Einträge von Sascha Kuhrau

,

Magento‐Shops kompromittiert — Kreditkartendaten werden bereits abgegriffen

Mittels Brute‐Force‐Attacken ver­schaf­fen sich Hacker aktu­ell Zugriff auf den Admin‐Bereich von Online‐Shops, wel­che die Software Magento nut­zen. Dabei wird ein Javascript‐Code ein­ge­fügt, der ab sofort in Echtzeit die Eingabedaten der Shop‐Kunden mit­schreibt und an einen Server in Russland über­trägt. Darin sind die Zahlungsinformationen ent­hal­ten, die dann miß­braucht wer­den kön­nen.

Informationen, wie Sie als Magento‐Shopbetreiber den besag­ten Schadcode iden­ti­fi­zie­ren kön­nen, fin­den Sie im Sicherheitsbeitrag des Entdeckers die­ses Problems. Der Autor gibt dar­in gleich wei­te­re Tipps zur Absicherung wie die Vergabe gehär­te­ter Admin‐Passwörter und vie­le mehr.

Da die­ser Angriff eine mel­de­pflich­ti­ge Datenpanne im Sinne der DSGVO dar­stellt und sich durch den Mißbrauch von Zahlungsinformationen schnell hohe Schadensersatzbeträge auf­sum­mie­ren kön­nen, soll­ten Sie als Magento‐Shopbetreiber zeit­nah prü­fen, ob Ihr Server ent­spre­chend mani­pu­liert wur­de. Mehrere tau­send infi­zier­te Shops sind bereits bekannt.

, ,

WordPress‐Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab

Allen Nutzern des belieb­ten Content‐Management‐Systems WordPress wird emp­foh­len, das Update auf Version 4.9.4 umge­hend manu­ell ein­zu­spie­len. Das vor­he­ri­ge Update auf Version 4.9.3 war feh­ler­haft und hat die auto­ma­ti­sche Aktualisierung von WordPress abge­schos­sen. Somit wer­den nach Version 4.9.3 kei­ne Fixes Sicherheitslücken mehr auto­ma­tisch ein­ge­spielt. Abhilfe schafft aus­schließ­lich das manu­el­le Update auf 4.9.4 im Backend. Nur so wer­den auch zukünf­ti­ge auto­ma­ti­sche Aktualisierungen sicher­ge­stellt. Nutzer von WordPress soll­ten die­sen Fehler umge­hend manu­ell behe­ben.

Kritische Sicherheitslücke in Browser Firefox

Laut CERT BUND sind alle Versionen des belieb­ten Browsers Firefox vor 58.0.1 von einer kri­ti­schen Sicherheitslücke betrof­fen. Bereits der Besuch einer prä­pa­rier­ten Webseite reicht aus, um Schadcode auf den PC des Besuchers zu brin­gen und auzu­füh­ren. Es wird drin­gend gera­ten, das Update auf die Version 58.0.1 zeit­nah durch­zu­füh­ren. Im Zweifel manu­ell ansto­ßen, nicht auf das Auto‐Update war­ten.

, ,

Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren

Seit gerau­mer Zeit rumort es in Anwaltskreisen. Grund ist das beson­de­re elek­tro­ni­sche Postfach, kurz beA genannt. Dies soll­te eigent­lich zum 01.01.2018 ver­pflich­tend zum Einsatz kom­men. Doch dar­aus wur­de nichts. Was mit der Entdeckung eines falsch zur Verfügung gestell­ten Zertifikats Ende 2017 begann (der pri­va­te Schlüssel wur­de mit ver­teilt), fin­det nun sei­nen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) emp­fiehlt in einer Pressemeldung die Client Security zu deak­ti­vie­ren, bes­ser den Client gleich kom­plett zu deinstal­lie­ren. Wie es dazu kom­men konn­te, das trotz angeb­li­cher Sicherheitsüberprüfungen ein unsi­che­res Produkt an die Rechtsanwaltszunft ver­teilt wur­de, klärt die Pressemeldung nicht auf.

BRAK‐Vizepräsident Abend erklärt, das “beA erst dann wie­der in Betrieb gehen wird, wenn alle rele­van­ten Sicherheitsfragen geklärt sind.”

Frohes Fest und guten Rutsch

Liebe Leser und Leserinnen unse­res Informationssicherheits‐Blogs, lie­be Interessenten, Kunden und Geschäftspartner!

2018 hält für für jeden von uns Überraschungen und Neuerungen parat. Unternehmen und Behörden berei­ten sich auf die EU Datenschutz‐Grundverordnung vor. Im Kielwasser der DS‐GVO zieht das Thema Informationssicherheit nach. Veränderungen in gewohn­ten Arbeitsweisen wer­den die Folge sein. Der Mensch mag nicht immer die Veränderung, gro­ße Herausforderungen ste­hen daher bevor. Doch auch im Privaten wird es Höhen und Tiefen geben. Kinder und Enkelkinder tre­ten bei dem einen oder ande­ren ins Leben, bei ande­ren wird der Verlust von Angehörigen eine nicht zu schlie­ßen­de Lücke rei­ßen. Doch das Leben wird wei­ter­ge­hen, auch wenn es einem im letzt­ge­nann­ten Fall lan­ge nicht so erschei­nen mag.

Nutzen Sie bit­te die geruh­sa­me Zeit “zwi­schen den Jahren” und zum Neujahrsanfang, um Zeit mit Ihren Lieben und Freunden zu ver­brin­gen. Finden Sie Ruhe und holen Sie Luft, für alles, was 2018 für jeden von uns bereit­hal­ten wird. Herzlichen Dank für Ihr Interesse und die gute Zusammenarbeit im nun fast ver­gan­ge­nen Jahr.

Das Team von a.s.k. Datenschutz wünscht Ihnen und Ihren Lieben ein schö­nes Weihnachtsfest und einen guten Rutsch in ein gesun­des und glück­li­ches Jahr 2018.

Auf Wiederlesen im Neuen Jahr

PS: Statt Weihnachtskarten haben wir in die­sem Jahr erneut der Stefan Hahn Kinderstiftung gespen­det. Es gibt nichts Wichtigeres, als unse­ren Kindern die Chance auf einen guten Start ins Leben zu ermög­li­chen.

, , , , , ,

Suchmaschine für gehackte Passwörter

Statt nach kom­pro­mit­tier­ten Email‐Adressen der eige­nen Webaccounts zu suchen, besteht nun auch die Möglichkeit, sei­ne genutz­ten Passwörter zu über­prü­fen. Ob die­se bei einem Hack erfolg­reich geknackt wur­den und somit meist in ein­schlä­gi­gen Kreisen bekannt sind, kann durch einen neu­en Online‐Service geprüft wer­den. Pfiffige Admins nut­zen die bereit­ge­stell­te API und schlie­ßen die­se gehack­ten Passwörter in eige­nen Netz von vorn­her­ein aus. Mehr Infos und den Link zum Prüfservice fin­den Sie im Blogbeitrag.

, ,

Aufatmen bei bayerischen Kommunen — Umsetzungsfrist Informationssicherheitskonzept nach Artikel 8 BayEGovG soll verlängert werden

Nach aktu­el­ler Rechtslage gemä­ße Artikel 8 BayEGovG sind baye­ri­sche Kommunen ver­pflich­tet, bis zum 01.01.2018 ein Informationssicherheitskonzept ein­zu­füh­ren und zu betrei­ben. Nach Verabschiedung des BayEGovG im Dezember 2015 hat die­se kur­ze Umsetzungsfrist für eini­ge Aufregung unter baye­ri­schen Kommunalen Einrichtungen gesorgt. Doch jetzt ist wahr­schein­lich Aufatmen ange­sagt.

Der Gesetzentwurf der Staatsregierung zur Errichtung des Landesamts für Sicherheit in der Informationstechnik LT‐Drs. 17/17726 vom 11.07.2017 sieht nun vor, dass die­se Verpflichtung erst am 01.01.2019 in Kraft tritt (vgl. Ziffer 11 b des Gesetzentwurfs). Mehr dazu im Blogbeitrag.

, , ,

Fritz!Box — der Spion im eigenen Haus

Wer sich über Hacking infor­miert, stößt zu Beginn schnell auf Begriffe und Tools wie nmap, Wireshark oder das Hacking‐Betriebssystem Kali‐Linux (als vir­tu­el­le Maschine rea­dy to go zum Herunterladen). Doch so tief muss man gar nicht ein­stei­gen. Die weit ver­brei­te­te Fritz!Box ent­hält eine im Anwender‐Handbuch undo­ku­men­tier­te Mitschneide‐Möglichkeit des KOMPLETTEN Datenverkehrs im inter­nen Netzwerk (egal ob kabel­ge­bun­den oder WLAN). Und das in jedem von uns gete­ste­ten Modell und das seit Jahren. Sofern Remote‐Zugriffe auf die Fritz!Box mög­lich sind, kann der Netzwerkverkehr auch von außen abge­grif­fen wer­den. Eigentlich eine sinn­vol­le Funktion zur Fehleranalyse, bringt die­se Funktion erheb­li­ches Schadenspotential mit sich. Und die Fritz!Box ist bei Unternehmen, Behörden und Privatanwendern sehr beliebt. Entsprechend hoch die Verbreitung. Wohl dem, der eini­ge Sicherheitsmaßnahmen getrof­fen hat. Mehr lesen Sie in unse­rem kom­plet­ten Blogbeitrag.