Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Nach IT-Großausfall: Delta Airlines hat Klage gegen CrowdStrike eingereicht

Die Fluglinie Delta Airlines macht Ernst: Sie hat bei einem Bezirksgericht an ihrem Firmensitz im US-Bundesstaat Georgia Klage gegen CrowdStrike eingereicht. Der Grund der Klage ist keine Überraschung, Delta hätte gern Schadenersatz für die Ereignisse rund um den IT-Großausfall am 19. Juli.

Anzeige

Das fehlerhafte Signatur-Update für CrowdStrikes "Falcon"-Sicherheitssoftware hatte die Reisepläne von mehr als einer Million Delta-Kunden durcheinandergebracht und für 7000 Flugstornierungen gesorgt. Die dadurch entstandenen Umsatzeinbußen und die Kosten der Reparaturmaßnahmen möchte man sich nun von CrowdStrike zurückholen. Über 500 Millionen US-Dollar soll der IT-Dienstleister zahlen, wenn es nach den Anwälten der Fluglinie geht. Verantwortlich für das Desaster war ein trivialer Programmierfehler.

CrowdStrike indes winkt ab und wählte in einer Erklärung gegenüber dem US-Sender CNBC deutliche Worte. Die Ansprüche der Fluglinie basierten auf widerlegten Falschinformationen, zeigten Schwierigkeiten beim Verständnis moderner Cybersicherheit auf und spiegelten den verzweifelten Versuch wider, die Schuld abzuwälzen. Delta habe es versäumt, die antiquierte IT-Landschaft zu modernisieren.

Auch Microsoft hatte bereits im August ins selbe Horn geblasen und konstatierte damals, Delta habe im Gegensatz zu Konkurrenten wie American und United Airlines Erneuerungen seiner Systeme verschlafen und die lange Ausfallzeit so selbst verschuldet.

Weiterlesen
  83 Aufrufe

IBM App Connect Enterprise: Angreifer können Anmeldung umgehen

IBM App Connect Enterprise Certified Container ist mit bestimmten Einstellungen verwundbar und Angreifer können an zwei Schwachstellen ansetzen. Admins sollten sicherstellen, dass eine gegen mögliche Attacken abgesicherte Version installiert ist.

Anzeige

Unternehmen setzen die Integrationssoftware ein, um Geschäftsinformationen über mehrere Hardware- und Softwareplattformen hinweg zu verarbeiten. Nun haben die Entwickler einer Warnmeldung zufolge zwei Sicherheitslücken (CVE-2024-48948 "hoch", CVE-2024-48949 "hoch") im Elliptic-Modul von Node.js zum Überprüfen von Signaturen geschlossen.

Davon sind aber nur Instanzen bedroht, die COS S3 Storage nutzen. Ist das der Fall, können Angreifer etwa mit speziell präparierten Hash-Anfragen Sicherheitseinschränkungen umgehen und sich so unberechtigt Zugriff verschaffen. Darüber hinaus ist es möglich, dass gültige Signature im Zuge eines Angriffs als nicht vertrauenswürdig abgewiesen werden.

Die Entwickler geben an, die Problematik in App Connect Enterprise Certified Container 11.6.0 (Continuous Delivery) geschlossen zu haben. Außerdem müssen Admins sicherstellen, dass alle Dashboard-Komponenten mindestens die Version 12.0.12.2-r1 aufweisen.

Weiterlesen
  87 Aufrufe

VMware Tanzu Spring Security: Umgehung von Autorisierungsregeln möglich

In VMware Tanzu Spring Security können Angreifer eine kritische Sicherheitslücke missbrauchen, um Autorisierungsregeln zu umgehen. Aktualisierte Software steht bereit, die das Sicherheitsleck stopft.

Anzeige

Bei Spring Security handelt es sich um ein weitreichend konfigurierbares Authentifizierungs- und Zugriffskontroll-Framework, das quasi den Standard zur Sicherung von Spring-basierten Anwendungen darstellt. In einer Sicherheitsmitteilung warnen die Spring-Security-Entwickler, dass unter gewissen Umständen in Spring Webflux-Anwendungen, die Spring-Security-Autorisierungsregeln auf statistische Ressourcen einsetzen, jene Regeln umgehbar sind (CVE-2024-38821, CVSS 9.1, Risiko "kritisch"). Konkret müsse es eine Webflux-Anwendung sein, die den Support für statische Ressourcen von Spring nutzt und eine "nicht alles erlauben"-Regel für diese statischen Ressourcen anwende.

Die Sicherheitslücke betrifft Spring Security 5.7.0-5.7.12, 5.8.0-5.8.14, 6.0.0-6.0.12, 6.1.0-6.1.10, 6.2.0-6.2.6, 6.3.0-6.3.3 sowie ältere, inzwischen nicht mehr unterstützte Versionen. Die Versionen 5.7.13, 5.8.15, 6.0.13 und 6.1.11 sind mit Enterprise-Support erhältlich. Die aktualisierten Fassungen 6.2.7 und 6.3.4 stehen als Open Source Software zur Verfügung.

Wer Spring Security einsetzt, sollte die nun verfügbaren Aktualisierungen zügig herunterladen und installieren, da die damit geschlossene Sicherheitslücke als kritisches Risiko eingeordnet wurde. Andernfalls hätten Angreifer ein leichtes Spiel, die Schwachstelle zu missbrauchen.

Weiterlesen
  86 Aufrufe

Lagebericht 2024: Fast 8 Millionen Mal installierte Malware in Google Play

Das IT-Sicherheitsunternehmen Zscaler hat die ThreatLabz-Analyse der vergangenen 12 Monate bezüglich mobiler Malware herausgegeben. Heraus stechen etwa die fast acht Millionen Mal installierten Malware-infizierten Apps. Von denen hat Zscaler mehr als 200 im Google Play Store entdeckt.

Anzeige

Der Report lässt sich nach Angabe von E-Mail-Adresse und Namen bei Zscaler herunterladen. Einige Erkenntnisse heben die Verfasser hervor. So haben sie eine Zunahme von 29 Prozent bei mobiler Banking-Malware ausgemacht, und sogar eine 111-Prozent-Zunahme bei Spyware im Zeitraum der letzten 12 Monate. Knapp die Hälfte der mobilen Angriffe machten demnach Trojaner aus. Die finanzielle Motivation zeige sich auch darin, dass die Malware oftmals in der Lage ist, Multi-Faktor-Authentifizierung zu umgehen und oftmals Phishing-Versuche starte, etwa mit gefälschten Log-in-Seiten für unterschiedliche Finanzinstitutionen.

Im Google Play Store hat Zscaler demnach in dem Beobachtungszeitraum mehr als 200 bösartige Apps aufgespürt. Sie kommen zusammen auf fast acht Millionen Installationen. Als Beispiel heben die Autoren die Anatsa-Malware hervor, die in Asien und Europa aktiv sei und sich oftmals als PDF- oder QR-Code-Reader-Apps tarnen, um den bösartigen Code zu verteilen. Anatsa greife mehr als 650 Finanzinstitutionen weltweit an und reiche damit bis nach Deutschland, Finnland, Spanien, Singapur und Südkorea.

Am häufigsten werden die Bereiche Industrie und Bildung mit mobiler Malware angegriffen, gefolgt von Produktion. Die globale Verteilung überrascht ein wenig: Indien ist mit Abstand das am häufigsten mit Mobile-Malware attackierte Land, gefolgt von den USA und schließlich Kanada. Erst an vierter Stelle steht mit den Niederlanden ein europäisches Land. Deutschland taucht in den Top Ten laut der Zscaler-Messung nicht auf.

Weiterlesen
  81 Aufrufe

Pwn2Own Irland: Samsung S24 geknackt, mehr als eine Million US-Dollar Prämien

Die Zero Day Initiative (ZDI) von Trend Micro hat den Hacker-Wettbewerb Pwn2Own dieses Jahr in Irland veranstaltet. In der vergangenen Woche konnten IT-Sicherheitsforscher dort Prämien für die erfolgreiche Ausnutzung von Zero-Day-Sicherheitslücken einstreichen. Dieses Jahr hätten die Preisgelder erstmals die Gesamtsummer von einer Million US-Dollar überstiegen, die die Gewinner für mehr als 70 Zero-Days einstreichen konnten.

Anzeige

Unter anderem standen Geräte der Internet-of-Things-Klasse, Network-Attached-Storage-Systeme (NAS), Mobiltelefone oder Drucker auf der Liste der angegriffenen Geräte. Am ersten Tag gelang es Teilnehmern etwa, NAS von QNAP oder Synology, Netzwerkdrucker von Canon und HP, Sonos-Lautsprecher, die Kameras Ubiquiti AI Bullet und Lorex 2K WiFi zu knacken. Insgesamt wurden bereits für mehr als 50 Zero-Days Prämien in Höhe von 516.000 US-Dollar ausgezahlt.

Am zweiten Tag kamen weitere 358.000 US-Dollar an Preisgeldern hinzu. IT-Forschern gelang die unbefugte Installation einer App nach der Erlangung des Zugriffs auf eine Shell beim Samsung Galaxy S24. Weitere erfolgreiche Angriffe zeigten sie auf Sicherheitslücken in Canon- und HP-Druckern, Sonos-Speakern sowie QNAP- und Synology-NAS.

Am dritten Tag gelang den Teilnehmern etwa das Kompromittieren von QNAP- und Synology-NAS sowie Lexmark-Druckern. Außerdem kam es zur Vorführung von Bugs, die andere Gruppen ebenfalls gefunden und schon an den Vortagen gezeigt hatten, sogenannte Kollisionen. Am vierten Tag gab es weitere solche Kollisionen, aber eine weitere Gruppe führte vor, wie sie Zugriff auf ein QNAP-NAS und von dort weiter auf einen Lexmark-Drucker erlangten. Ein weiteres Team zeigte zudem eine direkt missbrauchte Lücke in dem Lexmark-Drucker.

Weiterlesen
  86 Aufrufe

Nvidia: Rechteausweitung durch Sicherheitslücken in Grafiktreiber möglich

Nvidia hat Sicherheitslücken in den Treibern zu den Grafikkarten entdeckt. Sie ermöglichen Angreifern unter anderem, ihre Rechte im System auszuweiten. Aktualisierte Treiber stehen bereit, die die Schwachsstellen ausbessern.

Anzeige

In einer Sicherheitsmitteilung listet Nvidia die einzelnen Sicherheitslücken und ihre Auswirkungen auf. Sie betreffen Geforce-Grafikkarten sowie Nvidia Quadro, RTX, NVS und Karten mit Tesla-Streamingprozessoren. Die Treiber sind sowohl in den Linux- als auch den Windows-Versionen anfällig.

Informationen zu den Schwachstellen selbst hält Nvidia dezent zurück. Die gravierendste Sicherheitslücke beschreiben die Entwickler etwa folgendermaßen: Nvidia GPU Display-Treiber für Linux und Windows enthalten eine Schwachstelle, die Angreifern mit Zugriffsrechten die Ausweitung ihrer Rechte ermöglicht. Ein erfolgreicher Missbrauch der Schwachstelle könnte zur Ausführung von Code, einem Denial-of-Service, Rechteausweitung, Informationsabfluss oder Datenmanipulation führen (CVE‑2024‑0126, CVSS 8.2, Risiko "hoch"). Es fehlen jedoch etwaige Details, worin die Lücke genau besteht und wie sie sich missbrauchen lässt, wie Angriffe aussehen würden und wie Betroffene diese erkennen könnten.

Weitere fünf Sicherheitslücken finden sich demnach im Windows-Treiber im Usemode-Code, die Nutzern ohne signifikante Rechte im System etwa Lesezugriffe außerhalb vorgesehener Grenzen ermöglichen (CVE‑2024‑0117, CVE‑2024‑0118, CVE‑2024‑0119, CVE‑2024‑0120, CVE‑2024‑0121; alle CVSS 7.8, hoch). Die Auswirkungen sind im Wesentlichen dieselben wie bei der schwerwiegendsten Sicherheitslücke.

Weiterlesen
  97 Aufrufe

heise-Angebot: iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Sind Webanwendungen nicht ausreichend geschützt, werden sie früher oder später das Ziel von Angriffen und öffnen so die Tür zu sensiblen Daten und internen Unternehmensnetzwerken. Über die häufigsten Sicherheitslücken informiert das Open Web Application Security Project (OWASP®) in seinen Top Ten Web Application Security Risks.

Anzeige

Im iX-Workshop OWASP Top 10®: Kritische Sicherheitsrisiken für Webanwendungen verstehen erklärt und demonstriert Björn Kaidel die Schwachstellen aus der Top-10-Rangliste und ihre Auswirkungen. Sie lernen dabei nicht nur die Risiken kennen, sondern erfahren auch, wie Sie Schwachstellen in der eigenen IT aufspüren und beheben können, um sich so bestmöglich gegen Cyberattacken und Datendiebstahl zu schützen. Es handelt sich um einen Grundlagenworkshop, Vorwissen zum Thema Webanwendungssicherheit wird nicht benötigt.

Sicherheitsexperte Björn Kaidel arbeitet bei der secuvera GmbH in den Bereichen Penetrationstests und Prüfstelle, wo er unter anderem eine Sicherheitsmethodik für einen internationalen Großkunden mitentwickelt und Produktprüfungen durchgeführt hat.

Der Workshop richtet sich an Entwickler, Product Owner, Sicherheitsverantwortliche, Softwarearchitekten und Admins. Ein grundlegendes Verständnis von Webanwendungen sowie Grundkenntnisse in Programmierung und Informationssicherheit werden vorausgesetzt.

Weiterlesen
  97 Aufrufe

IT-Sicherheit: Bundestag testet heimlich Phishing-Resilienz von Abgeordneten

Der Bundestag lässt prüfen, ob die Abgeordneten und ihre Mitarbeiter auf Lockmails im Rahmen von Phishing-Attacken hereinfallen. Die Büros von Politikern aller Fraktionen sollen in den vergangenen Tagen eine Reihe von E-Mails erhalten haben, die vermeintlich von der Parlamentsverwaltung stammten, schreibt der Spiegel. Wer auf einen darin enthaltenen Link geklickt habe, sei auf einer angesteuerten Webseite aufgefordert worden, persönliche Informationen wie Passwörter einzugeben.

Anzeige

Die Phishing-Kampagne ist dem Bericht zufolge Teil eines offiziellen Penetrationstests. Ziel sei es, der IT-Sicherheit im Bundestag verdeckt auf den Zahn zu fühlen. Die Kommission für Informations- und Kommunikationstechnologien (IuK) des Ältestenrats habe diese Maßnahme beschlossen. Inzwischen seien alle Abgeordneten mit einem Schreiben der IT-Sicherheit des Bundestags über die Hintergründe der Aktion aufgeklärt worden.

Viele Empfänger sind auf die verdächtigen E-Mails nicht hereingefallen. Sie hätten diese "wie vorgesehen" an eine Meldestelle weitergeleitet oder sich an die IT-Hotline des Bundestags gewandt, zitiert der Spiegel aus dem Schreiben. Ein solcher Umgang sei für eine wirkungsvolle Abwehr wirklicher Phishing-Kampagnen "unbedingt notwendig". Offenbar waren aber nicht alle Betroffenen sensibilisiert genug: An all diejenigen, "die Links in den E-Mails angeklickt" und dabei gegebenenfalls Anmeldeinformationen eingegeben haben, geht der Appell, "das Passwort vorsorglich zu ändern".

"Es ist gut, dass sich alle Verfassungsorgane im Lichte stark gestiegener Bedrohungslagen zur Aufgabe machen, die eigene Resilienz zu erhöhen", lobte der Grünen-Fraktionsvize Konstantin von Notz die unangekündigten Proben. "Hierfür ist Sensibilität gegenüber stark gestiegenen Risiken ein wichtiger Baustein." Der 53-Jährige gehört der IuK-Kommission des Parlaments an, war also vermutlich prinzipiell über das Vorhaben im Bilde.

Weiterlesen
  103 Aufrufe

Wi-Fi-Test-Suite verursacht Sicherheitslücke in Arcadyan-Routern

Die gefundene Sicherheitslücke basiert auf der Testsoftware der Wi-Fi Alliance auf den Routern, die es Angreifern ermöglicht, nahezu beliebigen Code mit Adminrechten auszuführen. Die Wi-Fi-Test-Suite ist eine Plattform, die von der Wi-Fi Alliance entwickelt wurde und das automatisierte Testen von Wi-Fi-Komponenten erlaubt. Während die Open-Source-Komponenten des Toolkits frei erhältlich sind, steht das vollständige Paket nur Mitgliedern der WiFi Alliance zur Verfügung.

Anzeige

Das CERT Coordination Center (CERT/CC) stellte fest, dass die Wi-Fi-Test-Suite normalerweise nicht für den Einsatz in Produktionsumgebungen vorgesehen ist. Dennoch wurde die Software auf ausgelieferten Arcadyan-Routern entdeckt. Die Forscher identifizierten bei der Analyse der Schwachstelle einen Command-Injection-Fehler (CVE-2024-41992). Dieser kann es Angreifern ermöglichen, die vollständige Kontrolle über betroffene Router zu übernehmen.

„Mit einem Zugriff darauf kann der Angreifer Systemeinstellungen ändern, kritische Netzwerkdienste unterbrechen oder das Gerät vollständig zurücksetzen. Diese Aktionen können zu einer Kompromittierung von Netzwerkdaten und einem potenziellen Ausfall des Dienstes für alle Benutzer führen", so die Sicherheitsexperten in einer Gefahreneinschätzung. Inzwischen wurde die Sicherheitslücke von unterschiedlichen Onlineportalen wie Cybersecuritynews und TheHackerNews veröffentlicht.

Bis ein Herstellerpatch zur Verfügung steht, empfehlen die Experten, vorhandene Arcadyan-Router auf vorhandene Installationen der Wi-Fi-Test-Suite zu prüfen. Falls die Suite installiert ist, bereinigt eine vollständige Entfernung das Sicherheitsproblem nachhaltig. Wo die Funktionen der Suite im Einsatz sind und ein Entfernen daher nicht in Frage kommt, soll ein Update auf die Release 9.0 der Suite das Risiko des Missbrauchs verhindern.

Weiterlesen
  101 Aufrufe

Black Basta-Gruppe nutzt Microsoft Teams-Chatfunktion

Die Ransomware-Gruppe Black Basta operiert weltweit und ist dafür bekannt, Benutzer mit E-Mail-Spam zu überhäufen und sich dabei als Helpdesk-Mitarbeiter auszugeben, um Daten abzugreifen und Zugänge auszuspähen. Diese Methode wurde nun offenbar dahingehend verändert, dass Microsoft Teams-Chatnachrichten dazu verwendet werden, Kontakt mit Mitarbeitern in Unternehmen aufzunehmen.

Anzeige

Wie das Cybersicherheitsunternehmen ReliaQuest meldete, arbeitet Black Basta bei der neuen Methode mit Microsoft Teams-Chatnachrichten, um Mitarbeiter und Mitarbeiterinnen von Unternehmen in Gespräche zu verwickeln. Dabei geben sich die Kriminellen als Support-, Administrator- oder Helpdesk-Mitarbeiter aus, um sich das Vertrauen der Opfer zu erschleichen.

Teilweise sollen Mitarbeiter von Unternehmen durch die Black Basta-Gruppe zu MS Teams-Chatgruppen eingeladen worden sein. Einmal in der Gruppe im Gespräch war es offenbar leicht, Kontakte zu knüpfen. Über QR-Codes wird dann versucht, die Mitarbeiter auf externe Seiten zu locken. Diese sind dabei auf die betreffende Zielorganisation zugeschnitten und häufig nur die genaue Prüfung der Subdomain von echten Unternehmensseiten zu unterscheiden.

Um sich vor der neuen Phishing-Methode zu schützen, empfiehlt ReliaQuest mehrere Maßnahmen. Dazu gehören das Blockieren von verdächtigen Domains und Subdomains, die Sperrung der Kommunikation von externen Benutzern innerhalb von Microsoft Teams sowie die saubere Definition von vertrauenswürdigen Domänen. ReliaQuest empfiehlt auch, die Protokollfunktion in MS Teams zu aktivieren, um das frühzeitige Erkennen und die Untersuchung von Vorfällen zu erleichtern.

Weiterlesen
  108 Aufrufe

Trend: Der API-Markt wächst, aber Nutzer vernachlässigen die Sicherheit

Der State of the API Report 2024 von Postman stellt fest, dass Unternehmen APIs zunehmend als Produkt behandeln und gezielt entwickeln, vermarkten und monetarisieren. Bei den Nutzern, die Schnittstellen einbinden, bleiben Sicherheitsaspekte oft auf der Strecke.

Anzeige

Die API-Plattform Postman, die selbst Dienste zur API-Vermarktung anbietet, hat für den Report über 5600 Softwareentwicklerinnen und -entwickler befragt, von denen 62 Prozent an kostenpflichtigen Schnittstellen arbeiten. 21 Prozent der befragten Unternehmen erzielen sogar über dreiviertel ihres jährlichen Gesamtumsatzes mit ihren öffentlichen APIs. Selbst große TK-Provider kommen auf den Geschmack.

OpenAI macht in diesem Jahr bereits 79 Prozent des API-Traffics der Postman-Plattform aus.

(Bild: Postman, State oft he API Report 2024)

Weiterlesen
  93 Aufrufe

Chinesische Forscher: Quanten-Annealer durchbricht Verschlüsselungstechniken

Verschlüsselungsalgorithmen sind in den allermeisten Fällen gar nicht dazu da, geheime Botschaften zu verbergen. Viel öfter dient Krytopgraphie dazu, geschäftliche Transaktionen abzusichern, Personen im Internet zu authentifizieren oder dafür zu sorgen, dass wirklich nur Updates aus verlässlichen Quellen eingespielt werden.

Anzeige

Umso beunruhigender wirkt da der Gedanke, dass die Sicherheit herkömmlicher Verschlüsselungsverfahren ausschließlich darauf beruht, dass ihre Entschlüsselung sehr, sehr viel Rechenzeit beansprucht. Was mit klassischen Computern Tausende Jahre dauern würde, ließe sich – zumindest theoretisch – mit Quantencomputern aber sehr viel schneller bewerkstelligen. Bislang gibt es aber noch keine Quantencomputer, die mächtig genug wären, um das zu bewerkstelligen.

Jetzt hat ein chinesisches Forschungsteam prinzipiell gezeigt, wie sich ein moderner Verschlüsselungsalgorithmus mithilfe eines Quantencomputers aushebeln lässt. Das berichtet das Branchenportal The Quantum Insider. Demnach haben die Forschenden zwar keine konkreten Passcodes geknackt. Die chinesische Zeitung South China Morning Post wertet den Angriff jedoch als "reale und erhebliche Bedrohung" für Sektoren, wie das Bankwesen und das Militär.

Ermöglicht wurde der erfolgreiche Angriff zudem nicht durch einen universellen Quantencomputer, sondern durch einen sogenannten "Quanten Annealer" des kanadischen Herstellers D-Wave. Das Unternehmen war weltweit das Erste, das kommerziell verfügbare Quantencomputer anbot. Allerdings lassen sich auf den D-Wave-Quantenprozessoren eigentlich nur spezielle Optimierungsprobleme lösen. Die Kunst der Programmierer besteht darin, die konkreten zu lösenden Probleme zunächst in Optimierungsprobleme umzuformen, damit sie mit einem D-Wave-Prozessor gelöst werden können. Technische Einzelheiten des Angriffs beschreiben Wang Chao von der Universität Shanghai und sein Team in einem Beitrag für das Chinese Journal of Computers.

Weiterlesen
  106 Aufrufe

Moderne Datenkraken: Smart-TVs tracken sogar HDMI-Inhalte

Anzeige

Die Auswertung von Bildinhalten zur Personalisierung von Werbeinhalten ist tief in modernen Fernsehern verankert. Nicht nur App-Entwickler bauen Tracking in ihre Angebote ein – auch die Smart-TV-Hersteller werten umfassend das Nutzungsverhalten aus.

Das Werbe-Tracking bei Smart-TVs ist an sich ein alter Hut. Eine neue Untersuchung britischer, spanischer und kalifornischer Universitäten beschäftigt sich allerdings mit dem Ausmaß auf Betriebssystemebene und den Unterschieden zwischen verschiedenen Nutzungsszenarien, etwa ob eine Streaming-App läuft oder eine Spielkonsole angeschlossen ist. Exemplarisch dient je ein Gerät von Samsung und LG – andere Hersteller sammeln allerdings ebenfalls Daten und dürften ähnlich vorgehen.

Die gute Nachricht vorab: Sämtlicher Analyse-Traffic lässt sich über die Datenschutz- und Privatsphäre-Einstellungen in den TV-Menüs unterbinden, die man meistens aber manuell vornehmen muss (Opt-out). Die Untersuchung bestätigt, dass die Fernseher dann nicht mehr nach Hause telefonieren. Wo diese Optionen versteckt sind, unterscheidet sich nach Hersteller und teilweise Modell. Im Zweifelsfall hilft die Bedienungsanleitung weiter.

Die grundlegende Technik heißt Automatic Content Recognition (ACR): Smart-TVs erstellen regelmäßig Hashes aus den sicht- und teilweise hörbaren Inhalten, Fingerprints beziehungsweise Fingerabdrücke genannt. Diese Hashes werden verschlüsselt in die Hersteller-Clouds geladen und serverseitig mit einer Datenbank aus vorrangig Filmen, Serien und Spielen abgeglichen. Bei einem Match weiß der Hersteller, was der Nutzer gerade schaut oder spielt. Einerseits kann der Hersteller damit selbst passende Werbung in der Oberfläche einblenden, andererseits sind die Erkenntnisse auch für Werbeabkommen nützlich.

Weiterlesen
  92 Aufrufe

Objektorientiert und weniger redundant: Das BSI stellt den IT-Grundschutz++ vor

Auf der IT-Sicherheitsmesse it-sa hat das BSI erstmals die Neuauflage des IT-Grundschutzes vorgestellt: BSI-Präsidentin Claudia Plattner kündigte die Revision in der Pressekonferenz zur Messe an und bei einer Extraveranstaltung im Rahmen der Messe stellten die Mitarbeiter des IT-Grundschutz-Teams die Details des IT-Grundschutz++ vor. Die Kompendien des IT-Grundschutzes bietet Behörden und Unternehmen einen Leitfaden für den Aufbau eines Informationssicherheits-Managementsystems (ISMS), womit Unternehmen und Behörden ihre Sicherheitsbemühungen strukturiert angehen. Ein auditiertes ISMS ist dabei eine Grundlage für Sicherheitszertifizierungen wie die ISO 27001. Stichtag für die Neuauflage ist der 1. Januar 2026.

Anzeige

Ziel des BSI ist es, den Grundschutz anwenderfreundlicher zu machen und insbesondere bei der Dokumentation Aufwand und Redundanz zu verringern. Dafür setzt das BSI beim IT-Grundschutz++ auf eine maschinenlesbare Syntax der Bausteine des Grundschutzes als JSON-Objekte, die man dann zum Beispiel auch über Git einfacher verbreiten oder aktualisieren kann. Für eine Messbarkeit der Umsetzung des Grundschutzes arbeitet der IT-Grundschutz++ mit Punktzahlen in den Kategorien Vertraulichkeit, Integrität und Verfügbarkeit für die Bausteine, die in Zukunft Praktiken heißen. Wichtig sind hierbei die Priorität und die Wertigkeit der Maßnahmen. Die Praktiken selbst fallen in fünf Stufen, die sich in "Kann jeder machen" bis "Erhöhter Schutzbedarf" unterteilen. IT-Sicherheit auf dem "Stand der Technik" ist dabei die vierte Stufe. Auf jeder dieser Stufen können Behörden und Unternehmen dann ihren Fortschritt messen, für die Zertifizierung will das BSI noch Schwellenwerte erarbeiten.

Beim aktuellen Grundschutzkompendium arbeitet das BSI derzeit noch an Erweiterungen für KI- und Cloudanwendungen. Diese sollen ebenfalls bis 2026 in den Leitfaden des BSI einfließen. Behörden und Unternehmen, die den Grundschutz aktuell umsetzen, können den dann alten Grundschutz jedoch erst einmal parallel zur neuen Version weiterverfolgen: Das BSI verspricht hier eine mehrjährige Übergangsfrist.

Vorbild für das vereinfachte Umsetzen des IT-Grundschutz++ ist das Projekt Weg in die Basissicherung (WiBA), das seit 2023 Kommunen helfen soll, die nicht durch die Anforderungen des IT-Grundschutzes durchsteigen. Der WiBA soll sukzessiv zum Grundschutz führen und reduziert die aktuell 111 Bausteine auf 67 Bausteine in 19 Checklisten, die eine Aufwandsschätzung für Quick-Wins enthält – der Anspruch ist "Wenig Aufwand, viel Effekt". Dafür bietet der WiBA eine Erklärung der Vorgehensweise, eine empfohlene Reihenfolge, ein Management Summary, das der Institutsleitung die Konzepte und die Relevanz erläutert, und Excel-Listen sowie ein Tool, damit man nicht ausschließlich mit Word-Listen arbeiten muss. Auch eine Lightvariante für Feuerwehren existiert mittlerweile.

Weiterlesen
  99 Aufrufe

Rechtssicherheit von digital unterzeichneten Dokumenten mit mediDOK eForms

Wir werden immer wieder gefragt, ob die mit mediDOK eForms unterzeichneten Dokumenten „rechtssicher“ sind oder ob es sich um eine „rechtssichere“ Unterschrift handelt. Daher möchten wir mit folgendem Beitrag auf die relevanten Aspekte bei der Beantwortung dieser Frage hinweisen.

Was bedeutet überhaupt „rechtssicher“?

Vorab möchten wir darauf hinweisen, dass wir den Begriff „rechtssicher“ nicht weiter in diesem Beitrag verwenden, da der Begriff zu unbestimmt ist. Wir werden eher auf die konkreten Fragestellungen eingehen, die dahinter stecken, also im Wesentlichen ob es sich um eine gültige bzw. rechtsgültige Unterschrift handelt, ob die digitale Unterschrift überhaupt „erlaubt ist“.

EU-Verordnung als Rechtsgrundlage

Den rechtliche Rahmen liefert die EU Verordnung EU 910/2014 (eIDAS Verordnung). Es gibt gemäß dieser eIDAS-Verordnung drei Formen / Stufen der elektronischen Signatur:

die einfache elektronische Signatur,die fortgeschrittene elektronische Signatur unddie qualifizierte elektronische Signatur.

Welche Form bzw. Stufe der elektronischen Signatur ist nun rechtsgültig? Die Antwort ist recht einfach: alle drei Stufen sind rechtsgültig! Durch die eIDAS-Verordnung ist gewährleistet, dass elektronische Signaturen in jeder Form vor EU-Gerichten als Beweis zugelassen sind. Elektronisch signierten Dokumenten darf also nicht die rechtliche Wirksamkeit abgesprochen werden, nur weil sie in elektronischer Form vorliegen. (siehe EU 910/2014, Art. 25 (1))

Welche Stufe gilt für mediDOK eForms?

Mit mediDOK eForms wird eine handgeschriebene elektronische Signatur mit biometrischen Eigenschaften des Unterzeichners erstellt. Es handelt sich hierbei um eine fortgeschrittene elektronische Signatur gemäß Art. 26 der EU Verordnung EU 910/2014. Wesentliche Fakturen hierfür sind:

Weiterlesen
  105 Aufrufe

Sicher surfen: Tor Browser 14 bereinigt Fehler und spaltet Nutzerbasis auf

Die Entwickler des Tor Browsers haben die vierzehnte Version der Software veröffentlicht. Sie behebt Dutzende Fehler und aktualisiert die Browser-Engine auf Firefox ESR 128. Um das zu leisten, mussten die Tor-Entwickler einen umfangreichen Audit absolvieren. Auch unter Android hat sich einiges getan: Die App wird schlanker und neue Identitäten sind mit wenigen Fingerzeigen angefordert.

Anzeige

Der Tor Browser ist die wohl simpelste Möglichkeit für Anwender, das anonymisierende Netzwerk zu nutzen und sogenannte "hidden services" im Darknet über deren onion-Adresse abzurufen. In seinem Kern basiert der Browser auf Firefox ESR (Extended Support Release), den die Tor-Entwickler weiter anpassen, um ihn weniger geschwätzig zu machen. So modifiziert der Tor Browser die verräterische "User Agent"-Kennung, enthält standardmäßig die Erweiterung "Noscript" zur Unterdrückung neugieriger Skripte und blockiert unsichere oder zum Tracking geeignete Funktionen in drei Sicherheitssstufen.

Der Tor Browser erlaubt Nutzern, schnüffelnde Skripte und Web-Elemente in drei Sicherheitsstufen einzuschränken.

(Bild: heise security / cku)

Weiterlesen
  106 Aufrufe

heise-Angebot: heise security Webinar am Mittwoch: IoT-Gefahren erkennen und abwenden

Riesige Bot-Netze aus Routern, Kameras, NAS und anderen Gerätschaften sind eine akute Bedrohung für die IT. Sind Sie sich sicher, dass da nicht auch eines der Geräte aus Ihrem Netz bereits unter fremder Kontrolle ist? IoT-Geräte haben eine permanente Netzwerk-Anbindung und strotzen oft nur so von trivial auszunutzenden Sicherheitslücken. Patches gibt es nicht und wenn doch, dann finden sie nur selten ihren Weg auf die bereits aktiven Geräte. Das macht sie zum idealen Einfallstor oder Brückenkopf für Cybercrime. Andererseits bieten die smarten Geräte so vielfältigen Nutzen, dass sie längst zum Alltag gehören.

Anzeige

Damit bleibt es an Admins und Sicherheitsverantwortlichen, die davon ausgehende Gefahr irgendwie in den Griff zu bekommen. Dieses halbtägige heise security XXL Webinar vermittelt nicht nur das dafür nötige Wissen; die Referenten geben auch ganz konkrete, praxistaugliche Tipps und Anleitungen, wie Sie mit der Gefahr durch IoT-Geräte sinnvoll umgehen. Dabei schöpfen Dennis Heinze und Frieder Steinmetz aus ihrem Fundus langjähriger Erfahrung im Bereich Pen-Testing und IoT-Hacking.

Das Webinar zeigt die typischen Schwachstellen auf und gibt praktische Tipps, wie Sie auch ohne ausgiebiges Pen-Testing das von einem Gerät ausgehende Gefahren-Potenzial quantifizieren können. Das mündet in eine Check-Liste für das Evaluieren existierender oder demnächst anzuschaffender Geräte. Und schlussendlich stellen die Referenten die nötigen Konzepte und Architekturen vor, die einen verantwortungsbewussten Betrieb potenziell unsicherer Geräte ermöglichen und geben praxistaugliche Empfehlungen für den Umgang mit Altlasten.

Das XXL Webinar findet statt am 30. Oktober 2024 und dauert circa drei Stunden, in denen auch viel Raum für Fragen der Teilnehmer vorgesehen ist. Wie bei allen heise security Events ist die Veranstaltung komplett werbefrei und unabhängig. Sie richtet sich vor allem an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen. Die Teilnahme kostet regulär 295 Euro. Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen (ihr erhaltet die Informationen dazu wie üblich über den exklusiven Security-Newsletter und im neuen PRO-Forum).

Weiterlesen
  92 Aufrufe

Bei Solarwinds Orion geschummelt: Börsenaufsicht bestraft IT-Firmen​

"Das Ausmaß wesentlicher Verletzungen der IT-Sicherheit herunterzuspielen, ist eine schlechte Strategie. " Das schreibt Jorge G. Tenreiro von der US-Kapitalmarktbehörde SEC börsennotierten Firmen ins Stammbuch. Die Behörde hat gerade Unisys, Avaya, Check Point und Mimecast bestraft, weil sie die Auswirkungen von Angriffen über Solarwinds Orion kleingeredet haben. Tenreiro ist amtierender Leiter der Crypto Assets and Cyber Unit (CACU) der SEC (Securities Exchange Commission).

Anzeige

Mutmaßlich staatlichen Hackern Russlands ist es 2019 gelungen, SolarWinds' Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die damals mehr als 300.000 Kunden weltweit eingesetzt haben. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium. Durch das Einspielen der Updates wurden ihre Systeme ab März 2020 kompromittiert. Ende 2020 entdeckte Fireeye die Hintertüren. Im Februar 2021 sprach Microsoft-President Brad Smith vom "größten und raffiniertesten Angriff, den die Welt je gesehen hat".

Unisys muss mit vier Millionen US-Dollar die höchste Strafe zahlen, weil die Behörde dort eine weitere Verfehlung entdeckt hat: Die interne Aufsicht über die rechtlich vorgeschriebenen Mitteilungen an Aktionäre, Gläubiger und potenzielle Investoren war mangelhaft. Das trägt laut SEC mit Schuld daran, dass Unisys seine IT-Sicherheitsrisken als rein hypothetisch beschrieben hat, obwohl Solarwinds-Einbrecher sich nicht nur einmal, sondern bereits zweimal Zugriff auf Unisys-Systeme verschafft und Daten exfiltriert hatten.

Avaya zahlt eine Million Dollar. Das auf Dienstleistungen rund um Unified Communications spezialisierte Unternehmen hat zwar zugestanden, dass die Täter eine "beschränkte Zahl an E-Mails der Firma" abgerufen haben. Leider vergaß Avaya zu erwähnen, dass sich die Einbrecher auch an mindestens 145 Dateien im cloudbasierten Filesharing zu schaffen gemacht haben.

Weiterlesen
  105 Aufrufe

Deutscher Cybersicherheitsmarkt erstmals elfstellig

Angesichts der zunehmenden Bedrohung durch Cyberangriffe investiert Deutschland verstärkt in IT-Sicherheit. Im laufenden Jahr steigen die entsprechenden Ausgaben um 13,8 Prozent auf 11,2 Milliarden Euro und übersteigen damit erstmals die 10-Milliarden-Euro-Marke.

Damit wächst der deutsche IT-Sicherheitsmarkt auch im internationalen Vergleich besonders stark. Der Weltmarkt wächst um 12,1 Prozent auf 222,6 Milliarden Euro. Das teilte der Digitalverband Bitkom auf Grundlage von Daten des Marktforschungsinstituts IDC anlässlich der IT-Sicherheitsmesse it-sa Expo&Congress in Nürnberg mit.

Markt für Security-Software wächst stark

„Eine erfolgreiche Cyberattacke kann existenzbedrohend sein, daher sollte sich jedes Unternehmen schützen und seine IT-Sicherheit hochfahren. Aber auch öffentliche Verwaltungen und Behörden müssen ihre IT-Sicherheit immer wieder auf den Prüfstand stellen und nachjustieren“, sagt Bitkom-Hauptvorstand Udo Littke. Jeder in IT-Sicherheit investierte Euro lohne sich, so Littke weiter. Deutschen Unternehmen ist der Bitkom-Wirtschaftsschutzstudie zufolge zuletzt durch Sabotage, Spionage und Datendiebstahl ein jährlicher Schaden von 267 Milliarden Euro entstanden, davon allein rund 179 Milliarden Euro durch Cyberattacken.

Am stärksten legen im laufenden Jahr laut IDC die Ausgaben für Sicherheitssoftware zu. Sie steigen um 17,3 Prozent auf 5,8 Milliarden Euro. Knapp dahinter folgen die Aufwendungen für Dienstleistungen rund um IT-Sicherheit mit einem Plus von 11,4 Prozent auf 4,4 Milliarden Euro. Die Ausgaben für IT-Sicherheits-Hardware legen ebenfalls zu, allerdings mit einem Wachstum um 5,2 Prozent auf rund 970 Millionen nicht ganz so stark.

Original Autor: Redaktion / MG

  98 Aufrufe

Sicherheitsforscher haben funktionsfähige macOS-Malware entdeckt

Offenbar haben Cyberkriminelle bemerkt, dass sie die Taktiken, die sie auf anderen Plattformen fahren, auch auf Apple-Systeme anwenden können. Sicherheitsforscher der Firma Trend Micro haben macOS-Malware entdeckt, die in der Lage ist, Dateien zu sperren und Daten zu exfiltrieren. Bisher gab es Ransomware, die auf macOS abzielt, bestenfalls als Proof of Concept, schlechtestenfalls tat sie nicht, was sie sollte.

Anzeige

Nach erfolgter Verschlüsselung der Dateien auf dem System gab sich die Malware per geändertem Desktop-Banner als LockBit-Ransomware aus. Offenbar stammte die Schadsoftware jedoch nicht von der bekannten Ransomware-Gruppe, auch wenn einer der erfolgreicheren unter den vorangegangenen Versuchen, Ransomware für macOS zu entwickeln, tatsächlich von LockBit stammte. Das Wallpaper zeigte die Aufschrift LockBit 2.0, die Schadsoftware der Gruppierung liegt allerdings schon seit Längerem in Version 3.0 vor und die Entwickler wurden gefasst. Hinter dem jetzt entdeckten Sample scheint ein anderer Akteur zu stecken, der nur den Namen der bekannteren Gruppierung nutzt.

Geschrieben ist die Ransomware laut der Forscher in der von Google entwickelten Programmiersprache Go. Sie wird als x86_64-Binärdatei verteilt, was bedeutet, dass sie nur auf Macs mit Intel-Prozessor läuft – oder auf Apple Silicon Macs, auf denen die Rosetta Emulation Software installiert ist.

Forscher der Firma Sentinel, die das Thema auf ihrem Blog aufgreifen, schlagen den Namen macOS.NotLockBit für die Schadsoftware vor. Sie haben zusätzlich zu den bereits von anderen Forschern identifzierten eine Reihe weiterer sogenannter Mach-O-Dateien gefunden. Mach-O ist ein spezielles Dateiformat für Programme, Objektcode und dynamische Bibliotheken, das in macOS verwendet wird. In einem Blogpost haben sie sogenannte Indicators of Compromise (IoC) untersucht. Anhand solcher Hinweise lässt sich im Allgemeinen überprüfen, ob eigene Systeme befallen sein könnten.

Weiterlesen
  99 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image