Im Blog beschäftigen wir uns in dieser Woche mit Datenpannen und der folgende Beitrag beleuchtet das Thema aus der Sicht der Informationssicherheit. Unternehmen werden täglich viele personenbezogene Informationen anvertraut: Adressen, persönliche Angaben und Finanzdaten werden übermittelt, in dem Vertrauen darauf, dass diese gut geschützt und sicher aufgehoben sind. Nun gibt es auf der anderen, „dunklen“ […]
Penetrationstest
Was ist ein Penetrationstest?
Das etwas sperrige Wort Penetrationstest (abgekürzt als Pentest) bezeichnet die legitimierte Überprüfung der Sicherheit eines IT-Systems aus der Perspektive eines Angreifers (umgangssprachlich oft als Hacker bezeichnet). Bei einem solchen Test werden ähnliche oder sogar die gleichen Methoden und Tools eingesetzt, die sich auch Hacker zunutze machen. Ein Penetrationstest stellt dabei immer nur eine Momentaufnahme dar. […]
OWASP Top 10 – A1 – Injection
In diesem Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigen wir uns mit Injections – also der Einschleusung von Schadcode. Injection-Sicherheitslücken nutzen eine ungesicherte Verarbeitung von Nutzereingaben aus, z. B. in Eingabefeldern für Namen und Adressen. Statt die vorgesehenen Daten einzugeben, kann ein Angreifer z. B. Programmcode oder […]
OWASP Top Ten: A8 – Cross-Site-Request-Forgery
In diesem Beitrag aus unserer OWASP Top Ten Reihe, welche die 10 größten Sicherheitsrisiken für Webapplikationen sowie entsprechende Gegenmaßnahmen näher erläutert, geht es um sogenannte Cross-Site-Request-Forgery-Angriffe (kurz CSRF). Ein Cross-Site-Request-Forgery (zu deutsch seitenübergreifende Aufrufmanipulation) führt eine – meist sicherheitskritische – Funktion einer Webanwendung im Kontext eines gerade angemeldeten Nutzers aus. Sofern wir CSRF-Schwachstellen im Rahmen […]
Über 90% aller Datendiebstähle im Jahr 2014 waren vermeidbar
Die Online Trust Alliance (OTA), eine gemeinnützige Organisation mit dem Ziel die Vertrauenswürdigkeit der Online-Welt zu verbessern, ist der Meinung, dass über 90% der Datendiebstähle in der ersten Hälfte des letzten Jahres auf einfache Weise hätten verhindert werden können. Gleichzeitig hat die OTA entsprechende Leitfäden zur Datensicherheit und zum Vorgehen bei Risiko-Analysen bereitgestellt. Statistik zeigt […]
Zertifizierte Unsicherheit
Viele e-Commerce-Seiten verwenden Siegel von bekannten Unternehmen, wie z. B. Symantec oder McAffee, um ihre Kunden von der Sicherheit der Webseite zu überzeugen. Eine Forschergruppe hat nun die Ergebnisse ihrer Studie über die Aussagekraft der Zertifizierungen und die Sicherheit der Webseiten veröffentlicht. Zertifikat oder kein Zertifikat Für diesen Test haben die Forscher zehn Anbieter von […]
Anleitung für Hacker
Zunehmende Attacken aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen und Behörden unverzichtbar gemacht. Insbesondere personenbezogene Daten müssen vor diesen Attacken geschützt werden. Dies folgt nicht nur aus den datenschutzrechtlichen Vorschriften des § 9 Bundesdatenschutzgesetz sondern ist auch erforderlich, um teilweise immense Imageverlusten zu verhindern. Dennoch führen unzureichend administrierte Server, […]