Sie sind hier: Home » IT SecCity-Archiv » IT Security-Telegramm » Jahrgang 2014

05.08.14 - IT Security-Telegramm

Mit der technischen Weiterentwicklung mobiler Geräte wächst auch die Funktionsvielfalt mobiler Malware
Zahlreiche Störfaktoren beeinflussen die Reichweite von WLAN-Netzen sowie die Stabilität der Internetverbindung

05.08.14 - Westcon Security lädt zur Check Point Race Experience am 11. und 12. September 2014
Westcon Security, ein Geschäftsbereich der Westcon Group, richtet am 11. und 12. September 2014 im LUK Driving Center Baden auf dem Gelände des Flughafens Baden Airpark die dritte Ausgabe der Check Point Race Experience aus. Reseller können sich bis zum 22. August 2014 durch die erfolgreiche Vermarktung der Check Point-Lösungen für diesen exklusiven Event qualifizieren – die 40 umsatzstärksten Partner werden mit einem Teilnahmeplatz belohnt.
Im Rahmen der zweitägigen Veranstaltung können die Teilnehmer auf dem drei Kilometer langen Rundkurs des LUK Driving Center ihr fahrerisches Können unter Beweis stellen. Bei der Check Point Race Experience werden aber auch Fragen der IT-Security nicht zu kurz kommen: Während der Rennpausen und im Rahmen der Abendveranstaltungen haben die Teilnehmer viel Gelegenheit, sich aus erster Hand über aktuelle Neuheiten von Check Point und Westcon zu informieren, Kontakte zu pflegen und zu knüpfen und sich mit den anwesenden Security-Experten über konkrete Projekte auszutauschen.

05.08.14 - "European Industrial Control Systems Security Summit 2014": Cyber-Sicherheitsrisiken für Kontrollsysteme kennenlernen
Am 21. und 22. September 2014 veranstaltet das SANS Institut in Amsterdam den "European Industrial Control Systems Security Summit 2014". Im Anschluss finden zwei fünftägige Schulungskurse vom 23. bis 27. September statt, die sich an Informationssicherheitsexperten richten, die im Bereich Interne Kontrollsysteme (IKS) tätig sind. Der Summit bietet die Möglichkeit, die neuesten und anspruchsvollsten Cyber-Sicherheitsrisiken für Kontrollsysteme sowie die effektivsten Abwehrmaßnahmen kennen zu lernen und zu diskutieren.
Das Programm der Podiumsdiskussion konzentriert sich auf Maßnahmen, die den Teilnehmern neue Tools und Techniken liefern sollen, die sie unmittelbar nach der Rückkehr in ihren jeweiligen ICS-Umgebungen umsetzen können. Geleitet wird der zweitägige Kongress von Dr. Markus Brändle, Group Head of Cyber Security bei ABB. Die Veranstaltung richtet sich an Programm-Manager, Steuerungssystem-Ingenieure, IT-Sicherheitsexperten und Spezialisten zum Schutz kritischer Infrastrukturen und bringt diese mit Ansprechpartnern aus Behörden sowie mit führenden Wissenschaftlern zusammen.
Teil des fünftägigen Weiterbildungsprogramms ist auch der neue Expertenkurs ICS410: ICS/SCADA Security Essentials. In diesem Training vermittelt Kursleiter Justin Searle Cyber-Sicherheitsfachleuten aus der Industrie grundlegende, standardisierte Fähigkeiten sowie das nötige Know how zum Schutz von SCADA-Umgebungen. Auf diese Weise soll gewährleistet werden, dass in Support und Sicherheit industrieller Steuerungssysteme involvierte Mitarbeiter darauf geschult sind, die gefährdete IT-Umgebung sichern sowie gegen aktuelle und neu auftretende Cyber-Bedrohungen verteidigen zu können.

05.08.14 - Sicherheitsmängeln bei Tresoren: Zahlreiche Möglichkeiten, um den Safe zu knacken
Reisedokumente, Bargeld, Mobilgeräte, Kameras, Schmuck oder Firmenunterlagen – egal ob im Urlaub oder auf Dienstreise - Touristen oder Geschäftsleute haben meist viele Wertgegenstände in ihrem Gepäck. Um die wichtigen Unterlagen und Wertsachen sicher aufzubewahren, bieten viele Hotels gegen eine geringe Nutzungsgebühr einen Zimmersafe an. Doch diese Tresore sind nicht so sicher, wie oft angenommen. Bei der Untersuchung eines gängigen Safe-Modells sind die Sicherheitsexperten der G Data SecurityLabs auf gravierende Sicherheitsmängel gestoßen. Mit geringem technischem Aufwand kann der Safe in kürzester Zeit geknackt und leer geräumt werden. Hat der Safe einen Magnetkartenleser, bietet sich für Kriminelle die Möglichkeit, durch Skimming an die Daten der Karte zu kommen. G Data gibt Tipps, was Hotelgäste bei der Nutzung von Safes beachten sollten.
Mit verschiedenen Methoden lässt sich das von den G Data-Sicherheitsexperten untersuchte Safe-Modell öffnen: So ist der Safe ganz einfach mit dem vom Hersteller voreingestellten Master-Code aufgegangen, der eigentlich nur in Notfällen ein Öffnen möglich machen soll. Zahlreiche Hoteliers ändern den standardmäßigen Code allerdings nicht – und so haben Diebe dann leichtes Spiel. "Wir raten Hoteliers dringend, den Master-Code in den Tresoren zu ändern und die Zimmersafes regelmäßig auf Modifikationen zu überprüfen", empfiehlt Ralf Benzmüller, Leiter der G Data SecurityLabs.

05.08.14 - Sechs Tipps für mehr Reichweite im WLAN-Netz
WLAN-Netze haben es nicht leicht: Immer steht etwas im Weg, Funklöcher oder Mauern behindern das Signal oder die Endgeräte sind einfach zu weit weg. Diese Störfaktoren beeinflussen die Reichweite sowie die Stabilität der Internetverbindung und rufen schnell Frustration bei Anwendern hervor. Oft lassen sich aber solche Probleme schon mit wenigen Handgriffen lösen. Zum Beispiel, wenn der Nutzer den Router an eine andere Stelle in der Wohnung oder im Büro platziert. Worauf dabei zu achten ist, beschreibt Thomas Jell, Sales Director Consumer bei TP-Link, in den folgenden sechs Tipps:

05.08.14 - VakifBank schützt eigene Banking-App mit Kobil m-Identity
Online-Banking: Kobil und die türkische Vakıfbank haben bei ihrer langfristigen Kooperation eine neue Phase eingeleitet. "Cep İmza", die neu entwickelte und auf "m-IDentity" basierende, mobile Banking-App der Vakıfbank soll den Online-Banking-Nutzern viel Zeit sparen, da sie nur noch ein einziges Passwort benötigen und keine lange und mehrstufige SMS-Validierung mehr durchlaufen müssen.
Für die Zielgruppe der Online-Banking-Nutzer haben Kobil und die VakıfBank jetzt eine innovative Banking-Lösung auf den Markt gebracht: Cep İmza (mobile Signatur). Dank der Integration von Banking-Anwendungen konnten beide Unternehmen der SMS-Validierung bei Online-Banking-Verfahren nun erfolgreich ein Ende setzen, indem sie die Leistung von iOS- und Android-Betriebssystemen mit der starken Infrastruktur des WEB vereint haben.

05.08.14 - Cloud-Security: Daniel Blank steigt bei antispameurope in Geschäftsleitung ein
Zuwachs in der Geschäftsleitung von antispameurope: Daniel Blank, der bislang als Sales Director die vertrieblichen Aktivitäten von antispameurope steuerte, ist nun Mitglied der Geschäftsführung. Damit wächst das Führungsgremium auf drei Personen an. Neben Daniel Hofmann und Oliver Dehning wird Daniel Blank gleichberechtigt das vor sieben Jahren gegründete Unternehmen leiten. Daniel Blank bringt über 13 Jahre Erfahrung im Vertrieb komplexer IT-Produkte mit, darunter mehr als sechs Jahre im IT-Security-Umfeld. Vorherige Stationen seiner Karriere waren der Berliner Cloud-Security-Anbieter eleven sowie die Netzwerkspezialisten Lancom Systems und AVM.

05.08.14 - Der verbotene Apfel: App-Stores und die Illusion der vollständigen Kontrolle
Keine Frage, wir leben in Zeiten der "App-Economy", privat und beruflich bestimmen Smartphones einen erheblichen Teil unseres Lebens. Die ihnen innewohnende Dichotomie aus "Benutzen" und "Benutzt werden" ignorieren die meisten App-Anwender. Teils aus Unkenntnis, teils aus Bequemlichkeit. In den beiden aktuellen Blogposts beschäftigen sich die Security-Analysten von Zscaler ausführlich mit der Frage, wie bereitwillig wir als Nutzer unsere persönlichen Daten und Informationen, Verhaltensmuster und -tendenzen preisgeben.

05.08.14 - BadLepricon: Google Play wird Ziel mobiler Malware
Die aktuellen Malware-Funde von Lookout aus den letzten Wochen und Monate zeigen deutlich, dass mit der technischen Weiterentwicklung mobiler Geräte auch die Funktionsvielfalt mobiler Malware wächst. Teure Premium-SMS verlieren als profitable Einnahmequelle jedoch an Bedeutung und werden durch Coin-Miner verdrängt. Die unrühmliche Platzierung als Angriffsziel Nummer 1 nimmt unverändert Android ein. Einen Schutz für Android-Nutzer kann dabei nur qualifizierte Sicherheitslösung bieten. Denn trotz mehrerer Optimierungen des PlayStores durch Google schaffen es Cyberkriminelle auch weiterhin, den Zulassungsprozess mit betrügerischen Apps zu meistern.
Die digitale Währung "Bitcoin" gehört zu den bekanntesten Vertretern ihrer Art. Anders als der Dollar, der Euro oder andere (internationale) Währungen, wird digitales Geld fast ausschließlich von Angebot und Nachfrage, also nicht von einer zentralen Behörde, kontrolliert. Der Austausch von Bitcoins erfolgt dabei direkt zwischen zwei Nutzern (Peer-to-Peer/P2P) und bedarf keiner Bank oder Finanzbehörde. Der Erwerb von Bitcoins erfolgt in der Regel durch das Internet bei Bitcoin-Börsen.
Ein weiterer Unterschied zu herkömmlichem Geld stellt die Erzeugung von digitalen Münzen dar: Jeder Nutzer kann selbst digitale Währung "schürfen", indem bestimmte Rechenaufgaben durch den Miner, einer kleinen Anwendung, auf dem PC berechnet werden. Wird die Rechenaufgabe richtig gelöst, erhält der Nutzer einen Bitcoin. Als Sicherheitsvorkehrung wurde ein Schwierigkeitsgrad implementiert, der mit jedem neuen Bitcoin steigt und mittlerweile so hoch ist, dass sich der Aufwand für den Nutzer nicht mehr lohnt. Anders ausgedrückt: Die Leistung des PCs reicht in den meisten Fällen nicht aus, um die Rechenaufgabe zu lösen.

####################

Bestellen Sie hier Ihren persönlichen Newsletter!

Sie wollen täglich informiert sein, haben aber keine Zeit, jeden Morgen durchs Internet zu surfen?

Dann lassen Sie sich durch unseren kostenlosen E-Mail-Service topaktuelle News aus der IT-Securit, Safety- und High Availability-Branche nahebringen.

Das Redaktionsteam von IT SecCity.de hat die wichtigsten tagesaktuellen Meldungen für Sie zusammengetragen - ein Klick auf die entsprechenden Links und Sie befinden sich an den gewünschten Plätzen auf IT SecCity.de und den Schwester-Magazinen SaaS-Magazin.de und Compliance-Magazin.de - einfacher geht's wirklich nicht!

Klicken Sie hier, um den kostenlosen Newsletter-Service zu abonnieren.

Sie erhalten dann in wenigen Minuten eine E-Mail vom System. Bitte klicken Sie auf den Link in der E-Mail und schicken Sie uns eine Bestätigung Ihrer Bestellung.

Der Newsletter wird im html-Format versendet.
Bitte denken Sie daran, den Newsletter bei Ihrem IT-Administrator auf die White-List setzen zu lassen.

####################

Meldungen vom Vortag

04.08.14 - Nutzer von Dell-Storage-Lösungen können mit Silver Peak in kürzerer Zeit mehr Daten über größere Distanzen übermitteln

04.08.14 - Rechtssichere E-Mail-Archivierung: "MailStore Server 9"

04.08.14 - Verschlüsselungs-App: Sichere E-Mail-App reduziert Datenschutzbedenken

04.08.14 - Sicherheitsverletzungen überwachen: "Tufins Orchestration Suite R14-2" für segmentierte Netzwerke

04.08.14 - Sophos geht in die Cloud: Cloud-Sicherheitslösung verwaltet Windows-, Mac- und mobile Geräte mit einer Konsole

04.08.14 - Neues 400 V DC-Stromversorgungssystem mit 120 kW Leistung

04.08.14 - Dateien auf Android-Geräten einfacher verwalten, komprimieren und schützen

04.08.14 - secunet hat nun gemeinsam mit dem BSI erfolgreich die Aufnahme neuer elliptischer Kurven in internationale Standards betrieben

06.08.14 - IT Security-Telegramm 04.08.14 - IT Security-Telegramm

Fachartikel

Big Data bringt neue Herausforderungen mit sich
Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.
Bösartige E-Mail- und Social-Engineering-Angriffe
Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.