Tag Archives: Sicherheitslücke

Pressemitteilungen

Krack Attacke oder die Wlan-Sicherheitslücke

Krack Attacke oder die Wlan-Sicherheitslücke

In den letzten Wochen sorgte das Schlagwort von der „Krack Attacke“ für einige Irritationen unter jenen, die mit der IT-Sicherheit vor allem von Unternehmen beschäftigt sind. Auch in vielen Unternehmen selbst löste die Meldung, dass eine Schwäche im WPA2-Standard alle Wlan-fähigen Geräte betreffe, und es Cyber-Kriminellen so ermöglichen würde, zuverlässig verschlüsselt geglaubte Daten mitzulesen, beträchtliche Verunsicherungen aus.

Inzwischen mehren sich zwar die Stimmen, die das alles für nur halb so wild erklären – „Krack klingt schlimmer, als es ist“, titelt etwa Zeit-Online am 16.10.2017 -, doch sollte man sich über akuten Handlungsbedarf, wie Fabian Mahr, Geschäftsführer des IT-Dienstleisters Mahr EDV, sagt, nicht hinwegtäuschen: „Dass sich die mit Krack verbundenen Probleme erfreulicher Weise lösen lassen, heißt nicht, dass sie nicht ernst zu nehmen wären.“

Krack Attacke

Übereinstimmenden Medienberichten zufolge haben Forscher Sicherheitsschwächen im Verschlüsselungsprotokoll WPA2 entdeckt. Lange Zeit galt WPA2 bei Verwendung eines langen und komplizierten Passwortes im Unterschied zu seinen Vorläufern WEP und WPA als absolut sicher. Mittels eines Hacks, den sie „Krack“ nennen, was für key reinstallation attacks steht, haben die Forscher der KU Leuven jedoch vergangene Woche einen grundsätzlichen „Systemfehler“ im Verschlüsselungsprotokoll WPA2 bloßgelegt.

Folgen der WPA2-Sicherheitslücke

Der Fehler macht es potentiellen Angreifern in Reichweite des Netzwerkes möglich, Daten auf jeden Fall mitzulesen und unter Umständen – je nach den Einstellungen des Netzwerkes – sogar zu manipulieren. Theoretisch ist damit jede Wlan-Verbindung samt der angeschlossenen Geräte (Router, Desktop-Rechner, Notebooks, Smartphones etc.) gefährdet.

Gegenmaßnahmen

Wie die Wi-Fi Alliance informiert, werden die Hersteller der gängigen Betriebssysteme zeitnah mit der Veröffentlichung entsprechender Updates reagieren. Diese beinhalten sogenannte Patches, mittels derer sich die Wlan-Sicherheitslücke schließen lässt. Das Bundesamt für Sicherheit in der Informationstechnik ( BSI) rät daher, „WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen.“
Wichtige Tipps für Unternehmen

Gerade Unternehmen, die den Transfer relevanter Daten über Wlan-Verbindungen organisieren, mahnt Mahr EDV zu äußerster Sorgfalt. Nicht nur wären die gesamte IT-Architektur in Hinblick auf Krack zu überprüfen und die passenden Updates, sobald verfügbar, zu installieren sowie sich anschließend über den Erfolg der Maßnahmen zu vergewissern. Ist es üblich, dass sich Mitarbeiter mit betrieblichen als auch privaten mobilen Endgeräten ins Firmen-Wlan-Netz einwählen, so sollte sichergestellt werden, dass auch diese ausnahmslos den entsprechenden Updates unterzogen werden.

Mahr EDV ist der Computerspezialist für alle Belange rund um die IT-Struktur von Unternehmen ab fünf Rechnern: Wartung und Support, Consulting und Implementierung, Cloud-Dienste, Server Monitoring und vieles mehr – in Berlin, Potsdam, Düsseldorf und der jeweiligen Umgebung.

Firmenkontakt
Mahr EDV GmbH
Fabian Mahr
Paulinenstraße 8
12205 Berlin
030-770192200
thomas.maul@mahr-edv.de
https://www.mahr-edv.de

Pressekontakt
Mahr EDV GmbH
Thomas Maul
Paulinenstraße 8
12205 Berlin
030-770192200
thomas.maul@mahr-edv.de
http://www.mahr-edv.de

Pressemitteilungen

DDE-Sicherheitslücke in Microsoft Office bereits Teil von E-Mail-Attacken

Sicherheitslücke durch Microsoft-Office-Dokumente in Mails ermöglicht Angreifern Zugriff auf Systeme. Bislang kein Patch von Microsoft angekündigt. Nur flexibles Content Disarming bietet Schutz.

DDE-Sicherheitslücke in Microsoft Office bereits Teil von E-Mail-Attacken

Flexibles Content Disarming von NoSpamProxy verhindert Malware-Attacken auf DDE-Sicherheitslücke

Paderborn, 19. Oktober 2017 – Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, weist auf eine aktuell neue Bedrohungslage durch Mail-Anhänge hin.
Nachdem Sicherheitsforscher in der vergangenen Woche eine schwerwiegende Sicherheitslücke in Microsoft Office entdeckt haben, wird diese bereits in konkreten E-Mail-Angriffen ausgenutzt. Durch speziell präparierte Dateien im Microsoft-Excel- oder Microsoft-Word-Format können Angreifer nach der Öffnung der Dateien seitens des Benutzers beliebigen Code auf dem System des Benutzers ausführen. Dadurch erhalten die Hacker Zugriff auf den Windows-Rechner.

Aktuell wird Zunahme derartiger Attacken registriert

Diese Lücke wird zunehmend in Mail-Attacken mit entsprechenden Anhängen ausgenutzt. Das renommierte SANS Institute hat bereits eine deutliche Zunahme an Attacken mit alten Malware-Bekannten wie Hancitor registriert. So wurde am Montag ein massiver Anstieg derartiger Angriffe beobachtet.
Die Sicherheitslücke tritt unter Verwendung von Dynamic Data Exchange (DDE) auf. Dieses Protokoll dient dem Austausch von Applikationen und wird unter anderem von Excel verwendet, um externe Informationen einzubinden. Nach einem erfolgreichen Angriff sind alle Daten auf den betroffenen Systemen gefährdet. Diese Sicherheitslücke wird durch die von Microsoft am 10.10.2017 veröffentlichten Patches noch nicht geschlossen. Daher müssen die eingesetzten E-Mail-Security-Lösungen verlässliche Sicherheit bieten.

Nur flexibles Content Disarming schafft Sicherheit

Mithilfe eines intelligenten Anhangsmanagements lassen sich derartige Angriffe durch sogenanntes Content Disarming sicher abwehren. Dabei wandelt das Secure-Mail-Gateway Anhänge im Word- und Excel-Format regelbasiert und automatisiert in unkritische PDF-Dateien um. So gelangt potenziell vorhandener Schadcode nicht in das Firmennetzwerk. Der Empfänger erhält dadurch einen garantiert ungefährlichen Anhang. Im PDF-Dokument findet sich eine Vorschaltseite, auf der individuelle Hinweise zum Grund der Konvertierung aufgeführt sind und – sofern gewünscht – auch ein Link zum Originaldokument, das sich in einer speziellen Quarantäne befindet.

Aktuelle Version 12 von NoSpamProxy steuert Content Disarming über die Reputation des Senders

In der aktuellen Version 12 von NoSpamProxy ist genau das möglich. NoSpamProxy kombiniert Content Disarming mit dem einzigartigen Level-of-Trust-Konzept und der Senderreputation. Im Falle einer akuten Bedrohungslage wie der aktuellen DDE-Lücke, können NoSpamProxy-Kunden einfach per Regel einstellen, dass Attachments von neuen oder unbekannten Sendern grundsätzlich über das Content Disarming laufen, während die Mails von Sendern mit höherer Reputation ungehindert passieren können. Erst diese feingliedrige Steuerbarkeit macht den Schutzmechanismus praxistauglich, da die normale Zusammenarbeit der Nutzer nicht gestört wird. Zudem senkt sie die Hemmschwelle für die IT, Content Disarming als wirksames Instrument einzusetzen, da die Beeinträchtigung der Nutzer auf ein Minimum reduziert wird.

„Content Disarming ist eine wirksame Maßnahme zum Schutz vor Malware-Anhängen in Mails. Erst wenn man dieses Instrument sehr zielgenau einsetzen kann, wird es praxistauglich. Dies ist ein weiterer Beleg dafür, dass ohne eine leistungsstarke und feingliedrige Bewertung der Senderreputation kaum noch ein praktikabler Schutz vor Malware und Spam gelingen kann“, sagt Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work.

Hintergrundinformationen zu dieser Sicherheitslücke erhalten Sie hier: https://isc.sans.edu/forums/diary/Hancitor+malspam+uses+DDE+attack/22936/
Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy erhalten Sie hier: https://www.nospamproxy.de

Die 1995 gegründete Net at Work GmbH ist Softwarehaus und Systemintegrator mit Sitz in Paderborn. Gründer und Gesellschafter des Unternehmens sind Geschäftsführer Uwe Ulbrich und Frank Carius, der mit www.msxfaq.de eine der renommiertesten Websites zu den Themen Exchange und Skype for Business betreibt.
Als Softwarehaus entwickelt und vermarktet Net at Work mit NoSpamProxy eine integrierte Gateway-Lösung für Secure E-Mail. NoSpamProxy bietet sichere Anti-Malware-/Anti-Spam-Funktionen, eine automatisierte E-Mail-Verschlüsselung sowie einen praxistauglichen Large File Transfer auf einer technischen Plattform. So garantiert der modulare Ansatz von NoSpamProxy eine vertrauliche und rechtssichere E-Mail-Kommunikation. Die Experton Group sieht NoSpamProxy als Product Challenger für E-Mail- und Web-Kollaboration. Zu den mehr als 2.000 Unternehmen, die die Sicherheit ihrer Mail-Kommunikation NoSpamProxy anvertrauen, gehören u.a. DaimlerBKK, Deutscher Ärzte-Verlag, Hochland, Komatsu Mining, das Kommunale RZ Minden-Ravensberg/Lippe und SwissLife. Weitere Informationen zur E-Mail Security Suite NoSpamProxy finden Sie unter www.nospamproxy.de
Im Servicegeschäft bietet Net at Work ein breites Lösungsportfolio rund um die digitale Kommunikation und die Zusammenarbeit im Unternehmen mit einem besonderen Schwerpunkt auf dem Portfolio von Microsoft. Als Microsoft Gold Partner für Messaging, Communications, Collaboration and Content, Cloud Productivity und Application Development gehört Net at Work zu den wichtigsten Systemintegratoren für Microsoft Exchange, SharePoint und Skype for Business. Das erfahrene Team von langjährigen IT-Experten verfügt über umfassendes Know-how bei der Umsetzung individueller Kundenanforderungen und berücksichtigt bei Projekten neben der Skalierbarkeit, Flexibilität und Sicherheit der Lösung auch die Einhaltung der definierten Zeit- und Budgetziele. Kunden finden somit bei allen Fragen kompetente Ansprechpartner, die ihnen helfen, modernste Technologien effizient und nahtlos in bewährte Geschäftsprozesse zu integrieren. Zu den Kunden im Servicegeschäft gehören u.a. Claas, Miele, die Spiegel Gruppe, die Universität Duisburg-Essen sowie Diebold-Nixdorf.
Weitere Informationen zum Unternehmen Net at Work und dem Serviceangebot finden Sie unter www.netatwork.de

Firmenkontakt
Net at Work GmbH
Aysel Nixdorf
Am Hoppenhof 32 A
33104 Paderborn
+49 5251 304627
aysel.nixdorf@netatwork.de
http://www.netatwork.de

Pressekontakt
bloodsugarmagic GmbH & Co. KG
Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen
0049 7721 9461 220
bernd.hoeck@bloodsugarmagic.com
http://www.bloodsugarmagic.com

Pressemitteilungen

Fraunhofer SIT: Viele Android-Passwort-Manager unsicher

Unterschiedliche Implementierungsfehler

Fraunhofer SIT: Viele Android-Passwort-Manager unsicher

Fraunhofer SIT

Das Fraunhofer-Institut für Informationstechnologie SIT hat gravierende Sicherheitslücken in Passwort-Apps für Android entdeckt. Bei vielen der beliebtesten Passwort-Manager konnten Cyberkriminelle leicht Zugriff auf die geschützten Informationen erhalten, beispielsweise, wenn sich der Angreifer im selben Netzwerk befindet. Die Hersteller wurden informiert und haben die Fehler mittlerweile behoben. Nutzer sollten jedoch sicherstellen, dass sie die aktuelle App-Version verwenden. Die Details ihrer Analysen stellen die Experten des Fraunhofer SIT im April auf der „Hack In The Box“-Konferenz in Amsterdam vor. Das für die Tests genutzte Werkzeug CodeInspect zeigt das Institut bereits vom 20.-24. März in Halle 6 am Stand B 36 auf der CeBIT in Hannover.

Für jede Anwendung und jedes Benutzerkonto wird ein eigenes Passwort benötigt. Dadurch können Nutzer leicht den Überblick verlieren und Passwörter vergessen. Abhilfe schaffen Passwort-Manager: Dabei muss sich der Nutzer nur noch ein einziges Masterpasswort merken, alle anderen Zugänge und Passwörter werden sicher verschlüsselt in der Applikation gespeichert. Doch was wenn die Sicherheitsmechanismen Fehler haben? Ein Forscherteam des Fraunhofer SIT hat eine Reihe beliebter Android-Passwort-Manager-Apps analysiert. Ergebnis: Viele dieser Passwort-Apps waren unsicher.

Unterschiedliche Implementierungsfehler

In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Security-Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitslücken führten. „Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erklärt Dr. Siegfried Rasthofer, Android-Experte am Fraunhofer SIT. Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.

Darüber hinaus ignorieren viele Anwendungen das Problem der Zwischenablage, wodurch ein sogenanntes „Sniffing“ möglich wird. Das bedeutet, die Zwischenablage wird nicht bereinigt, nachdem die Anmeldeinformationen dorthin kopiert wurden. Zugriffe zum Auslesen der Zwischenablage könnten praktisch von jeder anderen App ausgeführt werden; und wer kann sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutzt und sich somit die Zugangsinformation für den Passwort-Manager verschafft. In anderen Fällen hätte es für Angreifer ausgereicht, sich im selben Netzwerk zu befinden, aber auch ein Geräteverlust hätte erhebliche Risiken für die Nutzer mit sich bringen können.

„Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft. Mit CodeInspect und Appicaptor haben wir eigene Werkzeuge entwickelt, mit denen wir Apps sehr effizient und detailliert auf ihre Sicherheit überprüfen können, selbst wenn uns die Apps nicht im Quellcode vorliegen. Dies gilt sowohl für Android als auch für iOS“, erklärt Dr. Rasthofer. Mit seinen Werkzeugen konnte das Fraunhofer SIT bereits viele Schwachstellen in Apps aufdecken. Dazu gehören solche, die eher aus Unachtsamkeit bei der Programmierung entstanden sind, aber auch solche, die wahrscheinlich absichtlich in Apps eingebaut wurden.

Sicherheitslücken zwischenzeitlich geschlossen

„Wir haben die Hersteller der betroffenen Passwort-Manager über die Sicherheitslücken informiert. Alle haben reagiert und die Verwundbarkeiten geschlossen.“, erklärt Rasthofer. Auf Geräten, auf denen sich die Apps Sicherheitsupdates aus dem App-Store herunterladen, sind die Probleme behoben. Wenn Nutzer keine automatischen Updates aktiviert haben, sollten die Applikationen umgehend aktualisiert werden. Welche Apps betroffen sind und weitere Details zu den jeweiligen Schwachstellen können unter http://sit4.me/pw-manager eingesehen werden.

Die Fraunhofer-Gesellschaft ist die führende Organisation für angewandte Forschung in Europa. Unter ihrem Dach arbeiten 67 Institute und Forschungseinrichtungen an Standorten in ganz Deutschland. 24.000 Mitarbeiterinnen und Mitarbeiter bearbeiten das jährliche Forschungsvolumen von mehr als 2,1 Milliarden Euro. Davon fallen über 1,8 Milliarden Euro auf den Leistungsbereich Vertragsforschung. Über 70 Prozent dieses Leistungsbereichs erwirtschaftet die Fraunhofer-Gesellschaft mit Aufträgen aus der Industrie und mit öffentlich finanzierten Forschungsprojekten. Die internationale Zusammenarbeit wird durch Niederlassungen in Europa, Nord- und Südamerika sowie Asien gefördert.

Kontakt
Fraunhofer-Institut für Sichere Informationstechnologie
Oliver Küch
Rheinstraße 75
64295 Darmstadt
+49 6151 869-213
oliver.kuech@sit.fraunhofer.de
http://www.sit.fraunhofer.de

Pressemitteilungen

Avast stellt Sicherheitsprognosen für 2017 vor

Avast stellt Sicherheitsprognosen für 2017 vor

Logo Avast (Bildquelle: @ Avast)

Prag/München, 04.01.2017 – Avast Software, der weltweit führende Hersteller von digitalen Sicherheitsprodukten für Endanwender und Unternehmen, prognostiziert ein herausforderndes Jahr 2017 für die Cybersicherheit. Hintergrund ist vor allem die stark zunehmende Verwendung von mobilen Geräten und Cloud-Anwendungen sowie der wachsende Einfluss des Internets der Dinge (IoT).

Cyberkriminelle haben bereits im vergangenen Jahr neue Wege gefunden, Sicherheitslücken auszunutzen und Nutzer anzugreifen. Diese Situation wird sich 2017 noch weiter verschärfen. Zwar gibt es jetzt mehr Erkenntnisse über Online-Bedrohungen und ein gesteigertes Bewusstsein dafür, aber im gleichen Maße haben auch Cyberkriminelle ihre Technologien, Strategien und Methoden verbessert.

Ondrej Vlcek, CTO und Executive Vice President bei Avast Software, stellt die wichtigsten neuen Bedrohungen für die Cybersicherheit vor:

1. Ransomware wird immer gefährlicher
2016 gab es bereits unzählige Ransomware-Vorfälle. In diesem Jahr wird es noch einfacher sein, Systeme anzugreifen und zu verschlüsseln – auch im mobilen Bereich. Avast hat 2016 alleine für Windowssysteme mehr als 150 neue Ransomware-Familien registriert. Durch die zunehmende Verbreitung von Open-Source-Ransomware-Programmen, zum Beispiel auf GitHub und in Hackerforen, wird die Zahl noch weiter steigen. Diese Programme sind für jeden kostenlos verfügbar, der Basiswissen im Umwandeln von Code hat. Selbst wenn der potentielle Übeltäter nicht die Fähigkeiten hat, eigene Malware zu erstellen, kann er beispielsweise eine RaaS-Plattform nutzen, wo automatisch erstellte Ransomware-Dateien angeboten werden (zum Beispiel Petya und Ransom 32).

Ein weiterer Trend ist, dass Cyberkriminelle ihre Opfer dazu auffordern, die Ransomware zu verbreiten statt die Lösegeldsumme zu zahlen. Das kann besonders profitabel sein, wenn Nutzer beispielsweise ihr Firmennetzwerk infizieren. Ein infizierter Server Message Block (SMB) oder ein infiziertes Unternehmen ist sehr viel profitabler für die Ransomware-Betreiber als ein einzelner Privatnutzer.

2. Sicherheitslücke Dirty COW: Die Gefahr nimmt zu
Obwohl die Sicherheitslücke bereits seit neun Jahren bekannt ist, stellen wir derzeit zunehmend Angriffe auf Geräte fest, die eigentlich nicht rootfähig sind. Dirty COW ist eine Sicherheitslücke im Linux-Kernel, wodurch Angreifer volle Zugriffs- und Schreibrechte auf das System erhalten können, ohne dass es der Anwender überhaupt merkt. Da zahlreiche Android- und Linuxgeräte auf dem Kernel basieren, wird die Bedrohung weiter zunehmen.

3. Doxing: Datendiebstahl im großen Stil
Unsere persönlichsten Daten wie Fotos, private E-Mails, Arbeitsverträge und mehr geraten zunehmend ins Visier der Hacker. Wir beobachten immer mehr Doxing-Vorfälle, bei denen Angreifer drohen, die privaten Daten im großen Stil zu veröffentlichen, es sei denn die Opfer bezahlen die geforderte Summe. Die Bedrohung wird 2017 im Zuge von Ransomware-Attacken weitere Nutzer betreffen.

4. Internet der Dinge: Die Gefahr im eigenen Haus
Connected Home, Smart Cities – das Internet der Dinge (IoT) und die zunehmende Vernetzung von Geräten ist in unserem Alltag angekommen. Damit nehmen aber auch die Schwachstellen zu: Router, Fernseher, Thermostate und andere IoT-Geräte sind leichte Ziele, wenn Standardpasswörter nicht geändert werden. 2016 wurden zahlreiche Attacken durch Botnets bekannt. Mit der steigenden Anzahl der vernetzten Geräte in unseren Haushalten steigt auch die Gefahr, dass diese als Einfallstor für Attacken verwendet werden.

5. Wear Your Own Device (WYOD) – Bedrohung am Handgelenk
Wearables wie Fitnesstracker sind längst kein Nischenprodukt mehr. Doch der zunehmende Trend ist sicherheitstechnisch eine Herausforderung. Wearables sind softwarebasiert und stellen damit eine potenzielle Schwachstelle dar. Nachdem in der Arbeitswelt BYOD (Bring Your Own Device) zunehmend durch WYOD (Wear Your Own Device) ergänzt wird, nimmt auch das Risko für Attacken zu.

6. Künstliche Intelligenz – potenzielle Gefahr
Maschinelles Lernen ist einer der Trends für 2017. Für uns bei Avast ist das längst keine Zukunftsmusik mehr. Bereits seit mehreren Jahren ist maschinelles Lernen ein unverzichtbarer Bestandteil unserer Antivirus-Lösungen. Da Algorithmen und Code für maschinelles Lernen aber frei im Internet verfügbar sind, befürchten wir, dass es nicht mehr lange dauern wird, bis Hacker die Technologie für ihre Zwecke missbrauchen.

Avast Software ( www.avast.com), der weltweit führende Hersteller von digitalen Sicherheitsprodukten, schützt über 400 Millionen Menschen online. Avast bietet Produkte unter den Marken Avast und AVG an, die Endanwender und Unternehmen mit einem der fortschrittlichsten Netzwerke zur Bedrohungserkennung weltweit vor Internetgefahren schützen. Die digitalen Sicherheitslösungen von Avast für mobile Geräte, PCs oder Macs sind ausgezeichnet und zertifiziert von VB100, AV- Comparatives, AV-Test, OPSWAT, ICSA Labs, West Coast Labs und vielen mehr.

Firmenkontakt
AVAST Software
Marina Ziegler
Gollierstrasse 70
80339 München
00 420 274 005 777
pr@avast.com
https://www.avast.com

Pressekontakt
HBI PR&MarCom GmbH
Martin Stummer
Stefan-George-Ring 2
81929 München
089 / 99 38 87 0
martin_stummer@hbi.de
http://www.hbi.de

Pressemitteilungen

Gebrauchtgeräte liefern sensible Daten zum Schnäppchenpreis mit

Gefährliche Sicherheitslücken durch Verwertung älterer Bürotechnik

Es gibt heute wohl kein Büro mehr ohne Telefonanlage, Scanner, Drucker und Kopierer. Und weil die Bürotechnik von Jahr zu Jahr intelligenter wird, tauschen deutsche Unternehmen sie im Schnitt alle drei bis fünf Jahre aus. Was dabei nur wenigen bewusst ist: Selbst Kopierer speichern heute Unmengen sensibler Daten. Gelangen diese in die falschen Hände, kann das für den ehemaligen Besitzer sogar existenzbedrohliche Folgen haben, warnt Ermittlungsexperte Marcus Lentz. Seine bundesweit operierende Detektei wird immer öfter um Schadensbegrenzung gebeten.

Was passiert mit einem Kopierer am Ende seines Lebenszyklus? Ob Kauf- oder Leasinggerät – häufig realisieren die Besitzer den Restwert durch einen Verkauf über ebay oder andere Plattformen für gebrauchte Güter. Für wenige Hundert Euro können Schnäppchenjäger so nicht nur ein echtes Profigerät erwerben, sondern mit hoher Wahrscheinlichkeit auch Tausende Seiten an sensiblen, persönlichen Daten. „Nicht nur Scanner, sondern auch Kopierer speichern fast unendlich viele Dokumente auf einer eingebauten Festplatte ab. Wird diese vor dem Austausch nicht komplett und sicher gelöscht, ist es ein Leichtes, sie durch Unbefugte auszulesen“, erklärt Marcus Lentz, Geschäftsführer der Detektei Lentz.

Seiner Erfahrung nach ist das damit verbundene Risiko nur wenigen überhaupt bewusst. Auch eine Umfrage des Wirtschaftsmagazins Plusminus ergab kürzlich, dass bis zu 75 Prozent der angesprochenen Unternehmen, darunter Anwaltskanzleien, Arztpraxen und Steuerberater, beim Wechsel des Kopierers gar nicht an eine Löschung der Festplatte gedacht oder von einem möglichen Datenleck nichts gewusst hatten. Selbst die angebliche Rund-um-Sorglos-Lösung Leasing löst das Problem nicht: Der Nutzer muss die Löschung seiner Daten explizit verlangen, wenn er das Gerät tauscht. Sonst haftet er für das Datenleck – nicht der Leasinganbieter, der das Gerät weiterverkauft hat.

Bis zu 10.000 Dokumente pro Gerät
Und in jedem Unternehmen gibt es sensible und vertrauliche Daten: von Angeboten über Verträge bis hin zu Personalakten oder Konstruktionszeichnungen. Dies alles wird kopiert, gescannt, gedruckt – und dabei eben auch gespeichert. Die Festplatten moderner Kopiergeräte können bis zu 10.000 Dokumente und mehr archivieren. „Eine gravierende Sicherheitslücke“, mahnt Lentz. „Wirtschaftsspione, Betrüger und Erpresser haben dieses Einfallstor längst erkannt und nutzen es zum Teil systematisch!“ Dabei gelten im Hinblick auf den Datenschutz für Geheimnisträger wie Ärzte, Rechtsanwälte und Steuerberater besonders hohe Anforderungen: Sie kopieren häufig hochsensible, strengvertrauliche Daten ihrer Patienten und Mandanten – darunter Patientenakten, Strafbefehle, Steuerbescheide. Verwahren sie diese Daten nicht sicher, drohen sogar strafrechtliche Konsequenzen. Trotzdem ist das Problem auch in diesen Kreisen vielen nicht bekannt. „Kommt es nach einem Gerätewechsel zu Erpressungsversuchen, ist es zum Handeln in der Regel bereits zu spät“, weiß Marcus Lentz.

Wird der ehemalige Besitzer von selbst auf das Versäumnis aufmerksam, gelingt es seinen professionellen Wirtschaftsermittlern in der Regel, den Weg des Gerätes nach Rückgabe oder Verkauf zurückzuverfolgen, um eine sichere Löschung der Daten zu veranlassen. Auch hierzu braucht es entsprechendes Knowhow: Denn die integrierten Löschbefehle der Kopiergeräte überschreiben vorhandene Daten meist nicht, sondern tilgen nur das Dateiverzeichnis. Somit sind die Daten physikalisch noch vorhanden und können rekonstruiert werden. Selbst die Formatierung der Festplatte reicht meist nicht aus. Profis können auch hier die Daten wieder lesbar machen. „Wer auf Nummer sicher gehen will, muss alle Informationen, wie Konfigurationseinstellungen von netzwerkfähigen Geräten und Passwörter zur Authentifizierung der Nutzer, löschen“, wie der erfahrene Detektiv weiß. „Sonst können Hacker diese Informationen eventuell nutzen, um ein Unternehmen langfristig auszuspionieren.“ Hundertprozentige Sicherheit bietet letztlich nur der Ausbau der Festplatte und ihre Entmagnetisierung oder physische Zerstörung.

Festplatte war Ziel des Einbruchs
Mitunter schützt die Verwalter sensibler Daten aber nicht einmal ein entsprechendes Problembewusstsein vor dem Datenabfluss, wie ein aktueller Fall der Detektei Lentz belegt: „Vor einigen Monaten wurde bei einem unserer Mandanten eingebrochen. Was erst Wochen später durch einen technischen Defekt am Gerät auffiel: Dabei war die Festplatte des Kopiergerätes ausgetauscht worden“, berichtet der erfahrene Ermittler. Das lieferte dann auch eine unerwartete Erklärung für die drastischen Auftragseinbußen des Unternehmens nach dem Einbruch. „Das zeigt, wie groß das Interesse an den Daten ist, die in Kopierern von Unternehmen hinterlegt sind“, betont Lentz. Das digitale Zeitalter erleichtert den Tätern zusätzlich ihr Handwerk: Für die erfolgreiche Betriebsspionage muss die Festplatte heute häufig nicht einmal mehr ausgebaut werden. Moderne Kopiergeräte sind heute meist Teil eines WLAN-Netzwerkes, so dass geschickte Hacker auch über das Firmennetzwerk darauf zugreifen können.

Sicherheitsexperten warnen immer wieder vor den Gefahren der Wirtschaftsspionage für deutsche Unternehmen. Einer aktuellen Bitkom-Studie zufolge verursachen Ausspähungen und Datenklau jährlich einen Schaden von 51 Millionen Euro. Bundesweit wurde bereits mehr als jedes zweite Unternehmen bereits Opfer von Spähangriffen.

Weitere Informationen zum Thema Wirtschaftsspionage finden Sie unter http://www.lentz-detektei.de/wirtschaft/wirtschaftsspionage .

Anzahl der Anschläge (inkl. Leerzeichen): 5.427

Über die Detektei Lentz & Co. GmbH
Die Detektei Lentz® ist seit 1995 ein auf die professionelle, hochwertige und gerichtsverwertbare Durchführung von Ermittlungen und Beobachtungen (Observationen) spezialisiertes Unternehmen der Lentz Gruppe® mit eurozentralem Hauptsitz in Frankfurt am Main. Eine weitere Kernkompetenz liegt im Bereich des Abhörschutzes und der Mediation nach dem MediationsG. Als eine von wenigen Detekteien in Deutschland erfüllt die Detektei Lentz® nachweislich die hohen Qualitätsstandards der weltweit anerkannten Qualitätsnorm DIN EN ISO 9001:2008 und wird seit rund zehn Jahren regelmäßig durch den TÜV zertifiziert. Als Privat- und Wirtschaftsdetektei mit mehreren Niederlassungen in ganz Deutschland verfügt die Detektei Lentz® bundesweit über qualifizierte Teams von fachlich ausgebildeten, ZAD-geprüften Detektiven sowie über langjährige Expertise im Bereich Ermittlungen und Beweisbeschaffung im Zivil- und Strafrecht.

Firmenkontakt
Detektei Lentz & Co. GmbH
Marcus R. Lentz
Hanauer Landstraße 126 – 128
60314 Frankfurt am Main
069 133 899-88
detektei-lentz@hartzkom.de
http://www.lentz-detektei.de

Pressekontakt
HARTZKOM – Strategische Kommunikation
Daniela Werner
Anglerstraße 11
80339 München
089 998 461-13
detektei-lentz@hartzkom.de
http://www.hartzkom.de

Pressemitteilungen

GrammaTech arbeitet an neuen SW-Analysetechnologien

Zuschlag für DARPAs ‚Space/Time Analysis for Cybersecurity‘ (STAC) Programm geht an GrammaTech

GrammaTech arbeitet an neuen SW-Analysetechnologien

ITHACA, NY (USA) – 18. Mai 2015 – GrammaTech, Inc ., eines der führenden Forschungszentren für Cybersecurity-Lösungen, wurde von der U.S. Defense Advanced Research Projects Agency (DARPA) mit der Entwicklung einer Technologie beauftragt, um Denial-of-Service (DoS)-Schwachstellen in Software und andere Sicherheitslücken, die auf Komplexitäten von Zeit und Platz beruhen, aufzuspüren.
Auf der Suche nach innovativen Ansätzen hat die DARPA GrammaTech mit der Lösung dieses Problems innerhalb ihres „Space/Time Analysis for Cybersecurity“ (STAC)-Programms beauftragt. Die Initiative soll es Analysten ermöglichen, zwei Arten von Sicherheitslücken zu identifizieren, die auf dem Platz- und Zeitverbrauch des Programms basieren. GrammaTech wird die Technologie entwickeln, um diese Schwachstellen automatisch zu finden.

Die erste Fehlergruppe – Algorithmic Complexity Vulnerabilities – ermöglicht einem Angreifer, Eingaben zu erstellen, die übermäßigen Speicherverbrauch herbeiführen können; oft werden damit DoS (Denial-of-Service) Angriffe initiiert, die das Reaktionsvermögen einer Softwareanwendung stören. DoS Attacken sind ungemein heftig geworden, beispielsweise zuletzt auf GitHub, wo sie beinahe fünf Tage lang Störungen verursachten.

Beim zweiten Typ Schwachstelle – Side-Channel Leaks – kann ein Hacker aus der Beobachtung der Softwarenutzung in Bezug auf Zeit und Platz auf vertrauliche Informationen schließen. Gemäß einem Bericht in Forbes bezeichnen Forscher diese Angriffe als „Spion im Sandkasten“, weil Hacker ihre Daten (z.B. Zeitinformationen) durch das Ausspähen von Bewegung sammeln.

Die Technologie von GrammaTech wird diese Schwachstellen im Java Bytecode aufspüren, ohne dass dafür der Zugang zum Quellcode des Programms erforderlich ist. Das Unternehmen wird auf seine führenden statischen Analysetechnologien aufsetzen und auch mit namhaften Forschungsuniversitäten zusammenarbeiten. Forscher in der Yale Universität werden neueste Entwicklungserfolge in der ressourcengebundenen Analyse beisteuern, und die Universität von Wisconsin-Madison wird wegweisende Arbeit im Bereich Formanalyse beisteuern, die die kombinierte Technologie ermöglichen, um die Abhängigkeit des Ressourcenverbrauchs auf vernetzten Datenstrukturen zu erfassen.

„DoS-Attacken auf wichtige nationale Infrastruktur sind besonders problematisch, beispielsweise die Angriffe (attributed to Iran) auf Wells Fargo, die Bank of America, Chase, und andere Bankinstitute“, erläutert Tim Teitelbaum, CEO von GrammaTech. „Gemeinsam mit anderen Auftragsarbeiten, an denen wir mit der DARPA arbeiten, soll dieses Projekt eine wichtige Cybersecurity-Bedrohung für unseren Staat lösen.“

Über Grammatech (ww.grammatech.com):
GrammaTech, gegründet in den Informatik-Laboren der Cornell Universität (USA), ist ein führender Anbieter von Tools für Softwaresicherheit und hochentwickelten Cyber-Security Lösungen. Das Unternehmen entwickelt statische und dynamische Analyse-Tools, die sowohl Quellcode als auch ausführbare Binärdateien analysieren und Programmierfehler und Sicherheitslücken identifizieren. Zu den wichtigsten Produkten zählen die Software-Analyse-Tools CodeSonar® und CodeSurfer®. Weltweit nutzen Software-Entwickler die GrammaTech Lösungen für Embedded Systeme in allen Branchen, in denen Zuverlässigkeit und Sicherheit höchste Priorität haben. Der Hauptsitz von GrammaTech ist in Ithaca (New York), weitere Standorte befinden sich in Madison (Wisconsins) und Davis (Kalifornien).

Firmenkontakt
GrammaTech, Inc.
Laurel Stewart
531 Esty Street 531
NY 14850 Ithaca
001 607-273-7340 – 168
sales@grammatech.com
http://www.grammatech.com

Pressekontakt
Agentur Lorenzoni GmbH, Public Relations
Beate Lorenzoni
Landshuter Straße 29
85435 Erding b. München
+49 8122 559 17-0
beate@lorenzoni.de
http://www.lorenzoni.de

Pressemitteilungen

Statement: Sicherheitslücke „Freak“ bei mobilen Browsern

Statement: Sicherheitslücke "Freak" bei mobilen Browsern

Kevin Mahaffey, Mitgründer von Lookout, kommentiert die Sicherheitslücke „Freak“

München, 05.03.2015 – Eine wohl schon seit Jahren bestehende Browser-Sicherheitslücke namens „Freak“ wurde jetzt bekannt und betrifft Safari und den AOSP-Android-Browser. Die Schwachstelle ermöglicht es den Angreifern offenbar, die Kommunikation der Nutzer auszuspionieren, die die genannten Browser nutzen. Chrome, Internet Explorer und Firefox sind nicht betroffen.

Kevin Mahaffey, Gründer von Lookout und Experte für mobile Sicherheit, kommentiert die neuste Entdeckung:

„Freak SSL ist ein weiteres Beispiel, dass Mobilgeräte ebenso angreifbar sind wie PCs. Jedes Smartphone ist wie ein kleiner Computer in der Hosentasche. Es ist keine magische Box mit Internetzugang, die sicherer ist als der PC zuhause, nur weil es kleiner ist. Tatsache ist, dass mobile Geräte mittlerweile die vorherrschende Computing-Plattform darstellen – und je bedeutender deren Rolle ist, umso attraktiver sind sie für Cyber-Kriminelle, die alles daran setzen, Sicherheitslücken wie Freak aufzuspüren.

Es ist eine einfache Rechnung: Hacker orientieren sich immer an den einfach zu erreichenden Erfolgen. Es scheint, als wäre SSL die Angriffsfläche schlechthin. Wir hoffen, dass, sobald mehr Sicherheitslücken aufgedeckt werden, die Unternehmen entsprechende Updates herausbringen und Nutzer diese übernehmen können.“

Über Lookout
Lookout schützt mit seinen Sicherheitslösungen Nutzer, Unternehmen und Netzwerke vor mobilen Bedrohungen. Mit der weltgrößten Schadsoftware-Datenbank und 50 Millionen Nutzern in 400 Mobilfunknetzen in 170 Ländern verhindert Lookout präventiv Betrug und ermöglicht Datensicherheit und -schutz. Das Unternehmen hat seinem Hauptsitz in San Francisco und eine Europa-Niederlassung in London. Es wird von zahlreichen renommierten Investoren finanziert, darunter die Deutsche Telekom, Qualcomm, Andreessen Horowitz, Khosla Venture oder Peter Thiels Fonds Mithril Capital.

Firmenkontakt
Lookout Mobile Security
Alicia diVittorio
1 Front Street, Suite 2700
94111 San Francisco
089 211 871 36
lookout@schwartzpr.de
https://www.lookout.com/de

Pressekontakt
Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
089 211 871 36
lookout@schwartzpr.de
https://www.lookout.com/de

Aktuelle Nachrichten Computer/Internet/IT Energie/Natur/Umwelt Finanzen/Wirtschaft Gesellschaft/Politik Pressemitteilungen Recht/Gesetz/Anwalt Shopping/Handel Vereine/Verbände Wissenschaft/Forschung

OILCO lehnt dritten Entwurf für das IT-Sicherheitsgesetz (ITSiG) ab

BERLIN, den 09. Dezember 2014 – Der Energiebereich nimmt in Fragen der Cybersicherheit eine exponierte Position ein: Seine Infrastrukturen sind im besonderen Maße den Angriffen aus dem Internet ausgesetzt – mit potenziell desaströsen Folgen für Wirtschaft und Gesellschaft. Doch dieser Gefahr trägt der jüngste Entwurf eines IT-Sicherheitsgesetzes (ITSiG) des Bundesinnenministeriums nach Auffassung der OILCO Energy Trading (Deutschland) GmbH nicht ausreichend Rechnung.

OILCO Energy Trading GmbH
OILCO Energy Trading GmbH

Der Online-Fulfillment-Dienstleister bemängelt stattdessen die im Entwurf versteckten Belastungen für den Mittelstand, die mangelnden Auflagen für Soft- und Hardware-Hersteller sowie die fehlende Transparenz bei gefährlichen Sicherheitslücken. Die in Berlin ansässige OILCO Energy Trading (Deutschland) GmbH (www.oilco-energy.com) unterstützt den Internet-Handel mit Brennstoffen durch moderne und praktische Bezahlarten. Mit seinem Geschäftsmodell treibt das Unternehmen, das Mitglied im Cyber-Sicherheitsrat Deutschland e.V. ist, die Digitalisierung der Energiebranche entscheidend voran.

Das Bundesministerium des Innern hatte am 5. März 2013 einen Referentenentwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgelegt. Am 18. August 2014 legte das Bundesministerium dann einen zweiten Referentenentwurf vor. Am 4. November 2014 schließlich veröffentlichte das Innenministerium den dritten Referentenentwurf.

An diesem dritten Entwurf für das IT-Sicherheitsgesetz bemängelt die OILCO Energy Trading (Deutschland) GmbH konkret:

• Der drohende Ausbau der Bürokratie und die potenziellen Mehrkosten für den Mittelstand sind gravierend: Der aktuelle Entwurf sieht vor, dass selbst Unternehmen ab 10 Mitarbeitern und einem Umsatz von über 2 Mio. Euro unter die Vorgabe des ITSiG fallen sollen.

• Ausgerechnet die Soft- und Hardwarehersteller wurden aus dem Anwendungsbereich der Richtlinie entfernt. Damit sind sie weder zur Gewährleistung verpflichtet, noch unterliegen sie der Meldepflicht.

• Gravierende Sicherheitslücken (Zero-Day-Vulnerabilities) sollen weiterhin nicht öffentlich gemacht werden. Laut dem Gesetzes-Entwurf hat das Bundesamt für Sicherheit in der Informationstechnik zwar die Aufgabe, Sicherheitslücken zu sammeln und auszuwerten, muss sie aber nicht publik machen.

• Keine Institution betreibt so viele kritische Sicherheitsstrukturen wie der Staat selbst. Dem Entwurf mangelt es jedoch sowohl an einer einheitlichen Regelung für den Bund als auch an einer länderübergreifenden IT-Sicherheitsstrategie.

• Zahlreiche kritische Infrastrukturen werden heute in Deutschland noch immer mit gängiger Software wie Windows betrieben – dieser Aspekt wurde überhaupt nicht berücksichtigt. Zunächst müssten neue Systeme entwickelt und implementiert werden, die den modernsten Sicherheitsstandards entsprechen. Die hierbei entstehenden Kosten dürfen nicht ausschließlich auf die Industrien umgelagert werden.

Mario Springer, Geschäftsführer der OILCO Energy Trading (Deutschland) GmbH: „Als Partner der deutschen Brennstoffhändler wissen wir, dass der Sicherheitsaspekt entscheidend bei der Umstellung auf digitale Dienstleistungen ist. Leider haben wir den Eindruck gewonnen, dass der jüngste Entwurf für das IT-Sicherheitsgesetz weder die Spezifikationen der Energiebranche ausreichend berücksichtigt, noch dass er den Mittelstand entlastet. Im Gegenteil: Es drohen ein Ausbau der Bürokratie und eine verstärkte Gefährdungssituation für kritische Energie-Infrastrukturen. Wir hoffen sehr, dass das Bundesministerium des Innern diesen dritten Entwurf erneut überarbeitet.“

Über OILCO Energy Trading:

Die OILCO Energy Trading (Deutschland) GmbH unterstützt den Handel mit Heizöl, Diesel, Flüssiggas und anderen Mineralölprodukten sowie alternativen Heizmitteln (Holzpellets, Brennholz) und allen sonstigen nicht-leitungsgebundenen Energieträgern. Das Berliner Unternehmen ist die erste Echtzeit-Backoffice-Handelsplattform für Händler und Verbraucher. OILCO Energy Trading bietet eine hoch performante Echtzeitanbindung an, die den neuesten Sicherheitsstandards entspricht. Das Unternehmen ist ordentliches Mitglied in der UNITI-Regionalgruppe Bayern (vormals: BBMV), im Deutschen Verband Flüssiggas e.V. (DVFG), im Weltenergierat – Deutschland e.V. sowie im Cyber-Sicherheitsrat Deutschland e.V.

Pressekontakt:

OILCO Energy Trading (Deutschland) GmbH
Friedrichstraße 90
D-10117 Berlin

Telefon: +49-(30) 2025-3512
Telefax: +49-(30) 2025-3340
presse@oilco-energy.com
www.oilco-energy.com

Pressemitteilungen

Security-Lücke „Heartbleed“: So lassen Sie Ihre IT nicht ausbluten

Kommentar von David Sandin, Produktmanager bei Clavister

Security-Lücke "Heartbleed": So lassen Sie Ihre IT nicht ausbluten

David Sandin, Produktmanager bei Clavister

Der Herzschmerz ist momentan in aller Munde, aber nicht aus zwischenmenschlicher, sondern aus IT-technischer Sicht: Kürzlich wurde „Heartbleed“ entdeckt, eine Schwachstelle im OpenSSL-Security-System. Durch diese Sicherheitslücke können private Schlüssel des Serverzertifikats, Benutzernamen und Passwörter ausspioniert werden, und das schon seit rund zwei Jahren. Tatsächlich trifft sie das Herz des Internets, denn zahlreiche internationale Webseiten nutzen die Verschlüsselungssoftware. Clavister-Lösungen sind nicht berührt, da sie kein OpenSSL einsetzen. Was Sie als Betroffener jetzt tun können.

Die Lücke besteht in den OpenSSL-Versionen 1.0.1 bis einschließlich 1.0.1f sowie 1.0.2-beta bis einschließlich 1.0.2-beta1. Daher empfiehlt es sich für Unternehmen, entweder auf die letzte gefixte Version 1.01g zu aktualisieren oder OpenSSL ohne die betroffene „Heartbeat“-Erweiterung des TLS-Protokolls neu aufzusetzen. Möglicherweise wurden zwischenzeitlich die Zertifikate des Webservers kompromittiert oder sogar gestohlen. Aus diesem Grund ist es ratsam, die zuständige Zertifikatsbehörde zu kontaktieren, um einen Ersatz zu erhalten. Zusätzlich sollten Firmen Enduser-Passwörter zurücksetzen, die im Speicher eines attackierten Servers sichtbar gewesen sein könnten.

Erhöhtes Phishing-Risiko
Private Nutzer finden im Artikel des IT-Blogs Mashable eine Zusammenfassung aller Websites und Services, die wahrscheinlich betroffen sind. Außerdem erhalten sie Hilfestellung, ob sie ihre Passwörter ändern müssen. Darüber hinaus sollten sie in ihrem E-Mail-Postfach Vorsicht walten lassen: Es ist mit einem erhöhten Aufkommen an Phishing-Nachrichten zu rechnen, die die Angst vor der Heartbeat-Lücke ausnutzen. Beispielsweise könnte dazu aufgefordert werden, Kennwörter unter einem angegebenen Link zu ändern. Diese Links können allerdings zu bösartigen Websites führen. Passwörter sollten deshalb nur auf der offiziellen Seite des Betreibers direkt geändert werden.

„Annehmen“ ist nicht gleich „wissen“
Der Kern dieser Sicherheitslücke ist ein einfacher Codierungsfehler, der jedem Entwickler unterlaufen kann. Aber für mich haben erst die Annahmen der Nutzer dazu geführt, dass Heartbleed international Schlagzeilen machte:
Annahme Nr. 1: Jemand wird den Code gegengeprüft und auf Sicherheit getestet haben, bevor er der OpenSSL Software Repository hinzugefügt wurde.
Annahme Nr. 2: Da in der Open Source-Entwicklung eine Gemeinschaft von Programmierern ohne kommerzielle Zwänge zusammenarbeitet, wird die Software vermutlich weniger Bugs aufweisen.
Annahme Nr. 3: Weil OpenSSL bei Zehntausenden Websites weltweit eingesetzt wird, darunter einige der größten Online-Marken, sowie von Herstellern in zahlreiche Security-Lösungen integriert wird, ist es wahrscheinlich vollständig getestet, stabil und sicher.

Im Zuge von Heartbleed haben sich diese Annahmen als falsch erwiesen. Eines möchte ich unmissverständlich klarstellen: Weder kritisiere noch befinde ich Open Source Software-Entwicklung für schuldig, ebenso kritisiere ich niemanden, der an der Entwicklung, dem Einsatz oder der Nutzung von OpenSSL beteiligt war. Fehler und Schwachstellen passieren, das kommt auch bei der international populärsten, kommerziellen Software vor, wie der monatliche „Patch Tuesday“ beweist.

Blindes Vertrauen
Der blinde Ansturm auf den Einsatz von OpenSSL – weil es „jeder“ nutzt und es durch den Open-Source-Ansatz kostenfrei ist – spielte eine wesentliche Rolle in Bezug auf das Ausmaß und die Schwere der Heartbleed-Lücke. Es scheint, als ob Hersteller sich nicht darum bemüht haben, den Code zu prüfen, bevor sie ihn in ihre Lösungen eingebaut haben. Dadurch haben viele End-User-Unternehmen Security-Produkte implementiert, die betroffene Code-Versionen einsetzen, um Anwendungen und Web-Services zu schützen, die ebenfalls OpenSSL nutzen und damit dieselbe Schwachstelle haben. Dies gibt Cyber-Kriminellen die Möglichkeit, die Sicherheitslücke gleich doppelt auszunutzen.

Überflüssige Codezeilen?
Aktuell arbeitet eine Open-Source-Software-Gruppe an einer vereinfachten, bereinigten Version von OpenSSL. Sie hat bereits fast 250.000 Codezeilen sowie unbenötigten Content entfernt. Wenn so viele Zeilen gelöscht werden konnten, wie viele sind dann komplett irrelevant für die Nutzung auf einem Network Security Gateway oder einer Firewall? Kommen im Unternehmen Firewall-Lösungen von Clavister zum Einsatz, kann sich der Puls des IT-Teams wieder beruhigen. Denn der schwedische Hersteller setzt weder OpenSSL noch andere Open Source-Produkte ein, um nicht ungewollt Schwachstellen, Backdoors und Bugs von Drittanbietern zu importieren.

Vertrauen plus Technik
Sicherheitslösungen müssen penibel entwickelt und mehrmals getestet werden, um zu gewährleisten, dass jegliche Schwachstellen eliminiert worden sind. Sie sollten nicht auf einem Code „von der Stange“ beruhen oder einen solchen einsetzen, dessen Sicherheit nicht verifiziert ist – unabhängig davon, wie reizvoll dies sein mag, um die Entwicklung neuer Produkte zu beschleunigen. Security bedeutet Vertrauen, basierend auf einer soliden technischen Grundlage. Und das trifft auf Konsumenten, wichtige Websites und IT-Security-Hersteller zu. Das Internet hält schon genug Bedrohungen und Schwachstellen bereit, wir müssen es nicht noch gefährlicher machen, indem wir besorgniserregende Annahmen treffen.

Weitere Informationen hat Clavister in einem PDF zum Download unter http://documents.sysob.com/clavister/clavister-info-heartbleed-comment-en.pdf bereitgestellt. Bildquelle:kein externes Copyright

Kurzporträt Clavister:
Gegründet im Jahr 1997, ist Clavister ein führender Mobile- und Network Security-Provider. Die preisgekrönten Lösungen basieren auf Einfachheit, gutem Design und sehr guter Performance, um sicherzustellen, dass Cloud-Service-Anbieter, große Unternehmen und Telekommunikationsbetreiber den bestmöglichen Schutz gegen die digitalen Bedrohungen von heute und morgen erhalten. Alle Produkte sind in einem skandinavischen Design entworfen, gekoppelt mit schwedischer Technologie. Clavister hält außerdem einen Weltrekord für den schnellsten Firewall-Durchsatz. Weitere Informationen erhalten Sie unter www.clavister.com.

Clavister Deutschland
Thomas Gross
Paul-Dessau-Str. 8
22761 Hamburg
+49 (40) 41 12 59-0
Sales-DE@clavister.com
http://www.clavister.de

Sprengel & Partner GmbH
Fabian Sprengel
Nisterstraße 3
56472 Nisterau
02661-912600
bo@sprengel-pr.com
http://www.sprengel-pr.com

Pressemitteilungen

Herzensangelegenheit: F-Secure gibt Tipps zum Schutz vor dem Heartbleed Exploit

Unabhängig von der aktuell brisanten Sicherheitslücke in OpenSSL bieten Passwort Manager generell zusätzlichen Schutz

München – 14. April 2014: Der aktuell für Schlagzeilen sorgende Heartbleed Exploit ist eine kritische Sicherheitslücke in der OpenSSL-Bibliothek. Der Fehler betrifft den https-Schutz, der verwendet wird, um höchst vertrauliche Online-Sitzungen, wie Online-Banking und -Bezahlung, den Log-in für den E-Mail-Account und andere Online-Dienste, zu ermöglichen. Die Sicherheitslücke erlaubt einem Angreifer möglicherweise völlig unbemerkt Daten aus dem Speicher eines Servers herauszulesen.

Mit den erbeuteten Informationen könnten Angreifer einen Web-Dienst perfekt imitieren. Der Benutzer würde nicht mitbekommen, dass er sich auf einer nicht legitimen Website anmeldet. Das Heikle an Heartbleed ist, dass Hacker und Cyber-Kriminelle bei der Ausnutzung dieser Sicherheitslücke keine Spuren hinterlassen.

Was lässt sich gegen Heartbleed unternehmen? „Server-Administratoren sollten schnellstmöglich mit dem erforderlichen Patch diese erhebliche Sicherheitslücke schließen. Benutzern ist geraten, vorsorglich ihr Passwort sofort zu ändern und sicherheitshalber noch ein zweites Mal in den nächsten Wochen, nachdem hoffentlich alle Web-Dienste den Patch aufgespielt und die Sicherheitslücke geschlossen haben“, erklärt Rüdiger Trost, Sicherheitsexperte bei F-Secure.

Trotz Heartbleed: Passwort bleibt wichtiger Schutzmechanismus

Abgesehen vom Heartbleed Bug, der OpenSSL verwundbar gemacht hat, bleibt das Passwort eines der wichtigsten Mechanismen zum Schutz vertraulicher Daten im Internet. Dies erfordert entweder den eigenverantwortlichen und durchdachten Umgang mit dem Thema Passwort oder – als komfortablere Variante – die Unterstützung durch einen Passwort-Manager.

Nimmt der Benutzer die Passwortverwaltung selbst in die Hand, ist Folgendes zu beachten: Je länger und komplexer das Passwort, desto sicherer ist es. Ein Code aus beliebig gemischten Buchstaben, Zahlen und Sonderzeichen ist Kombinationen aus Begriffen oder Namen, wie z.B. „sabine2014“, in jedem Fall vorzuziehen. Ebenso wichtig ist es, für jeden Web-Dienst ein eigenes Passwort anzulegen, damit im Fall eines Passwort-Diebstahls nicht sämtliche genutzten Dienste gefährdet oder betroffen sind.

Anwender stehen damit vor dem Problem, sich mehrere Passwörter, die zwar besonders sicher sind, kaum noch merken zu können. Das ungesicherte Speichern von Passwörtern auf dem eigenen Gerät, das Notieren auf Zetteln oder das Versenden von Passwörtern zwischen verschiedenen Mail-Accounts birgt jedoch erhebliche Sicherheitsrisiken.

Komfortable Passwort-Verwaltung mit Passwort-Manager

Unabhängig von der aktuellen Brisanz bezüglich Heartbleed können sich Benutzer mit einem Passwort-Manager wie F-Secure Key besser und ohne großen Aufwand schützen. F-Secure Key generiert dabei für alle E-Mail-, Social-Media, Shopping- und Banking-Dienste sichere Passwörter, ohne dass sich der Benutzer um die richtige Zusammensetzung kümmern muss, und verwaltet diese. Der Passwort-Manager von F-Secure verwaltet alle Login-Daten, füllt Formularfelder zur Anmeldung automatisch aus und generiert bei Bedarf neue, sichere Passwörter. Alle Daten werden lokal auf dem Gerät verschlüsselt und gespeichert. Die Verschlüsselung erfolgt nach dem Advanced Encryption Standard (AES-256). Jedes Passwort wird mit einem separaten Schlüssel chiffriert, der vom Hauptschlüssel abgeleitet wird. Das Master-Passwort und der daraus abgeleitete Hauptschlüssel werden zu keinem Zeitpunkt irgendwo gespeichert. Alle Passwörter stehen somit dem Benutzer jederzeit zur Verfügung zur Anmeldung bei den favorisierten Diensten im Internet.

F-Secure – Switch on freedom
F-Secure ist ein Online-Sicherheits- und Datenschutz-Unternehmen aus Finnland. Wir bieten Millionen von Menschen rund um den Globus die Macht, unsichtbar zu surfen, Inhalte zu speichern und zu teilen, sicher vor Online-Bedrohungen. Wir sind hier, um für die digitale Freiheit zu kämpfen. Schließen Sie sich der Bewegung an und schalten Sie um auf Freiheit. F-Secure wurde 1988 gegründet und ist börsennotiert an der NASDAQ OMX Helsinki Ltd.

f-secure.de | twitter.com/fsecure_de | facebook.com/f-secureDE

F-Secure GmbH
Rüdiger Trost
Zielstattstraße 44
81379 München
+49 89 787 467-0
presse-de@f-secure.com
http://www.f-secure.de

Bite Communications GmbH
Miriam Kurek
Flößergasse 4
81369 München
+49 89 444.467-413
f-secure@bitecommunications.com
http://www.bitecommunications.com