Geruhsame Feiertage und einen Guten Rutsch ins Neue Jahr 2019

Das Jahr neigt sich dem Ende. Die DSGVO Welle ebbt etwas ab. Zeit für etwas Besinnung und Durchschnaufen für das kom­men­de Jahr. Selbst Weihnachten ist von der DSGVO betrof­fen. Details dazu sowie unse­re Weihnachtswünsche fin­den Sie online im Beitrag unse­res Informationssicherheitsblogs.
21. Dezember 2018/von Sascha Kuhrau

Magento‐Shops kompromittiert — Kreditkartendaten werden bereits abgegriffen

Mittels Brute‐Force‐Attacken ver­schaf­fen sich Hacker aktu­ell Zugriff auf den Admin‐Bereich von Online‐Shops, wel­che die Software Magento nut­zen. Dabei wird ein Javascript‐Code ein­ge­fügt, der ab sofort in Echtzeit die Eingabedaten der Shop‐Kunden mit­schreibt und an einen Server in Russland über­trägt. Darin sind die Zahlungsinformationen ent­hal­ten, die dann miß­braucht wer­den kön­nen.

Informationen, wie Sie als Magento‐Shopbetreiber den besag­ten Schadcode iden­ti­fi­zie­ren kön­nen, fin­den Sie im Sicherheitsbeitrag des Entdeckers die­ses Problems. Der Autor gibt dar­in gleich wei­te­re Tipps zur Absicherung wie die Vergabe gehär­te­ter Admin‐Passwörter und vie­le mehr.

Da die­ser Angriff eine mel­de­pflich­ti­ge Datenpanne im Sinne der DSGVO dar­stellt und sich durch den Mißbrauch von Zahlungsinformationen schnell hohe Schadensersatzbeträge auf­sum­mie­ren kön­nen, soll­ten Sie als Magento‐Shopbetreiber zeit­nah prü­fen, ob Ihr Server ent­spre­chend mani­pu­liert wur­de. Mehrere tau­send infi­zier­te Shops sind bereits bekannt.
6. September 2018/von Sascha Kuhrau

WordPress‐Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab

Allen Nutzern des belieb­ten Content‐Management‐Systems Wordpress wird emp­foh­len, das Update auf Version 4.9.4 umge­hend manu­ell ein­zu­spie­len. Das vor­he­ri­ge Update auf Version 4.9.3 war feh­ler­haft und hat die auto­ma­ti­sche Aktualisierung von Wordpress abge­schos­sen. Somit wer­den nach Version 4.9.3 kei­ne Fixes Sicherheitslücken mehr auto­ma­tisch ein­ge­spielt. Abhilfe schafft aus­schließ­lich das manu­el­le Update auf 4.9.4 im Backend. Nur so wer­den auch zukünf­ti­ge auto­ma­ti­sche Aktualisierungen sicher­ge­stellt. Nutzer von Wordpress soll­ten die­sen Fehler umge­hend manu­ell behe­ben.
10. Februar 2018/von Sascha Kuhrau

Kritische Sicherheitslücke in Browser Firefox

Laut CERT BUND sind alle Versionen des belieb­ten Browsers Firefox vor 58.0.1 von einer kri­ti­schen Sicherheitslücke betrof­fen. Bereits der Besuch einer prä­pa­rier­ten Webseite reicht aus, um Schadcode auf den PC des Besuchers zu brin­gen und auzu­füh­ren. Es wird drin­gend gera­ten, das Update auf die Version 58.0.1 zeit­nah durch­zu­füh­ren. Im Zweifel manu­ell ansto­ßen, nicht auf das Auto‐Update war­ten.
31. Januar 2018/von Sascha Kuhrau

Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren

Seit gerau­mer Zeit rumort es in Anwaltskreisen. Grund ist das beson­de­re elek­tro­ni­sche Postfach, kurz beA genannt. Dies soll­te eigent­lich zum 01.01.2018 ver­pflich­tend zum Einsatz kom­men. Doch dar­aus wur­de nichts. Was mit der Entdeckung eines falsch zur Verfügung gestell­ten Zertifikats Ende 2017 begann (der pri­va­te Schlüssel wur­de mit ver­teilt), fin­det nun sei­nen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) emp­fiehlt in einer Pressemeldung die Client Security zu deak­ti­vie­ren, bes­ser den Client gleich kom­plett zu deinstal­lie­ren. Wie es dazu kom­men konn­te, das trotz angeb­li­cher Sicherheitsüberprüfungen ein unsi­che­res Produkt an die Rechtsanwaltszunft ver­teilt wur­de, klärt die Pressemeldung nicht auf.

BRAK‐Vizepräsident Abend erklärt, das “beA erst dann wie­der in Betrieb gehen wird, wenn alle rele­van­ten Sicherheitsfragen geklärt sind.”
27. Januar 2018/von Sascha Kuhrau

Frohes Fest und guten Rutsch

Liebe Leser und Leserinnen unse­res Informationssicherheits‐Blogs, lie­be Interessenten, Kunden und Geschäftspartner!

2018 hält für für jeden von uns Überraschungen und Neuerungen parat. Unternehmen und Behörden berei­ten sich auf die EU Datenschutz‐Grundverordnung vor. Im Kielwasser der DS‐GVO zieht das Thema Informationssicherheit nach. Veränderungen in gewohn­ten Arbeitsweisen wer­den die Folge sein. Der Mensch mag nicht immer die Veränderung, gro­ße Herausforderungen ste­hen daher bevor. Doch auch im Privaten wird es Höhen und Tiefen geben. Kinder und Enkelkinder tre­ten bei dem einen oder ande­ren ins Leben, bei ande­ren wird der Verlust von Angehörigen eine nicht zu schlie­ßen­de Lücke rei­ßen. Doch das Leben wird wei­ter­ge­hen, auch wenn es einem im letzt­ge­nann­ten Fall lan­ge nicht so erschei­nen mag.

Nutzen Sie bit­te die geruh­sa­me Zeit “zwi­schen den Jahren” und zum Neujahrsanfang, um Zeit mit Ihren Lieben und Freunden zu ver­brin­gen. Finden Sie Ruhe und holen Sie Luft, für alles, was 2018 für jeden von uns bereit­hal­ten wird. Herzlichen Dank für Ihr Interesse und die gute Zusammenarbeit im nun fast ver­gan­ge­nen Jahr.

Das Team von a.s.k. Datenschutz wünscht Ihnen und Ihren Lieben ein schö­nes Weihnachtsfest und einen guten Rutsch in ein gesun­des und glück­li­ches Jahr 2018.

Auf Wiederlesen im Neuen Jahr

PS: Statt Weihnachtskarten haben wir in die­sem Jahr erneut der Stefan Hahn Kinderstiftung gespen­det. Es gibt nichts Wichtigeres, als unse­ren Kindern die Chance auf einen guten Start ins Leben zu ermög­li­chen.
22. Dezember 2017/von Sascha Kuhrau

Suchmaschine für gehackte Passwörter

Statt nach kom­pro­mit­tier­ten Email‐Adressen der eige­nen Webaccounts zu suchen, besteht nun auch die Möglichkeit, sei­ne genutz­ten Passwörter zu über­prü­fen. Ob die­se bei einem Hack erfolg­reich geknackt wur­den und somit meist in ein­schlä­gi­gen Kreisen bekannt sind, kann durch einen neu­en Online‐Service geprüft wer­den. Pfiffige Admins nut­zen die bereit­ge­stell­te API und schlie­ßen die­se gehack­ten Passwörter in eige­nen Netz von vorn­her­ein aus. Mehr Infos und den Link zum Prüfservice fin­den Sie im Blogbeitrag.
7. August 2017/von Sascha Kuhrau

Fritz!Box — der Spion im eigenen Haus

Wer sich über Hacking infor­miert, stößt zu Beginn schnell auf Begriffe und Tools wie nmap, Wireshark oder das Hacking‐Betriebssystem Kali‐Linux (als vir­tu­el­le Maschine rea­dy to go zum Herunterladen). Doch so tief muss man gar nicht ein­stei­gen. Die weit ver­brei­te­te Fritz!Box ent­hält eine im Anwender‐Handbuch undo­ku­men­tier­te Mitschneide‐Möglichkeit des KOMPLETTEN Datenverkehrs im inter­nen Netzwerk (egal ob kabel­ge­bun­den oder WLAN). Und das in jedem von uns gete­ste­ten Modell und das seit Jahren. Sofern Remote‐Zugriffe auf die Fritz!Box mög­lich sind, kann der Netzwerkverkehr auch von außen abge­grif­fen wer­den. Eigentlich eine sinn­vol­le Funktion zur Fehleranalyse, bringt die­se Funktion erheb­li­ches Schadenspotential mit sich. Und die Fritz!Box ist bei Unternehmen, Behörden und Privatanwendern sehr beliebt. Entsprechend hoch die Verbreitung. Wohl dem, der eini­ge Sicherheitsmaßnahmen getrof­fen hat. Mehr lesen Sie in unse­rem kom­plet­ten Blogbeitrag.
19. Juni 2017/von Sascha Kuhrau

Handlungsbedarf für Owncloud‐ und Nextcloud‐Betreiber — kritische Sicherheitslücke

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktu­el­len Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kri­ti­schen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind poten­ti­ell ver­wund­bar. Betroffen sind u.a. gro­ße und mit­tel­stän­di­sche Unternehmen, öffent­li­che und kom­mu­na­le Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und pri­va­te Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hin­ge­wie­sen. Sehr viel ist seit­her nicht pas­siert, wie man der aktu­el­len Meldung ent­neh­men kann. Lediglich ein Fünftel der infor­mie­ren Einrichtungen hat reagiert und die Schwachstelle geschlos­sen. Ob die eige­ne Cloud‐Installation betrof­fen ist, kann mit dem Security‐Scanner von Nextcloud online geprüft wer­den. Sollten Sie in Ihrer Organisation oder pri­vat eine Instanz von Owncloud oder Nextcloud betrei­ben, so prü­fen Sie bit­te zeit­nah unter den Links im Blogbeitrag, ob Ihre Installation betrof­fen ist. Generell soll­te eine regel­mä­ßi­ge Prüfung auf Updates und deren Installation selbst­ver­ständ­lich und ein fester wie­der­keh­ren­der Termin im Kalender sein.
18. März 2017/von Sascha Kuhrau

Ändere‐Dein‐Passwort‐Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels

Heute ist Ändere‐Dein‐Passwort‐Tag. Doch macht der (regel­mä­ßi­ge) Wechsel von Passwörtern wirk­lich Sinn? Oder ist das ledig­lich gefühl­te Sicherheit? Mehr dazu und wei­te­ren Passwort‐Mythen im Blogbeitrag. Vielleicht ein Anlass, bestehen­de Passwort‐Richtlinien zu über­den­ken und anzu­pas­sen.
1. Februar 2017/von Sascha Kuhrau

Wir bauen uns einen Erpressungstrojaner per Mausklick

Erpressungstrojaner im Web per Mausklick zusam­men­stel­len und prä­pa­rier­te Word‐Makros und Windows‐Hilfe‐Dateien zur Verbreitung erhal­ten — das bie­ten die Drahtzieher hin­ter der Ransomware Satan. Über das Tor‐Netzwerk geht das mit­tels Webinterface. 30% Provision wer­den fäl­lig für die Nutzung. Erste Scanner erken­nen die Bedrohung, doch es gibt noch kei­ne Entwarnung. Details im Blogbeitrag.
24. Januar 2017/von Sascha Kuhrau

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Verschlüsselungstrojaner “Goldeneye” greift gezielt und mas­siv Personalabteilungen an. Eine Bewerbung in per­fek­tem Deutsch auf teil­wei­se aktu­el­le Stellenangebote sowie unter Nennung orga­ni­sa­ti­ons­in­ter­ner Details soll den Empfänger dazu ver­lei­ten, eine ange­häng­te XLS Tabelle zu öff­nen. Geschieht dies und ist kein Schutz vor Ausführung von Makros aktiv oder wird die­ser vom Nutzer aus­ge­he­belt, ver­rich­tet Goldeneye sei­nen Dienst ana­log zu sei­nem wohl ver­wand­ten Krypto‐Kollegen Petya. Als Absender wer­den Email‐Adressen eines Ingenieurbüros genutzt, dass unter ande­rem Hilfe bei der Entschlüsselung von befal­le­nen Petya‐Systemen anbie­tet. Erfahren Sie mehr im gan­zen Blog‐Beitrag und sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter — ger­ne unter Nutzung unse­res Beitragstexts.
7. Dezember 2016/von Sascha Kuhrau