In diesem Artikel werfen wir einen Blick auf ein technisches Werkzeug aus der Informationssicherheit. Den Security Scan bzw. Schwachstellenscan (Vulnerability Scan). Obwohl Schwachstellenscanner für alle möglichen Anwendungsbereiche zur Verfügung stehen, fokussiert sich dieser Artikel auf den häufigsten Anwendungsfall in diesem Kontext: Security Scans für extern erreichbare Systeme. Extern erreichbare Systeme Über das Internet erreichbare Systeme […]
Informationssicherheit

Erfolgreicher Hackerangriff auf Microsoft Cloud – Microsoft reagiert (endlich)
Es war eine Nachricht mit Gänsehaut-Faktor: Die Microsoft Cloud wurde im Zeitraum Mitte Mai bis Mitte Juni erfolgreich von Hackern angegriffen. Die chinesische Hacker-Gruppe „Storm-0558“ habe durch gefälschte Authentifizierungstoken per Outlook Web Access (OWA) Zugriff erlangt auf E-Mail-Konten von 25 Organisationen und einige Consumer-Accounts, die wahrscheinlich mit den betroffenen Organisationen zusammenarbeiten (siehe Pressemitteilung von Microsoft). […]

3. IT-Grundschutz-Tag 2023
Am 14. Juni 2023 fand in Limburg an der Lahn und online der 3. IT-Grundschutz-Tag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) statt. Die Fachkonferenz stand diesmal unter der Überschrift „Organisatorische Resilienz mit IT-Grundschutz: Von der Informationssicherheit zur Business Continuity“. Nach der Eröffnung durch Herrn Heun vom Kooperationspartner CARMAO GmbH und Herrn Schildt vom BSI […]

TLS-Zertifikate: So erkennen Sie eine gesicherte Verbindung
Weltweit werden täglich Milliarden von Websites und -dienste aufgerufen. Immer mehr davon erfordern die Eingabe, Verarbeitung oder Übertragung von persönlichen (geheimen) Informationen wie IP-Adressen, Bankdaten oder Passwörter. Mit der Verbreitung des Internets wird die Sicherheit der übertragenen Daten zunehmend wichtiger. Deshalb wurden verschiedene Verfahren entwickelt, um eine sichere Datenübertragung zu gewährleisten. In diesem Beitrag soll […]

Erster Referentenentwurf zur Umsetzung der NIS-2-Richtlinie
Die Europäische Union hat die europäische Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) veröffentlicht, um europaweit eine einheitliche Herangehensweise an und ein einheitliches Niveau für die Gewährleistung von Cybersicherheit gesellschaftlich bedeutender Funktionen zu schaffen (wir berichteten hier und hier). Die Richtlinie ist bis zum 17. Oktober 2024 in nationales Recht zu überführen. Zu diesem Zweck befindet sich in Deutschland […]
Perfect Forward Secrecy
Die Kommunikation über digitale Kanäle in Form einer Textnachricht oder aber bei der Verwendung von Webbrowsern, gehört zum Alltag und ist heutzutage nicht mehr wegzudenken. Nutzer greifen häufig auf Kommunikationsmittel zurück, deren Verbindungen als sicher gelten, weil die Daten verschlüsselt versendet werden und vertrauen dieser Verschlüsselung. Fast jeder kennt es: Das Vorhängeschloss, das im Browser […]
NIS-2: Welche Änderungen bringt die neue EU-Richtlinie für Cybersicherheit?
Die Europäische Union hat am 27.12.2022 in ihrem Amtsblatt die seit langer Zeit erwartete neue europäische Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) veröffentlicht (wir berichteten). Am 22.03.2023 hat dazu der Bremer Prof. Dr. Dennis-Kenji Kipker an der Hochschule Bremen im Rahmen der Akademie des Freien Institutes für IT-Sicherheit e. V. (IFIT) einen Vortrag gehalten und die Regelungen […]
Worst-Case-Szenario Datenleak – Blogreihe zum Thema Cybersecurity und Datenschutz
Ransomware-Angriffe sind weiterhin in aller Munde und eine akute Bedrohung. Immer öfter erbeuten die Angreifergruppen zuvor aber auch sensible Datensätze der betroffenen Organisation bevor sie damit beginnen die Systeme zu verschlüsseln. Ein prominentes Beispiel aus dem vergangenen Jahr ist der Cyberangriff auf den DAX-Konzern Continental (hier nachzulesen). Teilweise haben es Angreifergruppen mittlerweile auch gezielt „nur“ […]
Ransomware-Angriff: Alles verschlüsselt! Was nun? – Blogreihe zum Thema Cybersecurity und Datenschutz
Ransomware-Angriff! Das Wort dürfte jedem Mitglied der Leitungsebene sowie den IT-Verantwortlichen einer Organisation einen kalten Schauer den Rücken herunterlaufen lassen. Denn die Folgen eines Ransomware-Angriffs sind oftmals verheerend und können im schlimmsten Fall existenzbedrohend sein. Seit Jahresbeginn waren erneut zahlreiche Unternehmen und öffentliche Organisationen betroffen und hatten mit den gravierenden Folgen zu kämpfen. Jüngst ist […]

Workshop zur Informationssicherheit bei mittelständischen Unternehmen
Cyberattacken haben in den vergangenen Jahren in erschreckendem Maße zugenommen. Für Unternehmen stellt die Cyberkriminalität mittlerweile ein hohes Existenzrisiko dar. Kein Wunder also, dass sich zunehmend Standards und Normen im Bereich der Informationssicherheit mit diesem Thema befassen. Neben der Beratung zu entsprechenden Sicherheitsmaßnahmen durch die hierauf spezialisierten Firmen, treten die damit verbundenen Risiken inzwischen zunehmend in […]
EU verabschiedet NIS 2-Richtlinie: Stärkung der Cybersicherheit
Kritische Sektoren wie Verkehr, Energie, Gesundheit und Finanzen sind zunehmend abhängig von digitalen Technologien, um ihr Kerngeschäft zu betreiben. Während die Digitalisierung enorme Chancen und Lösungen für viele der Herausforderungen bietet, setzt sie Wirtschaft und Gesellschaft auch Cyberbedrohungen aus. Cyberangriffe und -kriminalität nehmen in ganz Europa an Zahl und Komplexität zu. Dieser Trend wird sich […]
Alle Jahre wieder … kommt der Auditor
Auditoren sind schon ein besonderer Schlag Menschen. Ich muss es wissen, denn ich bin selber Auditorin – für Datenschutz. Unsere Tätigkeit ist – vorweihnachtlich gesprochen – vergleichbar mit der des Nikolaus: Brave Unternehmen bekommen eine Belobigung, unartige werden getadelt. Insofern sind Auditoren oft gefürchtet, decken sie doch z. B. in den Tiefen des Datenschutzmanagements oder […]
Langersehnt, endlich da: die neue ISO/IEC 27001:2022!
Im Oktober 2022 wurde eine neue Version des De-Facto-Standards der Informationssicherheit veröffentlicht: die ISO/IEC 27001:2022, welche Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) formuliert. Die 2022er-Version löst damit die 2017er-Version (ISO/IEC 27001:2013 inkl. der beiden Corrigenda) ab. Was ist neu? Und was kommt auf nach ISO/IEC 27001 zertifizierte Kunden jetzt zu? Dazu finden Sie Informationen in diesem […]
Das Zutrittsrecht des Arbeitgebers bei Homeoffice und beim mobilen Arbeiten
Nachdem das mobile Arbeiten im ersten Lockdown 2020 schlagartig eingeführt wurde, gehört es inzwischen in vielen Branchen zur Normalität, dass der Arbeitgeber diese Möglichkeit freiwillig einräumt. Häufig wird hierfür der Begriff „Homeoffice“ verwendet, obwohl hierunter im eigentlichen Sinne die ausschließliche Erlaubnis, die Arbeit in einem eigenen (ausschließlich) hierfür genutzten Raum am Wohnort des Arbeitnehmers zu […]
Was bedeutet eigentlich „wegsperren“ laut Duden?
Können Sie diese kryptischen Tastenkombinationen zuordnen? „Windows“ + „L“ oder [ctrl] + [cmd] + [Q]? Wer diese Kombinationen kennt und anwendet, hat eine höhere Wahrscheinlichkeit, auch morgen noch seinen Job zu haben. Diese fehlende Kenntnis oder die mangelnde Motivation zur Umsetzung wurde jetzt einer Kreditsachbearbeiterin zum Verhängnis. Zum Sachverhalt Die Klägerin, als Kreditsachbearbeiterin bei der […]