 Abs. 1 […]
Sicherer Umgang mit Passwörtern
Im aktuellen Newsletter des AOK-Verlages setzt sich unser Mitarbeiter Dr. Sebastian Ertel mit der Notwendigkeit der Passwortnutzung auseinander. Neben dem offensichtlichen Zweck, dem Schutz vor einer unberechtigten Verarbeitung durch Unbefugte, dient der Einsatz von Passwörtern aber auch dem Schutz der datenverarbeitenden Personen vor Identitätsdiebstahl. Neben der Darstellung der Gefahren, die der Einsatz von Gruppen-Accounts und Single […]
Zum Jahreswechsel: password of the year 2016 gekürt
Alljährlich wird zum Jahreswechsel das „password oft the year“ gekürt. Dieses wollen und dürfen wir Ihnen natürlich nicht vorenthalten. Diese sehnsüchtig erwartete Wahl beruht auf die jährlich von IT-Sicherheits-forschern des Hasso-Plattner-Instituts in Potsdam erstellte Liste der meistgenutzten Passwörter der Deutschen im Internet. Die neue Reihenfolge konnten die Wissenschaftler aus 31 veröffentlichten „Daten-Leaks“ in der Vergangenheit […]
Ausgewählte Talks vom 33C3 aus (nicht allein) datenschutzrechtlicher Sicht
Wie auch im letzten Jahr möchten wir Ihnen den ein oder anderen interessanten Talk vom Chaos Communication Congress vorstellen, der rechtliche Themen nicht nur streift. Links zu den Videos finden sich im jeweiligen Text. Corporate surveillance, digital tracking, big data & privacy Der immer transparenter werdende Internetuser ist ein Dauerthema in unserem Blog. Über Facebook, […]
33c3: Chaos macht Schule
Sofern Sie Kinder haben, in einer Bildungseinrichtung arbeiten oder gute ITler in der Zukunft für ihr Unternehmen brauchen, dann wurde auf dem 33. Chaos Communication Congress auf ein wichtiges Projekt hingewiesen: Chaos macht Schule, kurz CMS. Chaos macht Schule ist ein Eigenprojekt des CCC selbst, das zeigt, das Schulen wichtige Themen unserer Informationsgesellschaft noch nicht ausreichend abdecken. […]
33c3: Schwerer Angriff gegen SSL/TLS – The Drown Attack
Auf dem 33. Chaos Communication Congress wurde ein neuer Angriff gegen die aktuelle TLS-Verschlüsselung gezeigt. TLS wird im Internet u.a. zur Absicherung von Zugriffen auf Webseiten und zur gesicherten Übertragung von Emails genutzt. Der sogenannte DROWN-Angriff (https://drownattack.com) ermöglicht die Entschlüsselung dieser Übertragungen in kurzer Zeit. Grundlage für den Angriff ist, dass die meisten Server aus […]
33c3: Smarte Schlösser geknackt
Neben Autos, Kaffemaschinen und Glühbirnen hat das Internet of Things auch in Schlösser Einzug gehalten. Schlösser mit Bluetooth Smart (auch Bluetooth LE genannt) ermöglichen bequemes Schließen per Smartphone-App. Aber nicht nur das – über einen vom Hersteller angebotenen Internetdienst kann ein Schloss mit Freunden kurz- oder langfristig „geteilt“ werden – sehr praktisch z.B. für das […]
Gefühlte und echte Bedrohungen – Funkkolleg des Hessischen Rundfunks zum Thema Sicherheit
Nicht nur im Rahmen der Informationstechnologie, sondern in allen menschlichen Lebensbereichen ist Sicherheit ein zentrales Thema. Dabei bestehen zwischen der gefühlten subjektiven Sicherheit und der tatsächlichen objektiven Sicherheitslage manchmal große Unterschiede. Aber was ist „Sicherheit“ eigentlich und was ist unter „Risiko“ zu verstehen? Nicht nur aus populär-wissenschaftlicher Sicht beschäftigen sich 25 neue Beitragsfolgen des Funkkollegs […]
Wenn „Bewerber“ Ihre Daten verschlüsseln – Beispiel: Goldeneye
Hört man den Begriff „Goldeneye“ denkt man automatisch an James Bond 007. Leider hat der Verschlüsselungstrojaner „Goldeneye“ wenig mit der Action-Filmreihe zu tun. Damit Sie von dieser Ransomware möglichst verschont bleiben, sollten Sie die folgenden Punkte beachten. Falls Sie schon Opfer des Verschlüsselungstrojaners geworden sind, dann beachten Sie bitte die Punkte unter dem Abschnitt „Nachsorge“. […]
Datenleck bei der Telekom
Auch in einer deutschen Cloud kann es zu Datenpannen kommen, wie die Telekom schmerzhaft erfahren musste. Die Fakten Am vergangenen Wochenende kam es bei einem Softwareupdate der Management-Software für das Hosted-Exchange-Angebot der Telekom zu einem Datenleck. Nach Informationen der Wirtschaftswoche und heise.de wurden tausende Kontaktdaten aus Kundenadressbüchern falsch synchronisiert. Dadurch bekam zumindest ein Kunde kurzzeitig […]
Datenleck zu Terrorismus-Ermittlungen von Europol
Die europäische Polizei- und Fahndungsbehörde Europol in Den Haag ist von einem massiven Datenleck betroffen. Nach einer Meldung der Nachrichtenagentur Reuters wurden mehr als 700 Seiten vertraulicher Daten mit den Namen, Telefonnummern und Adressen von Verdächtigen irrtümlich ins Internet gestellt. Die Ermittlungen betreffen 54 Verfahren wegen Terrorismusverdachts und umfassen vor allem Dokumente aus dem Zeitraum […]
Wenn technisch organisatorische Schutzmaßnahmen schlecht umgesetzt werden
Letzte Woche machte die Meldung die Runde, dass eine Datenbank der Portale Mitfahrgelegenheit.de und Mitfahrtzentrale.de kopiert wurden und dass die Hacker dabei an ca. 638.000 Kontonummern, 101.000 E-Mail-Adressen, 15.000 Handynummern und wohl auch etliche Namen und Adressen von ehemaligen Nutzern der Portale gekommen sind. Wie konnte es zu diesem Vorfall kommen? Die beiden Mitfahrportale existieren […]