25.09.14 - IT Security-Telegramm
Die entscheidende Schwachstelle bei Phishing-Angriffen, um an Unternehmensdaten zu kommen, bleiben die Mitarbeiter
Es ist immens wichtig, die jeweils aktuellen Hash-Algorithmen bei SSL-Zertifikaten einzusetzen
25.09.14 - Software-definierte Netzwerke ein Eldorado für Cyber-Kriminelle?
Laut dem Marktforschungsunternehmen Gartner werden SDN in den nächsten Jahren verstärkt eingesetzt. Der neue Ansatz verspricht, die Virtualisierung von Netzwerken zu vereinfachen. Außerdem lassen sich IT-Infrastrukturen damit schneller an neue Anforderungen anpassen. Allerdings müssen SDN besonders sorgfältig abgesichert werden. Dazu sind Sicherheitsmaßnahmen nötig, die auf einer Zusammenarbeit von SDN-Anbietern und IT-Security-Spezialisten basieren. Denn die SDN-Technologien sind aus verschiedenen Gründen verwundbar: Das zu übertragende Datenvolumen wächst schnell. Gleichzeitig besteht das Problem, dass die Interoperabilität der Administrationskonsolen nicht immer gewährleistet ist. Darüber hinaus sind diese häufig unabhängig von und nicht kompatibel mit bestimmten Sicherheitslösungen. Ein weitere Schwachpunkt: Bei einigen SDN-Protokollen sind IT-Sicherheitsmechanismen nur optional. All dies sind neuralgische Punkte, an denen Hacker ansetzen können.
Daher sieht Greg Young eine der Hauptaufgaben für das Verbessern der Sicherheit von SDN darin, das Monitoring der Netzwerke zu verbessern, um Attacken und unbeabsichtigte, sicherheitsrelevante Aktivitäten schnell erkennen und darauf reagieren zu können. Der SDN-Controller als zentrale Management-Instanz könnte in dieser Konstellation sehr nützlich für die Absicherung der Netzwerke sein.
25.09.14 - Kobil Systems kann Joachim Hechler als CTO gewinnen
Joachim Hechler, langjähriger Executive Vice President und Mitglied des Executive Councils der SAP, hat Anfang September seine neue Aufgabe als Chief Technology Officer (CTO) der Kobil Systems angetreten. "Wir freuen uns außerordentlich, mit Herrn Hechler einen so renommierten und erfahrenen Manager für die Aufgabe gefunden zu haben", erklärt Ismet Koyun, Gründer und CEO des international tätigen IT-Sicherheitsspezialisten mit Sitz in Worms.
Als CTO wird Hechler die Entwicklung neuer Sicherheitsprodukte und -lösungen anstoßen und verantwortlich begleiten, die branchenübergreifend und international einsetzbar sind. Er führt ein Team von 40 Entwicklern, die sich auf das Security-Thema konzentrieren. "Ich kenne das Unternehmen jetzt bereits seit einigen Jahren und bin beeindruckt von seinen Sicherheitslösungen und seiner rasanten Entwicklung", sagt Hechler. "Mit meinem Engagement möchte ich Kobils Produkte und Lösungen vor allem im mobilen Bereich technisch weiter vorantreiben und die weitere Internationalisierung des Unternehmens unterstützen."
25.09.14 - "McAfee Threats Report": 80 Prozent aller geschäftlichen Anwender erkennen Phishing-Angriffe nicht
Laut dem "McAfee Labs Threats Report August 2014" sind Phishing-Angriffe für Cyber-Kriminelle ungeachtet zahlreicher Warnungen und kontinuierlicher Aufklärungsaktionen immer noch der einfachste und lukrativste Weg, um an Unternehmensdaten zu kommen. Die entscheidende Schwachstelle bleiben die Mitarbeiter, wie auch ein McAfee Phishing-Quiz gezeigt hat, das die Ergebnisse des Reports untermauert. Auch die Heartbleed-Lücke macht der Wirtschaft laut Report immer noch zu schaffen: Auf dem Schwarzmarkt werden aktuell Daten von Webseiten verkauft, die ihre Heartbleed-Lücke noch nicht geschlossen haben.
Einem McAfee-Online-Phishing-Quiz zufolge sind 80 Prozent der professionellen Anwender in Deutschland nicht in der Lage, unterschiedliche Phishing-Angriffe zu erkennen. Besonders brisant ist die Situation in jenen Abteilungen, die mit besonders sensiblen Unternehmensdaten arbeiten: Buchhaltung und Finanzen. Von Teilnehmern, die sich dieser Gruppe zuordnen, lagen alle Teilnehmer bei mindestens einer Phishing-Mail mit ihrer Einschätzung daneben und hätten so im Ernstfall ungewollt sensible Daten preisgegeben. Angesichts des anhaltenden Trends zu Cyber-Angriffen ein beunruhigendes Ergebnis.
25.09.14 - Studie: Deutsche haben Angst vor Datendiebstahl und Betrug
Intelligente Heimgeräte wie Überwachungs- und Automatisierungssysteme oder Küchengeräte: Die deutschen Nutzer verbinden diese nur selten mit dem Internet. Selbst bei Smart TVs liegt dieser Anteil nur bei 41 Prozent. Diese überraschende Erkenntnis hat eine aktuelle repräsentative Studie von TNS Infratest im Auftrag von Bitdefender ergeben. Der Hauptgrund dafür ist die Sorge vor einem Betrug durch Diebstahl von privaten Informationen.
Während bereits die Hälfte der Deutschen ein Smartphone besitzt und etwa jeder Vierte ein Tablet, werden smarte Heimgeräte derzeit erst von 19 Prozent genutzt. Jeder Zehnte hat einen Smart TV. Generell gilt: Je jünger die Befragten sind, desto eher verwenden sie smarte Geräte. 73 Prozent fürchten jedoch Cyber-Attacken, die private Daten zusammenführen, demgegenüber nur vier Prozent den Kontrollverlust über die Systeme. Entsprechend werden lediglich 14 Prozent der Überwachungssysteme, 6 Prozent der Automatisierungssysteme und gar nur 1 Prozent der smarten Küchengeräte tatsächlich mit dem Internet verbunden.
25.09.14 - Die fünf besten Ausreden, um nichts für die Computersicherheit tun zu müssen und wie man sie entkräftet
Seien wir mal ehrlich: Viele Computer und Webseiten sind schneller und einfacher zu nutzen, wenn nichts für die Sicherheit getan wird. Das spart schon mal mehrere Minuten am Tag! Anhänger dieser Vorgehensweise sind natürlich auch um Ausreden nicht verlegen und ich kann aus eigener Erfahrung ein Lied davon singen, wie schwer es ist, jemanden vom Gegenteil zu überzeugen. Deshalb hier die Top-5-Ausreden, die ich häufig und nicht nur von Privatpersonen, sondern auch von kleinen Unternehmen zu hören bekomme. Aber IT-Sicherheit ist kein Nice-to-have sondern ein Must-have.
25.09.14 - Google will vor Seiten warnen, die SHA-1 verwenden
Es ist immens wichtig, die jeweils aktuellen Hash-Algorithmen bei SSL-Zertifikaten einzusetzen - ganz besonders im Hinblick auf den Übergang von SHA-1 zu SHA-256. Google veröffentlichte vor kurzem eine neue Richtlinie, die besagt, dass bei HTTPS-Sites, die noch ein SHA-1-Zertifikat im User-Interface nutzen, der Browser zukünftig eine Warnung anzeigt.
Auch wenn die genauen Daten dafür noch nicht feststehen, ist das der richtige Zeitpunkt, um aktiv zu werden. Grundsätzlich ist die Richtlinie ein positiv zu bewertender Schritt, hin zu einem höheren Sicherheitslevel. Aber was genau bedeutet das konkret für Sie?
Das SHA-1-Verfahren wird seit längerem schon als nicht mehr ausreichend sicher betrachtet und im Laufe der nächsten Jahre abgelöst. Um einen Anreiz zu schaffen modernere Hash-Verfahren einzusetzen, hat Google bereits sein User-Interface bei Chrome 39 entsprechend verändert: Benutzer werden jetzt aktiv darauf hingewiesen, dass die betreffende Seite noch SHA-1 einsetzt.
25.09.14 - Wearable Technology: Erschreckend, dass gut die Hälfte der getesteten Apps über keinerlei Datenschutzerklärung verfügen
Im Englischen "Wearable Technology" oder "Quantified Self" genannt, heißen die tragbaren Tech-Gadgets hierzulande eher Fitnessarmband oder Smart Watch. Sie messen nicht nur den Puls, sondern auch Kalorienverbrauch, Schlafgewohnheiten oder Bewegung. Außerdem geben sie Aufschluss über den Standort des Trägers. Allein in Deutschland wurden in der ersten Jahreshälfte 2014 bereits sechs Millionen Smart Watches und Fitnessarmbänder verkauft, so das Ergebnis einer Studie des Analystenhauses Canalys ein Wachstum von knapp 700 Prozent innerhalb eines einzigen Jahres. ABI Research prognostiziert, dass bis 2018 rund 485 Millionen Menschen weltweit "Wearables" tragen werden.
Symantec hat kürzlich eine Reihe von Fitness-Armbändern und Apps getestet und ein entsprechendes White Paper veröffentlicht. Das Ergebnis: Fast alle getesteten Apps und Fitnessarmbänder haben Sicherheitslücken! Eine von fünf Apps überträgt Benutzerinformationen sogar ohne jegliche Verschlüsselung. Die Unternehmen selbst nutzen diese persönlichen Daten oftmals zu Marketingzwecken.
25.09.14 - "Nuclear Exploit Kit" nutzt Buffer Overflow in Adobe Flash Player
Es ist noch gar nicht so lange her, dass der "CVE-2014-0515 Buffer Overflow" in Adobes Flash Player im April dieses Jahres entdeckt worden ist. Im aktuellen Blogpost haben die Analysten des ThreatLabZ-Teams eine der jüngsten Attacken des weit verbreiteten Nuclear Exploit Kits analysiert. Sie macht sich genau diesen CVE-2014-0515-Pufferüberlauf zunutze.
Laut Zscaler rangiert das Nuclear Pack unter den Top 5 der meist genutzten Exploit-Kits seit dem Niedergang des populären Blackhole-Exploit-Kits. Gerade in den letzten drei Monaten haben die Security-Analysten des ThreatLabZ-Teams eine steigende Zahl bereits kompromittierter Seiten beobachtet, aber auch Scam-Pages, die direkt zum Nuclear Exploit Kit führen. Darunter finden sich einige hochfrequentierte Seiten sowie eine Reihe gefälschter Umfrage-Sites, die auf Facebook.com aufgetaucht sind.
####################
Bestellen Sie hier Ihren persönlichen Newsletter!
Sie wollen täglich informiert sein, haben aber keine Zeit, jeden Morgen durchs Internet zu surfen?
Dann lassen Sie sich durch unseren kostenlosen E-Mail-Service topaktuelle News aus der IT-Securit, Safety- und High Availability-Branche nahebringen.
Das Redaktionsteam von IT SecCity.de hat die wichtigsten tagesaktuellen Meldungen für Sie zusammengetragen - ein Klick auf die entsprechenden Links und Sie befinden sich an den gewünschten Plätzen auf IT SecCity.de und den Schwester-Magazinen SaaS-Magazin.de und Compliance-Magazin.de - einfacher geht's wirklich nicht!
Klicken Sie hier, um den kostenlosen Newsletter-Service zu abonnieren.
Sie erhalten dann in wenigen Minuten eine E-Mail vom System. Bitte klicken Sie auf den Link in der E-Mail und schicken Sie uns eine Bestätigung Ihrer Bestellung.
Der Newsletter wird im html-Format versendet.
Bitte denken Sie daran, den Newsletter bei Ihrem IT-Administrator auf die White-List setzen zu lassen.
####################
Meldungen vom Vortag
24.09.14 - Schutz von Unternehmen vor bisher unbekannten Cyberangriffen: Frank Kölmel neuer Vice President Central & Eastern Europe bei FireEye
24.09.14 - Norwegische Polizei entscheidet sich für Biometrie-Lösung von Steria
24.09.14 - Business und IT entwickeln sich zu Verbündeten auf dem Weg zur Social IDs und Bring Your Own Identity (BYOID)
24.09.14 - Cyberpsychologie-Studie zeigt: Anwender neigen dazu, ihre Computer und Smartphones zu vermenschlichen
24.09.14 - it-sa 2014: Enterprise-Anbieterin für sichere Remote-Support-Lösungen schützt gegen Angriffe durch die Hintertür
24.09.14 - Zertificon Solution präsentiert "Organizational & Personal End2End"-Verschlüsselung live auf der it-sa 2014
24.09.14 - Fraunhofer SIT veröffentlicht Positionspapier mit Lösungsansätzen zu IT-Sicherheit für die Industrie 4.0
24.09.14 - Glossar des VDI GMA Fachausschuss 7.21 "Industrie 4.0"