Einträge von Sascha Kuhrau

, ,

WordPress-Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab

Allen Nutzern des belieb­ten Content-Management-Systems WordPress wird emp­foh­len, das Update auf Version 4.9.4 umge­hend manu­ell ein­zu­spie­len. Das vor­he­ri­ge Update auf Version 4.9.3 war feh­ler­haft und hat die auto­ma­ti­sche Aktualisierung von WordPress abge­schos­sen. Somit wer­den nach Version 4.9.3 kei­ne Fixes Sicherheitslücken mehr auto­ma­tisch ein­ge­spielt. Abhilfe schafft aus­schließ­lich das manu­el­le Update auf 4.9.4 im Backend. Nur so wer­den auch zukünf­ti­ge auto­ma­ti­sche Aktualisierungen sicher­ge­stellt. Nutzer von WordPress soll­ten die­sen Fehler umge­hend manu­ell behe­ben.

Kritische Sicherheitslücke in Browser Firefox

Laut CERT BUND sind alle Versionen des belieb­ten Browsers Firefox vor 58.0.1 von einer kri­ti­schen Sicherheitslücke betrof­fen. Bereits der Besuch einer prä­pa­rier­ten Webseite reicht aus, um Schadcode auf den PC des Besuchers zu brin­gen und auzu­füh­ren. Es wird drin­gend gera­ten, das Update auf die Version 58.0.1 zeit­nah durch­zu­füh­ren. Im Zweifel manu­ell ansto­ßen, nicht auf das Auto-Update war­ten.

, ,

Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren

Seit gerau­mer Zeit rumort es in Anwaltskreisen. Grund ist das beson­de­re elek­tro­ni­sche Postfach, kurz beA genannt. Dies soll­te eigent­lich zum 01.01.2018 ver­pflich­tend zum Einsatz kom­men. Doch dar­aus wur­de nichts. Was mit der Entdeckung eines falsch zur Verfügung gestell­ten Zertifikats Ende 2017 begann (der pri­va­te Schlüssel wur­de mit ver­teilt), fin­det nun sei­nen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) emp­fiehlt in einer Pressemeldung die Client Security zu deak­ti­vie­ren, bes­ser den Client gleich kom­plett zu deinstal­lie­ren. Wie es dazu kom­men konn­te, das trotz angeb­li­cher Sicherheitsüberprüfungen ein unsi­che­res Produkt an die Rechtsanwaltszunft ver­teilt wur­de, klärt die Pressemeldung nicht auf.

BRAK-Vizepräsident Abend erklärt, das “beA erst dann wie­der in Betrieb gehen wird, wenn alle rele­van­ten Sicherheitsfragen geklärt sind.”

Frohes Fest und guten Rutsch

Liebe Leser und Leserinnen unse­res Informationssicherheits-Blogs, lie­be Interessenten, Kunden und Geschäftspartner!

2018 hält für für jeden von uns Überraschungen und Neuerungen parat. Unternehmen und Behörden berei­ten sich auf die EU Datenschutz-Grundverordnung vor. Im Kielwasser der DS-GVO zieht das Thema Informationssicherheit nach. Veränderungen in gewohn­ten Arbeitsweisen wer­den die Folge sein. Der Mensch mag nicht immer die Veränderung, gro­ße Herausforderungen ste­hen daher bevor. Doch auch im Privaten wird es Höhen und Tiefen geben. Kinder und Enkelkinder tre­ten bei dem einen oder ande­ren ins Leben, bei ande­ren wird der Verlust von Angehörigen eine nicht zu schlie­ßen­de Lücke rei­ßen. Doch das Leben wird wei­ter­ge­hen, auch wenn es einem im letzt­ge­nann­ten Fall lan­ge nicht so erschei­nen mag.

Nutzen Sie bit­te die geruh­sa­me Zeit “zwi­schen den Jahren” und zum Neujahrsanfang, um Zeit mit Ihren Lieben und Freunden zu ver­brin­gen. Finden Sie Ruhe und holen Sie Luft, für alles, was 2018 für jeden von uns bereit­hal­ten wird. Herzlichen Dank für Ihr Interesse und die gute Zusammenarbeit im nun fast ver­gan­ge­nen Jahr.

Das Team von a.s.k. Datenschutz wünscht Ihnen und Ihren Lieben ein schö­nes Weihnachtsfest und einen guten Rutsch in ein gesun­des und glück­li­ches Jahr 2018.

Auf Wiederlesen im Neuen Jahr

PS: Statt Weihnachtskarten haben wir in die­sem Jahr erneut der Stefan Hahn Kinderstiftung gespen­det. Es gibt nichts Wichtigeres, als unse­ren Kindern die Chance auf einen guten Start ins Leben zu ermög­li­chen.

, , , , , ,

Suchmaschine für gehackte Passwörter

Statt nach kom­pro­mit­tier­ten Email-Adressen der eige­nen Webaccounts zu suchen, besteht nun auch die Möglichkeit, sei­ne genutz­ten Passwörter zu über­prü­fen. Ob die­se bei einem Hack erfolg­reich geknackt wur­den und somit meist in ein­schlä­gi­gen Kreisen bekannt sind, kann durch einen neu­en Online-Service geprüft wer­den. Pfiffige Admins nut­zen die bereit­ge­stell­te API und schlie­ßen die­se gehack­ten Passwörter in eige­nen Netz von vorn­her­ein aus. Mehr Infos und den Link zum Prüfservice fin­den Sie im Blogbeitrag.

, ,

Aufatmen bei bayerischen Kommunen — Umsetzungsfrist Informationssicherheitskonzept nach Artikel 8 BayEGovG soll verlängert werden

Nach aktu­el­ler Rechtslage gemä­ße Artikel 8 BayEGovG sind baye­ri­sche Kommunen ver­pflich­tet, bis zum 01.01.2018 ein Informationssicherheitskonzept ein­zu­füh­ren und zu betrei­ben. Nach Verabschiedung des BayEGovG im Dezember 2015 hat die­se kur­ze Umsetzungsfrist für eini­ge Aufregung unter baye­ri­schen Kommunalen Einrichtungen gesorgt. Doch jetzt ist wahr­schein­lich Aufatmen ange­sagt.

Der Gesetzentwurf der Staatsregierung zur Errichtung des Landesamts für Sicherheit in der Informationstechnik LT-Drs. 17/17726 vom 11.07.2017 sieht nun vor, dass die­se Verpflichtung erst am 01.01.2019 in Kraft tritt (vgl. Ziffer 11 b des Gesetzentwurfs). Mehr dazu im Blogbeitrag.

, , ,

Fritz!Box — der Spion im eigenen Haus

Wer sich über Hacking infor­miert, stößt zu Beginn schnell auf Begriffe und Tools wie nmap, Wireshark oder das Hacking-Betriebssystem Kali-Linux (als vir­tu­el­le Maschine ready to go zum Herunterladen). Doch so tief muss man gar nicht ein­stei­gen. Die weit ver­brei­te­te Fritz!Box ent­hält eine im Anwender-Handbuch undo­ku­men­tier­te Mitschneide-Möglichkeit des KOMPLETTEN Datenverkehrs im inter­nen Netzwerk (egal ob kabel­ge­bun­den oder WLAN). Und das in jedem von uns gete­ste­ten Modell und das seit Jahren. Sofern Remote-Zugriffe auf die Fritz!Box mög­lich sind, kann der Netzwerkverkehr auch von außen abge­grif­fen wer­den. Eigentlich eine sinn­vol­le Funktion zur Fehleranalyse, bringt die­se Funktion erheb­li­ches Schadenspotential mit sich. Und die Fritz!Box ist bei Unternehmen, Behörden und Privatanwendern sehr beliebt. Entsprechend hoch die Verbreitung. Wohl dem, der eini­ge Sicherheitsmaßnahmen getrof­fen hat. Mehr lesen Sie in unse­rem kom­plet­ten Blogbeitrag.

, , ,

Benötigt meine Organisation einen Informationssicherheitsbeauftragten?

Immer wie­der ein Thema bei Veranstaltungen oder auch Webinaren zur Informationssicherheit ist die Frage “Muss ich einen Informationssicherheitsbeauftragten bestel­len?” oder auch “Ist denn ein Informationssicherheitsbeauftragter in mei­ner Organisation not­wen­dig?”.

Wieso Sie an der Bestellung eines Informationssicherheitsbeauftragten (oder wie auch immer Sie die­se Funktion in Ihrer Organisation benen­nen) nicht vor­bei­kom­men und wie die­ser Ihre Investitionen (Zeit und Geld) in Informationssicherheit absi­chert, zei­gen wir Ihnen in unse­rem aktu­el­len Webvideo zum Thema ” Der Informationssicherheitsbeauftragte” oder “Einer muss es ja am Laufen hal­ten” auf unse­rem Youtube-Channel.

Dabei beleuch­ten wir die Notwendigkeiten einer sol­chen Funktion z.B. auf Basis des BayEGovG für baye­ri­sche Kommunen aber auch für Unternehmen abge­lei­tet aus der EU-Datenschutzgrundverordnung (EU-DSGVO). Die Links fin­den Sie im Blogbeitrag.