Der Arbeitsalltag ohne Internet und Computer ist schon lange nicht mehr denkbar. Doch viele Unternehmen unterschätzen weiterhin die Gefahr von Hackerangriffen auf ihre vertraulichen Unternehmensdaten – trotz regelmäßiger negativer Schlagzeilen. Zuletzt wurde ein Hackerangriff auf die Fluggesellschaft EasyJet bekannt bei dem neun Millionen Kundendaten erbeutet wurden. Auch interne Bedrohungen, welche von den eigenen Mitarbeitern eines […]
pb-itstrategie
Was Wirtschaftsprüfer als Grundlage sehen, um den Stand der Technik zu schaffen
Die steigende Anzahl von Cyberangriffen und Datenschutzvorfällen macht die IT-Sicherheit zu einem grundlegenden Thema in jeder Branche. Wie auf diesem Blog schon häufiger erwähnt wurde, bietet der Aufbau eines Informationssicherheitsmanagementsystems nach ISO 27001 und einer entsprechenden Zertifizierung einen umfassenden Schutz gegen jegliche Art von Angriffen auf Informationstechnologie. Ist ein Unternehmen nach ISO 27001 zertifiziert, erfüllt […]
BSI-Studie zu sicherheitskritischen Funktionen in Windows 10
Derzeit führt das BSI ein Projekt mit dem etwas sperrigen Namen „SiSyPHuS Win10“ durch. Nicht minder diffizil ist das Thema, mit dem sich das BSI hier beschäftigt. Es geht um die sicherheitskritischen Funktionen in Windows10 (Version 1607, 64 Bit) und den entsprechenden Härtungsempfehlungen. Ziel soll sein, zukünftig verlässliche Aussagen zum sicheren Einsatz von Windows10 machen […]
Patchen Sie Ihre Drucker?
Faxgeräte als Angriffspunkt In vielen Unternehmen werden immer noch Faxgeräte, häufig als Multifunktionsgeräte, betrieben. Kaum jemand verschwendet noch einen Gedanken an diese Systeme und ausgerechnet über Fax gibt es einen Angriff und einen Weg in das interne Netz. Die Forscher von Checkpoint haben im letzten Jahr festgestellt, dass ein Angreifer lediglich eine Faxnummer benötigt, um […]
Hackerangriff im Gesundheitssektor
Wie bereits durch verschiedene Nachrichtendienste mitgeteilt, wurden am zweiten Wochenende im Juli mehrere Einrichtungen der DRK-Trägergesellschaft Süd-West Opfer eines Hackerangriffs. Im Rahmen des Angriffs wurden Daten und Netzwerke der Gesellschaft verschlüsselt. Hiervon betroffen waren neben Altenpflegeeinrichtungen auch mehrere Krankenhäuser. Die Versorgung der Patienten könne weiterhin gewährleistet werden, allerdings sei, beispielsweise die Patientenaufnahmen kurzfristig auf die […]
Lebensversicherung des Unternehmens: Das Backup
Erpressungstrojaner und ihre Abwehr Vorige Woche berichteten „Stern“ und „Hamburger Abendblatt“: Hamburgs führender Juwelier sei Opfer eines Erpressungstrojaners geworden. Es soll ein Lösegeld in Millionenhöhe gezahlt worden sein. Das Unternehmen verkauft viele Schweizer Marken, z.B. Rolex, und hat über 30 Filialen. Zur Abwehr der Risiken durch Erpressungstrojaner sollten viele Maßnahmen getroffen werden. Es fängt damit […]
OWASP Internet of Things Project: Die 10 häufigsten Schwachstellen im Internet of Things
Das OWASP-Projekt ist vor allem bekannt für seine regelmäßig aktualisierten Top Ten der häufigsten Schwachstellen in Webapplikationen. Mittlerweile gibt es jedoch auch ein Team, das sich mit der Zusammenstellung einer Liste der häufigsten Schwachstellen im Internet of Things (IoT) beschäftigt. Von Glühbirnen, über die Hausautomatisierung bis hin zu Connected Cars haben diese smarten Produkte eins […]
Was entspricht dem Stand der Technik?
Diese Frage muss sich jeder stellen, der den Anforderungen der Datenschutzgrundverordnung (DSGVO) nachkommen will. Ständig ist in der DSGVO vom „Stand der Technik“ die Rede. So bereits in den Erwägungsgründen, wenn es beispielsweise um den Schutz personenbezogener Daten bei deren Verarbeitung geht (Erwägungsgrund 78) oder um Verschlüsselung (Erwägungsgrund 83) oder um die Datenschutz-Folgenabschätzung (Erwägungsgrund 91) […]
Geschichte der Quellen
Wie wir im Artikel „Durchblick im Dschungel von Verschlüsselung und Schlüssellängen – was ist der Stand der Technik?“ vom 18.12.2017 beschrieben haben, bietet die Seite keylength.com eine recht aktuelle Übersicht über Schlüssellängen. Ein etwas tieferer Blick in die Quellenangaben der Seite enthüllt zum einen das Kürzel „ECRYPT“ und zum anderen die Autoren Lenstra und Verheul. […]
Nach dem Firefox nun auch der Flash Player von Adobe – Kritische Zero Day Lücke
Jede Desktoplösung ist von dieser Schwachstelle betroffen, ein Update ist aber in Sicht: „Adobe will address this vulnerability in a release planned for the week of February 5.“ [1] Im Vergleich zur Firefox Lücke muss der Anwender hier selber „aktiv“ werden, damit er erfolgreich angegriffen werden kann. Dem Angriff geht eine Übertragung eines Office-Dokumentes voraus, […]
Cyber-Risk-Versicherung – ja oder nein?
Das Thema Cyber-Risk-Versicherungen ist, anders als im amerikanischen Raum, im deutschen Unternehmensumfeld noch nicht sehr weit verbreitet. Mit der zunehmenden Internetkriminalität reagieren aber Versicherungsgesellschaften darauf und bieten entsprechende Versicherungsmodelle an oder entwickeln diese aktuell, da diesbezüglich ein neuer Geschäftszweig für Versicherungen entstanden ist. Allgemein gesprochen ist es wie mit anderen Versicherungen auch, „- Kann, muss […]
IT-Sicherheit und das „Internet der Dinge“
Immer mehr Geräte werden über das so genannte „Internet der Dinge“ (Internet of Things, kurz IoT) vernetzt. Die Aspekte der IT-Sicherheit werden dabei jedoch häufig nicht im erforderlichen Umfang berücksichtigt, wie zwei Distributed-Denial-of-Service (DDoS) Angriffe von bisher nie erreichten Ausmaßen gezeigt haben (s.u.). Zur Erläuterung: Bei einer DDoS Attacke wird das Angriffsziel von einer großen […]
Cybersecurity – Die datenschutz nord auf dem 3. Deutschen IT-Rechtstag
Auch in diesem Jahr waren wir auf dem Deutschen IT-Rechtstag aktiv. Im letzten Jahr hat Sven Venzke-Caprarese zum Thema Google Universal Analytics sowie ibeacon gesprochen. In diesem Jahr durften wir zum Thema Cybersecurity – Technische Voraussetzungen der „Maßnahme“ nach § 13 Abs. 7 TMG sprechen. Hierzu hatten wir bereits im Blog berichtet. Neben dem zum […]