Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

December 04 2017

3we

BSI stellt modernisierten Grundschutz vor

Vier Jahre dauerte das Modernisierungsprojekt für den IT-Grundschutz, den das BSI auf der IT-Security-Messe it-sa in Nürnberg in seinen wesentlichen Elementen vorgestellt hat.

November 19 2017

3we

IP-Kameras: Wie man ein Botnetz durch die Firewall baut

Wie könnte ein Botnetz auch IoT-Kameras erreichen, die nicht direkt am Internet hängen, sondern hinter einer Firewall oder einem Router? Sicherheitslücken in Clouddiensten ließen solche Angriffe zu - sagen Hacker auf der Deepsec.

November 09 2017

3we

Studie: DevOps-Teams gehen häufig leichtfertig mit Zugangsdaten um

In vielen Unternehmen mangelt es den DevOps-Abteilungen an Regeln für den sicheren Umgang mit privilegierten Accounts und Zugangsdaten – vielfach fehlt eine übergreifende Sicherheitsstrategie, wie CyberArks „Advanced Threat Landscape“-Report zeigt.

November 06 2017

3we

Certificate Authority: Comodo gehört jetzt einem Staatstrojanerbesitzer

Es ist schon die zweite Zertifizierungsstelle, die in diesem Jahr verkauft wird: Comodo stößt das Geschäft mit Zertifikaten an eine Investmentgesellschaft ab. Diese hat unter anderem auch Hersteller von Staatstrojanern im Portfolio.

3we
3we

E-Mail-Verschlüsselung: Pflicht für Apotheker, Ärzte und Rechtsanwälte

Der Sächsische Landesdatenschutzbeauftragte Andreas Schurig hat in seinem aktuellen Tätigkeitsbericht auf die Pflicht zur Verschlüsselung bei E-Mails von Berufsgeheimnisträgern hingewiesen, wenn diese sensible personenbezogene Daten enthalten.

Unverschlüsselte E-Mails rechtswidrig

Laut Schurig ist insbesondere das Versenden von Gesundheitsdaten per unverschlüsselter E-Mail rechtlich unzulässig, da es sich hierbei um besondere Arten von personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG handelt. Dies würde nicht den Anforderungen der Nr. 4 der Anlage zu § 9 BDSG entsprechen. Danach muss gewährleistet sein, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Schurig begründet dies mit der Tatsache, dass eine unverschlüsselte E-Mail von allen an der Übertragung beteiligten Stellen problemlos mitgelesen werden kann und nicht dem aktuellen Stand der Technik entsprechen.

...[weiter]...

October 27 2017

3we

Equifax was warned

Lorenzo Franceschi-Bicchierai, reporting for Motherboard:

Months before its catastrophic data breach, a security researcher warned Equifax that it was vulnerable to the kind of attack that later compromised the personal data of more than 145 million Americans, Motherboard has learned. Six months after the researcher first notified the company about the vulnerability, Equifax patched it -- but only after the massive breach that made headlines had already taken place, according to Equifax's own timeline. This revelation opens the possibility that more than one group of hackers broke into the company. And, more importantly, it raises new questions about Equifax's own security practices, and whether the company took the right precautions and heeded warnings of serious vulnerabilities before its disastrous hack. Late last year, a security researcher started looking into some of the servers and websites that Equifax had on the internet. In just a few hours, after scanning the company's public-facing infrastructure, the researcher couldn't believe what they had found. One particular website allowed them to access the personal data of every American, including social security numbers, full names, birthdates, and city and state of residence, the researcher told Motherboard.
3we

"HomeHack"-Angriff macht aus smarten Staubsaugern Spionage-Tools

Friedliche Haushaltshelfer im Smart Home können unter bestimmten Voraussetzungen zu fiesen Spionen werden: Ein Proof-of-Concept-Angriff auf eine Steuerungs-App für smarte LG-Geräte offenbarte gravierende Sicherheitsprobleme. Updates stehen bereit.

3we

IoT-Sicherheitskonferenz: Unsichere Smart-Meter, Mirai und seine Klone und die Genfer Konvention

Viele interessante Vorträge bot die erste Sicherheitskonferenz für das Internet der Dinge der ENISA und von Europol. Industrie, Sicherheitsexperten, aber auch Vertreter der Politik und Behörden boten unterschiedliche Blickwinkel auf das drängende Thema.

3we

Dell Lost Control of Key Customer Support Domain for a Month in 2017

Brian Krebs reports:

A web site set up by PC maker Dell to help customers recover from malicious software and other computer maladies may have been hijacked for a few weeks this summer by people who specialize in deploying said malware, KrebsOnSecurity has learned. There is a program installed on virtually all Dell computers called "Dell Backup and Recovery Application." It's designed to help customers restore their data and computers to their pristine, factory default state should a problem occur with the device. That backup and recovery program periodically checks a rather catchy domain name -- DellBackupandRecoveryCloudStorage.com -- which until recently was central to PC maker Dell's customer data backup, recovery and cloud storage solutions. Sometime this summer, DellBackupandRecoveryCloudStorage.com was suddenly snatched away from a longtime Dell contractor for a month and exposed to some questionable content. More worryingly, there are signs the domain may have been pushing malware before Dell's contractor regained control over it.
3we

29.11.2017: Cloud Security Expo in Frankfurt

"Die Cloud Security Expo Frankfurt bringt auch in diesem Jahr führende Entscheider mit den innovativsten, spannendsten Anbietern von Cloud Computing Lösungen zusammen und bietet die Gelegenheit, voneinander zu lernen und Geschäfte abzuschließen.

Im letzten Jahr fand die Cloud Security Expo zum ersten Mal statt und bot gemeinsam mit den gleichzeitig stattfindenden Schwesterveranstaltungen Cloud Expo Europe und Data Centre World Frankfurt, eine Rekordzahl von 5.000 IT-Führungskräften und den wichtigsten Namen des Cloud Computing Markts, zwei Tage unübertrefflichen Dialogs – angefangen mit dem gegenseitigen Kennenlernen über den Austausch von Erfahrungen bis hin zum Abschluss von Geschäften.

Und genau darum geht es bei der Cloud Security Expo Frankfurt: um das Zusammenbringen von Experten des stark wachsenden, innovativen deutschen Cloud Computing Markts mit den zukunftsorientierten Lösungen, die Sie brauchen."

October 24 2017

3we

DUHK-Angriff: Vermurkster Zufallszahlengenerator mit Zertifizierung

Ein alter Zufallszahlengenerator ist nur dann sicher, wenn ein dafür verwendeter Schlüssel geheimgehalten wird. Doch eine Reihe von Geräten benutzt einfach immer den selben Schlüssel - darunter zehntausende Appliances von Fortinet.

3we

Fahrzeugsicherheit: Wenn das Auto seinen Fahrer erpresst

Die Autokonzerne haben die zentrale Bedeutung des Themas IT-Sicherheit erkannt. Das Szenario einer Ransomware-Attacke zeigt jedoch, wie schwer alle Schwachstellen zu beheben sind.

October 23 2017

3we

Quo vadis IT-Security 2017?

In vielen Unternehmen sind definierte Prozesse zur Durchführung von IT-Sicherheitsüberprüfungen mittlerweile bereits seit Jahren fester Bestandteil der Unternehmenskultur. Hier werden immer wieder und in der Regel durch unabhängige externe Dienstleister unterschiedliche Bereiche der IT-Infrastruktur auf mögliche Schwächen hin analysiert, um eine kontinuierliche Verbesserung der IT-Sicherheit zu unterstützen. Dabei werden sowohl in fortwährenden Audits und Penetrationstests konkrete Schwachstellen entdeckt, als auch das Fachwissen der Mitarbeiter in Workshops und erweitert. IT-Security ist ein Prozess, kein Zustand, wie die Begriffe „Sicherheit“ bzw. „Sicherheitstest“ suggerieren könnten.

Sicherheit als Prozess

So schützt etwa weder eine von Penetrationstestern zu einem bestimmten Zeitpunkt grundsätzlich als „sicher“ erachtete Firewallstruktur noch der konsequente Einsatz an sich vertrauenswürdig einzuschätzender namhafter Hersteller vor Security-Vorfällen.

...[weiter]...

3we

25.01.2018: Fokustag Cyber-Versicherung

"Mit der stetigen Vernetzung und fortschreitenden Digitalisierung im Zusammenhang mit Industrie 4.0 bzw. Internet of Things wächst auch die Gefahr von Cyber-Risiken und Cyber-Kriminalität. Diese führen mittlerweile zu sehr hohen Vermögens-, Sach- und Reputationsschäden. Zwar ist das Angebot an entsprechenden Versicherungslösungen am Markt noch gering, dennoch ist der Bedarf groß, sich gegen das Gefahrenpotential aus dem Netz zu schützen.

Doch wie müssen Cyber-Versicherungen gestaltet sein, um den Bedürfnissen des Marktes zu entsprechen? Und wie können Versicherer die für diese Produkte nötige Risikoprüfungs- und Schadenmanagement-Expertise aufbauen bzw. die hierfür nötigen Prozesse etablieren? Welche Kooperationen bieten sich in diesem Kontext an?

Im Rahmen des Fokustages werden diese und weitere Fragen rund um das Thema 'Cyber-Versicherung' gemeinsam mit Fachexperten und Kollegen anderer Versicherungshäuser diskutiert. Die informative und abwechslungsreiche Veranstaltung bietet viel Zeit für Diskussionen und Gespräche."

...[weiter]...

3we

Managed Security Services: Sicherheit einkaufen

Gerade kleine Firmen haben oft weder Geld noch Know-how für IT-Sicherheit. Hier springen Anbieter von Managed Security Services in die Bresche: Kunden kaufen dort quasi per Modul die benötigten Dienste. Damit es weder teuer noch ein Reinfall wird, sind aber vorher einige Hausaufgaben zu erledigen.

October 14 2017

3we

Adware auf Equifax-Webseite: Unternehmen macht Drittanbieter verantwortlich

Schon wieder macht Equifax mit einem Sicherheitsvorfall von sich reden: Diesmal lieferte die Webseite des Unternehmens Adware aus. Auslöser soll allerdings kein Server-Hack, sondern Drittanbieter-Code gewesen sein.

3we

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken

Mit einer vorgeschlagenen Erweiterung für das kommende TLS 1.3 könnte die Verschlüsselung effektiv gebrochen werden. Internet-, Mobilfunk- und Cloud-Provider wollen dazu aber nicht öffentlich Stellung nehmen. Und die nächste ähnliche Idee steht schon wieder auf der Agenda.

Reposted byv2pxsofiasnitrovent

October 12 2017

3we

IoT-Penetrationstest

Dieser Artikel befasst sich mit Schwachstellen in IT-Netzen, die durch unsichere IoT- Geräte verursacht werden. Er zeigt, wie IoT-Sicherheitstests zur Verbesserung der Anwendungssicherheit speziell im Internet beitragen können. Eine neu entdeckte Sicherheitslücke in einer Waschmaschine etwa erlaubt Zugriff  auf den darauf laufenden Webserver. Das Problem ist dabei weniger die Lücke, als der Umgang des Herstellers damit.

Erschienen in: Datenschutz und Datensicherheit – DuD, Oktober 2017, Band 41, Ausgabe 10, S. 623–627

3we

Moscow Has Turned Kaspersky Antivirus Software Into a Global Spy Tool, Using It To Scan Computers For Secret US Data

WSJ has a major scoop today. From a report:

The Russian government used a popular antivirus software to secretly scan computers around the world for classified U.S. government documents and top-secret information, modifying the program to turn it into an espionage tool (could be paywalled), according to current and former U.S. officials with knowledge of the matter. The software, made by the Moscow-based company Kaspersky Lab, routinely scans files of computers on which it is installed looking for viruses and other malicious software. But in an adjustment to its normal operations that the officials say could only have been made with the company's knowledge, the program searched for terms as broad as "top secret," which may be written on classified government documents, as well as the classified code names of U.S. government programs, these people said. The Wall Street Journal reported last week that Russian hackers used Kaspersky's software in 2015 to target a contractor working for the National Security Agency, who had removed classified materials from his workplace and put them on his home computer, which was running the program. The hackers stole highly classified information on how the NSA conducts espionage and protects against incursions by other countries, said people familiar with the matter. But the use of the Kaspersky program to spy on the U.S. is broader and more pervasive than the operation against that one individual, whose name hasn't been publicly released, current and former officials said.
This link should get you around WSJ's paywall. Also read: Israeli Spies 'Watched Russian Agents Breach Kaspersky Software'
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl