- Anzeigen -


Sie sind hier: Home » Fachbeiträge

Fachbeiträge


Im Überblick

Administration

  • Was ist Certificate Transparency?

    Möglicherweise haben Sie schon vor einigen Jahren von Certificate Transparency (CT) gehört, als Google die Anforderung für alle Extended Validation (EV) SSL/TLS-Zertifikate ankündigte, die nach dem 1. Januar 2015 ausgestellt worden sind. Seitdem hat Google die Anforderung auf alle Arten von SSL-Zertifikaten ausgedehnt und zuletzt eine Frist bis zum April 2018 gesetzt. Zertifikaten, die nicht CT-qualifiziert sind und die nach diesem Datum ausgestellt werden, wird in Chrome nicht vertraut. GlobalSign hat im Hintergrund bereits daran gearbeitet, dass alle Zertifikate mit CT ausgestattet werden - Extended Validation (EV) seit 2015, Domain Validated (DV) seit August 2016 und Organisation Validated (OV) ab Oktober 2017 - GlobalSign-Kunden sind damit für den Fristablauf seitens Google gerüstet.


Im Überblick

Administration

  • Wo ist der Authentifizierungsprozess fehlbar?

    Ich habe den größten Teil meines beruflichen Lebens damit verbracht Authentifizierungslösungen zu programmieren, zu implementieren, weiterzuentwickeln und zu patentieren. Daher nehme ich mir das Recht heraus zu sagen, letzten Endes funktioniert Authentifizierung einfach nicht. Mit "funktionieren" im engeren Sinne meine ich, dass es zu 100Prozent garantiert ist, dass es sich tatsächlich um eine vertrauenswürdige Identität handelt, wenn eine Benutzeridentität von einer Authentifizierungslösung an den betreffenden Partner weitergeleitet wird. Und genau das lässt sich nicht garantieren. Es lässt sich belegen, dass und wie der eigentliche Validierungsprozess innerhalb der Authentisierung funktioniert. Das bedeutet, wir verifizieren mathematisch und empirisch, dass die von einem Authentifizierungsmechanismus zusammengestellte Entität mit den Werten übereinstimmt, die in der Datenbank des akzeptierenden Dritten gespeichert sind, also "matched". Das kann ein Passwort sein, ein Einmal-Passwort, OTP, X.509-basierte Verschlüsselung, biometrische Merkmale, mobile Push-Werte oder eine Gesichtserkennung. In einem Satz: Der Authentisierungsprozess lässt sich validieren und damit auch, dass das technische System korrekt arbeitet.


- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Inhalte


14.02.17 - Neue Mirai-Angriffe – Aber: Es geht noch immer um Passwörter

10.02.17 - Warum es nicht immer russische Hacker sind – Insider, die unterschätzte Gefahr

09.02.17 - Der Wechsel von reaktiven hin zu proaktiven Lösungen ist auch in der Cybersicherheit unabdingbar

08.02.17 - Neue Anforderungen für Code-Signing-Zertifikate treten in Kraft

01.02.17 - Juristischer Spickzettel in Sachen Ransomware

27.01.17 - Die fünf wichtigsten Erkenntnisse für CEOs aus den jüngsten Cyberangriffen

10.01.17 - Das Mirai-Botnetz oder die Rache des IoT

23.12.16 - Cybercrime im 21. Jahrhundert: Reine Verteidigung hinkt hinterher

22.12.16 - Virtuelle SANs bietet Hochverfügbarkeit für weit verzweigte Unternehmen und bieten die Grundvoraussetzung für industrielles IoT

22.12.16 - Die fünf wichtigsten Erkenntnisse für CEOs aus den jüngsten Cyberangriffen

01.12.16 - Hütchenspiel mit Softwareschwachstellen: Hersteller müssen Open Source Code und Software von Drittherstellern genau und lückenlos nachverfolgen, bevor sie diese in ihre Produkte einbinden

11.11.16 - SDN und NFV: Fluch oder Segen in Sachen Cybersicherheit?

02.11.16 - "Biometrischer Authentifizierung"- was genau versteht man darunter?

18.10.16 - Was ist ein IoT-Gateway und wie lässt er sich am besten absichern?

06.10.16 - Auch mit den fortschrittlichsten Speichersystemen können die meisten IT-Manager keine Antwort über den RTO des von ihnen verwalteten Systems geben

04.10.16 - Fünf gute Gründe für verantwortungsvolle Unternehmer, auf gratis Wi-Fi zu verzichten

04.10.16 - Verschlüsselungs-Malware: Zahlen – oder lieber in den Urlaub fahren?

10.03.17 - Big Data-Security durch automatisierte Datenanalysen

16.03.17 - Tipps zum sicheren E-Mailen, Online-Kaufen und für die Facebook-Nutzung

27.03.17 - Was die EU-Datenschutz-Grundverordnung mit Zugriffkontrolle zu tun hat

27.03.17 - Dr. Ann Cavoukian zu Privacy by Design, Privacy by Default und der 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung

31.03.17 - S/MIME: Eine effektive Waffe gegen verschiedene Arten von Phishing-Angriffen

05.04.17 - Das Internet der Dinge (IOT) hat eine breite Palette unterschiedlicher Sicherheitsrisiken im Gepäck

13.04.17 - Bei Cyberattacken geht es heute vor allem ums Geld

13.04.17 - Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen

25.04.17 - Ransomware am Endpoint vorausschauend erkennen

10.05.17 - Google erfreut sich auch bei Hackern großer Beliebtheit

23.06.17 - Ein Jahr vor der DSGVO: Wie Unternehmen den EU-Datenschutz umsetzen

31.07.17 - HIPAA und Best Practices für mehr Cybersicherheit im Gesundheitswesen

08.08.17 - Mit Cyber Intelligence gegen Bedrohungen

09.08.17 - Wie sich mit Failover-Lösungen Netzausfälle im Handel verhindern lassen

14.08.17 - Angriffspläne von Hackern kreuzen - Die CyberKill Chain

25.08.17 - Ransomware: Die Seuche des 21. Jahrhunderts

13.10.17 - Datenschutzrechtliche Auflagen verlangen die strikte Trennung von privaten und Unternehmensdaten auf den Endgeräten der Arbeitnehmer

30.10.17 - Der Hacker fährt mit – die Zukunft autonomen Fahrens

02.11.17 - Machen wir uns nichts vor – Authentifizierung reicht einfach nicht
06.11.17 - Was versteht man unter Certificate Transparency oder der CT-Richtlinie?

Meldungen: Fachbeiträge

Recht und Kosten

  • Rohde & Schwarz Cybersecurity

    Cyber-Attacken nehmen zu, werden raffinierter und kosten Unternehmen inzwischen Milliarden. Herkömmliche Sicherheitskonzepte sind zunehmend machtlos. Die Digitalisierung vieler Branchen sowie die Themen Internet of Things und Industrie 4.0 verschärfen die Notwendigkeit nach wirksamen und praktikablen Sicherheitslösungen. Wer sich schützen will muss umdenken. 51 Milliarden Euro - so hoch ist laut Bitkom der Schaden, der deutschen Unternehmen durch Plagiate und den Verlust der Wettbewerbsfähigkeit in Folge von Cyber-Angriffen in einem einzigen Jahr entstanden ist. Cybercrime ist inzwischen ein lukratives Geschäftsmodell und in seiner finanziellen Dimension vergleichbar mit dem weltweiten Drogenhandel. Die Zahl der Angriffe steigt stetig - eine manuelle Bewältigung ist unmöglich. Volkswagen beispielsweise beziffert die Cyber-Attacken auf sein IT-Netz mit rund 6.000 pro Tag.

  • Code Signing-Attacken verhindern

    Das Certification Authority Security Council (CASC) hat seine neuen Minimum Requirements für öffentlich vertrauenswürdige Code- Signing-Zertifikate offiziell bekannt gegeben. Zum ersten Mal sind Zertifizierungsstellen (CAs) damit an eine Reihe von standardisierten Ausstellungs- und Managementrichtlinien gebunden, die speziell für das Code Signing entwickelt wurden. Die Requirements gehen ausführlich auf CA-Richtlinien ein und behandeln Themen wie Zertifikatinhalte, Widerruf- und Statusprüfungen, Verifizierungspraktiken und vieles mehr. Zertifizierungsstellen haben hinter den Kulissen schon recht eifrig daran gearbeitet das Anforderungsprofil umzusetzen. Was aber heißt das für die Benutzer? Wir wollen einen Blick darauf werfen, welche Anforderungen die User betreffen, die überhaupt Zertifikate zum Signieren von Code benutzen.

  • Ransomware-Attacken und Anzeigepflicht

    In vielerlei Hinsicht unterscheiden sich die Reaktionen auf eine Ransomware-Attacke nicht grundlegend von dem, was grundsätzlich im Falle eines Datenschutzvorfalls zu tun ist. Kurzgefasst: jedes Unternehmen sollte einen Plan haben wie die Malware zu analysieren und zu isolieren ist, um den Schaden zu begrenzen, laufende Geschäftsprozesse müssen gegebenenfalls wiederhergestellt und die entsprechenden Aufsichts- und Strafverfolgungsbehörden in Kenntnis gesetzt werden. Dabei sollten die verschiedenen Abteilungen eines Unternehmens Hand in Hand arbeiten. Ist eine Datenschutzverletzung entdeckt worden, sind insbesondere die Firmenjuristen, die IT-Abteilung und die Unternehmenskommunikation gefragt. Gerade den juristisch und technisch Verantwortlichen kommt eine Schlüsselrolle zu, wenn es gilt den Schaden zu begrenzen und die vorgeschriebenen Maßnahmen zu ergreifen. Soweit so gut.

  • Bewusstsein für Cybersicherheitsfragen entwickeln

    Was haben das ukrainische Stromnetz, die Zentralbank von Bangladesch und die Welt-Antidoping-Agentur gemeinsam? Alle wurden in den vergangenen Monaten Opferhochkarätiger Cyberangriffe, die finanzielle Folgen wie auch Imageprobleme auslösten. Darüber hinaus kehrten 2016ältere Angriffsarten zurück, um Unternehmen erneut heimzusuchen: sowohl LinkedIn als auch Yahoo! erleben die Auswirkungen historischer Diebstähle Hunderter Millionen von Nutzernamen, Passwörtern und mehr. Wieder hatten es die Cyberkriminellen auf die Nutzerdaten abgesehen und wieder tauchten Datensätze auf einschlägig bekannten Plattformen im Darkweb auf.

  • Mit IoT-Geräten im Consumer-Umfeld

    Anfang 2016 haben die Kollegen von Varonis mit Penetrationstester Ken Munro ein Gespräch über die Sicherheit von IoT-Geräten geführt: Funkgesteuerte Türklingeln oder Kaffeemaschinen und all die zahlreichen Haushaltsgeräte mit Internetanbindung. Seine Antwort auf die Frage nach grundlegenden Schutzmechanismen dieser Geräte: "Dass Hersteller auch nur einen Gedanken an Hacker-Angriffe verschwendet haben, halte ich für eine gewagte These. "Privacy by Design ist ein Konzept, das vielen Herstellern von IoT-Geräten offensichtlich wenig geläufig ist.

« 1 2 3 4 5 6 7 8 9 10 11 »